Port 644?

Nachricht

stef2707 · #1 Beitrag von **stef2707** » 27. Sep 2006 15:22

Hallo!

Welcher Dienst hängt an Port 644? /etc/services kennt ihn nicht und auch Google schweigt sich aus. Ein nmap zeigt ihn aber als open an.

Gruss,
Stefan

sumsi · #2 Beitrag von **sumsi** » 27. Sep 2006 15:59

Ja, mal ironisch: Vertraust Du eigentlich Google Dein Leben an?

Versuch#s doch mal mit etwas, was auch ergenisse bringt: Altavista, Ask
Und für Faule metacrawler.de
Da wird was vom Dienst drw ausgespuckt - was immer das ist.
Und bestimmt kann man auch jede 2. Anwendung dazu bringen, diesen port zu nehem.

http://www.infobot.org/factpacks/ports.fact
http://www.auditmypc.com/port/tcp-port-644.asp

have fun
sumsi

PDA · #3 Beitrag von **PDA** » 27. Sep 2006 16:02

Nmap zeigt aber auch an was für ein Dienst darauf läuft, es muss ja kein Standarddienst sein.
Imap läuft doch glaube ich (standardmässig) darauf?! weiss es aber im Moment nicht.

Nmap fragen und was man nicht braucht, raus damit.

Marco Gerber · #4 Beitrag von **Marco Gerber** » 27. Sep 2006 16:11

Guten Tag

stef2707 hat geschrieben:Hallo!

Welcher Dienst hängt an Port 644?

Die Zuweisung der Portnummer zu einem namentlich genannten Dienst stellt lediglich eine Empfehlung dar, an welche man sich nicht halten muss.
Ergo kann auf Port 644 jede beliebige Anwendung laufen (muss root Rechte in diesem Bereich haben).
Um eine genauere Einschraenkung zu machen musst du eine Banner Auswertung machen. Dh du verbindest dich einfach mal zu dieser Maschine an diesen Port und schaust was zurueck kommt. Vielleicht kommt etwas, vielleicht auch nicht.

stef2707 hat geschrieben: /etc/services kennt ihn nicht und auch Google schweigt sich aus. Ein nmap zeigt ihn aber als open an.

Es existiert kein Zusammenhang zwischen Ports im listen mode und der Datei /etc/services

hth

Marco

stef2707 · #5 Beitrag von **stef2707** » 27. Sep 2006 16:26

Hallo!

PDA hat geschrieben:Nmap zeigt aber auch an was für ein Dienst darauf läuft, es muss ja kein Standarddienst sein.
Imap läuft doch glaube ich (standardmässig) darauf?! weiss es aber im Moment nicht. Nmap fragen und was man nicht braucht, raus damit.

Nmap "sagt" folgendes:

Code: Alles auswählen

ctde02&#58;/# nmap  -sS 10.130.109.10

Starting nmap 3.81 &#40; http&#58;//www.insecure.org/nmap/ &#41; at 2006-09-27 17&#58;08 CEST
Interesting ports on ctde02.lfeld.********.de &#40;10.130.109.10&#41;&#58;
&#40;The 1653 ports scanned but not shown below are in state&#58; closed&#41;
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
111/tcp  open  rpcbind
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
515/tcp  open  printer
548/tcp  open  afpovertcp
631/tcp  open  ipp
644/tcp  open  unknown
4559/tcp open  hylafax

Nmap finished&#58; 1 IP address &#40;1 host up&#41; scanned in 0.375 seconds

Eine "richtige"

Internetsuchmaschine bringt, wie oben schon beschrieben (Danke @ sumsi), folgendes Ergebnis: tcp/udp 644 = dwr. Was ist dwr? Warum kennt Sarge ihn nicht? Mit Bastille hatte ich nur eine begrenzte Anzahl von Ports zugelassen... 644 gehörte nicht dazu.

Gruss,
Stefan

Marco Gerber · #6 Beitrag von **Marco Gerber** » 27. Sep 2006 16:48

halllo

stef2707 hat geschrieben:Was ist dwr? Warum kennt Sarge ihn nicht? Mit Bastille hatte ich nur eine begrenzte Anzahl von Ports zugelassen... 644 gehörte nicht dazu.

Ich sage es gerne noch einmal: Eine Portnummer ist wahlfrei Anwendungen zuzuordnen. Wenn du lokalen Zugriff auf das System hast, findest du mit netstat -p heraus, welcher Prozess diesen Port reserviert hat.

Und zu dem mit Bastille:
Zitat: "du solltest, wenn es um Themen der Sicherheit geht, nicht mit Werkzeugen arbeiten, von welchen du nicht weisst wie sie funktionieren und oder was sie generieren, und das generierte nicht interpretieren kannst."

Marco

Clio · #7 Beitrag von **Clio** » 27. Sep 2006 18:30

Eine gute Übersicht findest Du hier:

http://www.iana.org/assignments/port-numbers

Ansonsten hat M.Gerber schon recht.

#8 Beitrag von **Lateralus** » 27. Sep 2006 20:54

Ein "nmap -sV" untersucht genauer, welche Anwendung darauf läuft.

#9 Beitrag von **jochen** » 31. Okt 2006 15:27

Aus der Kombi Prompt/Rechnername in Deinem nmap-Beispiel gehe ich mal davon aus, dass Du Deinen eigenen Rechner scanst, an dem Du gerade angemeldet bist. Da nmap Dir (wie ausführlich erläutert) nur anzeigen kann, welche Ports offen sind und was dort laufen müsste, solltest Du in diesem Fall zu netstat greifen:

Code: Alles auswählen

netstat -lpnut | grep "&#58;644 "

netstat zeigt nur offene (-l) TCP- und UDP-Ports (-ut) inkl. der PID und Namen des Prozesses, der den Port geöffnet hält (-p). Mittels -n unterdrücken wir die Namensauflösung (sowohl Rechner- als auch Portnamen), damit wir im folgenden ein grep nach der Portnummer 644 (durch ":" von der IP-Adresse getrennt) machen können. Hat man die PID, kann man sich mittels

Code: Alles auswählen

ps -p <PID> -o pid,args --cols=1000

mehr zum laufenden Prozess anzeigen lassen. Wer wissen will, aus welchem Package das Programm stammt, kann mittels

Code: Alles auswählen

ls -l /proc/<PID>/exe

den vollen Pfadnamen des Binaries auf der Platte erhalten und dann mittels rpm/dpkg-query das dazugehörige Package inkl. Dokumentation ausfindig machen usw. usf.

Übrigens, wenn netstat zu diesem Port keine Ausgabe macht, sollten die Alarmglocken angehen! Ein Port, der aus außen her geöffnet ist, von innen aber nicht als offen gesehen werden kann, weist schwer auf ein Rootkit hin...

Jochen

Pro-Linux

Port 644?

Port 644?

suchmaschine: drw

Re: Port 644?