Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
Aktuelle Zeit: 14. Nov 2018 17:19

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 9 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Port 644?
BeitragVerfasst: 27. Sep 2006 15:22 
Offline
Benutzeravatar

Registriert: 24. Sep 2006 18:04
Beiträge: 9
Wohnort: Raum Düsseldorf
Hallo!

Welcher Dienst hängt an Port 644? /etc/services kennt ihn nicht und auch Google schweigt sich aus. Ein nmap zeigt ihn aber als open an.

Gruss,
Stefan

_________________
Debian GNU/Linux 3.1
SuSE Linux 9.3


Nach oben
   
 Betreff des Beitrags: suchmaschine: drw
BeitragVerfasst: 27. Sep 2006 15:59 
Ja, mal ironisch: Vertraust Du eigentlich Google Dein Leben an?

Versuch#s doch mal mit etwas, was auch ergenisse bringt: Altavista, Ask
Und für Faule metacrawler.de
Da wird was vom Dienst drw ausgespuckt - was immer das ist.
Und bestimmt kann man auch jede 2. Anwendung dazu bringen, diesen port zu nehem.

http://www.infobot.org/factpacks/ports.fact
http://www.auditmypc.com/port/tcp-port-644.asp

have fun
sumsi


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 27. Sep 2006 16:02 
Nmap zeigt aber auch an was für ein Dienst darauf läuft, es muss ja kein Standarddienst sein.
Imap läuft doch glaube ich (standardmässig) darauf?! weiss es aber im Moment nicht.

Nmap fragen und was man nicht braucht, raus damit.


Nach oben
   
 Betreff des Beitrags: Re: Port 644?
BeitragVerfasst: 27. Sep 2006 16:11 
Offline

Registriert: 26. Aug 2006 13:07
Beiträge: 38
Wohnort: Zürich
Guten Tag
Zitat:
Hallo!

Welcher Dienst hängt an Port 644?
Die Zuweisung der Portnummer zu einem namentlich genannten Dienst stellt lediglich eine Empfehlung dar, an welche man sich nicht halten muss.
Ergo kann auf Port 644 jede beliebige Anwendung laufen (muss root Rechte in diesem Bereich haben).
Um eine genauere Einschraenkung zu machen musst du eine Banner Auswertung machen. Dh du verbindest dich einfach mal zu dieser Maschine an diesen Port und schaust was zurueck kommt. Vielleicht kommt etwas, vielleicht auch nicht.
Zitat:
/etc/services kennt ihn nicht und auch Google schweigt sich aus. Ein nmap zeigt ihn aber als open an.
Es existiert kein Zusammenhang zwischen Ports im listen mode und der Datei /etc/services


hth

Marco


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 27. Sep 2006 16:26 
Offline
Benutzeravatar

Registriert: 24. Sep 2006 18:04
Beiträge: 9
Wohnort: Raum Düsseldorf
Hallo!
Zitat:
Nmap zeigt aber auch an was für ein Dienst darauf läuft, es muss ja kein Standarddienst sein.
Imap läuft doch glaube ich (standardmässig) darauf?! weiss es aber im Moment nicht. Nmap fragen und was man nicht braucht, raus damit.
Nmap "sagt" folgendes:
Code:
ctde02:/# nmap  -sS 10.130.109.10

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-09-27 17:08 CEST
Interesting ports on ctde02.lfeld.********.de (10.130.109.10):
(The 1653 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
111/tcp  open  rpcbind
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
515/tcp  open  printer
548/tcp  open  afpovertcp
631/tcp  open  ipp
644/tcp  open  unknown
4559/tcp open  hylafax

Nmap finished: 1 IP address (1 host up) scanned in 0.375 seconds
Eine "richtige" :!: Internetsuchmaschine bringt, wie oben schon beschrieben (Danke @ sumsi), folgendes Ergebnis: tcp/udp 644 = dwr. Was ist dwr? Warum kennt Sarge ihn nicht? Mit Bastille hatte ich nur eine begrenzte Anzahl von Ports zugelassen... 644 gehörte nicht dazu.

Gruss,
Stefan

_________________
Debian GNU/Linux 3.1
SuSE Linux 9.3


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 27. Sep 2006 16:48 
Offline

Registriert: 26. Aug 2006 13:07
Beiträge: 38
Wohnort: Zürich
halllo
Zitat:
Was ist dwr? Warum kennt Sarge ihn nicht? Mit Bastille hatte ich nur eine begrenzte Anzahl von Ports zugelassen... 644 gehörte nicht dazu.
Ich sage es gerne noch einmal: Eine Portnummer ist wahlfrei Anwendungen zuzuordnen. Wenn du lokalen Zugriff auf das System hast, findest du mit netstat -p heraus, welcher Prozess diesen Port reserviert hat.

Und zu dem mit Bastille:
Zitat: "du solltest, wenn es um Themen der Sicherheit geht, nicht mit Werkzeugen arbeiten, von welchen du nicht weisst wie sie funktionieren und oder was sie generieren, und das generierte nicht interpretieren kannst."

Marco


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 27. Sep 2006 18:30 
Offline

Registriert: 17. Sep 2004 12:49
Beiträge: 122
Wohnort: Bochum
Eine gute Übersicht findest Du hier:

http://www.iana.org/assignments/port-numbers

Ansonsten hat M.Gerber schon recht.

_________________
Viele Grüße von Clio


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 27. Sep 2006 20:54 
Offline
prolinux-forum-admin
Benutzeravatar

Registriert: 05. Mai 2004 7:35
Beiträge: 1238
Ein "nmap -sV" untersucht genauer, welche Anwendung darauf läuft.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 31. Okt 2006 15:27 
Offline
prolinux-forum-admin
Benutzeravatar

Registriert: 14. Jan 2000 15:37
Beiträge: 699
Wohnort: Jülich
Aus der Kombi Prompt/Rechnername in Deinem nmap-Beispiel gehe ich mal davon aus, dass Du Deinen eigenen Rechner scanst, an dem Du gerade angemeldet bist. Da nmap Dir (wie ausführlich erläutert) nur anzeigen kann, welche Ports offen sind und was dort laufen müsste, solltest Du in diesem Fall zu netstat greifen:
Code:
netstat -lpnut | grep ":644 "
netstat zeigt nur offene (-l) TCP- und UDP-Ports (-ut) inkl. der PID und Namen des Prozesses, der den Port geöffnet hält (-p). Mittels -n unterdrücken wir die Namensauflösung (sowohl Rechner- als auch Portnamen), damit wir im folgenden ein grep nach der Portnummer 644 (durch ":" von der IP-Adresse getrennt) machen können. Hat man die PID, kann man sich mittels
Code:
ps -p <PID> -o pid,args --cols=1000
mehr zum laufenden Prozess anzeigen lassen. Wer wissen will, aus welchem Package das Programm stammt, kann mittels
Code:
ls -l /proc/<PID>/exe
den vollen Pfadnamen des Binaries auf der Platte erhalten und dann mittels rpm/dpkg-query das dazugehörige Package inkl. Dokumentation ausfindig machen usw. usf.

Übrigens, wenn netstat zu diesem Port keine Ausgabe macht, sollten die Alarmglocken angehen! Ein Port, der aus außen her geöffnet ist, von innen aber nicht als offen gesehen werden kann, weist schwer auf ein Rootkit hin...

Jochen

_________________
Die grösste Lüge der EDV? "Mal eben..."


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 9 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.
Sie dürfen keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de