nmap sur mon serveur web montre les ports TCP 554 et 7070 ouverts

11

J'ai un serveur Web qui héberge divers sites Web pour moi. Les deux services accessibles à l'extérieur sont SSH et Apache2. Ceux-ci s'exécutent respectivement sur un port non standard et standard. Tous les autres ports sont fermés explicitement via arno-iptables-firewall. L'hôte exécute des tests Debian.

J'ai remarqué qu'une analyse de l'hôte à l'aide de nmap a produit des résultats différents à partir de différents PC. De mon ordinateur portable sur mon réseau domestique (derrière un BT Homehub), j'obtiens ce qui suit:

Not shown: 996 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
554/tcp  open  rtsp
7070/tcp open  realserver
9000/tcp open  cslistener

alors que la numérisation à partir d'un serveur basé aux États-Unis avec nmap 5.00 et une boîte Linux en Norvège exécutant nmap 5.21, j'obtiens ce qui suit:

Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
9000/tcp open  cslistener

donc j'espère que c'est mon réseau interne ou FAI qui joue, mais je ne peux pas en être sûr.

L'exécution d'un netstat -l | grep 7070ne produit rien. De même pour le port 554.

Quelqu'un peut-il expliquer les particularités que je vois?

security debian port

— Alex
source

Si les deux résultats sont des analyses effectuées en même temps.

— pradeepchhetri

3

Êtes-vous par hasard en train d'utiliser une Apple Airport Extreme ou une capsule temporelle Apple dans votre réseau domestique?

— faker

J'ai un NAS Buffalo qui exécute un service compatible DLNA je crois.

— Alex

Cela m'arrive aussi - je suis derrière une Apple Time Capsule. :(

— pawstrong

1

C'est probablement quelque chose dans la ligne, ces 2 ports (554/7070) sont pour les vrais joueurs RealServers.

http://service.real.com/firewall/adminfw.html

— Wyck
source

Je suis d'accord avec toi. Merci. J'ai fait ce que Nickgrim a suggéré et cela a prouvé que je pouvais toujours ouvrir le port (en supposant qu'aucun rootkit ne remplace le netcat, le netstat et d'autres binaires connexes pour me tromper!).

— Alex

BTW, comment puis-je prouver que c'est le cas?

— Alex

@atc: telnetà votre nouvelle écoute netcat, et vérifiez qu'il reçoit bien ce que vous tapez.

— nickgrim

10

Je serais enclin à blâmer votre FAI ou quelque chose entre vous et votre serveur pour cela. Si vous voulez simplement vous assurer que ces ports sont vraiment fermés, vous pouvez essayer d'écouter sur ces ports et si cela réussit, il est sûr de supposer qu'il n'y a rien d'écoute déjà. Voici ce que je fais sur ma machine (qui a Apache sur le port 80 et rien sur le port 81):

$ sudo netcat -p 80 -l --wait 1    # Apache on port 80
Error: Couldn't setup listening socket (err=-3)
$ sudo netcat -p 81 -l --wait 1    # Nothing on port 81
(Ctrl-C)

EDIT: Et pour être sûr que cela a vraiment fonctionné, telnetpour cela à partir d'une autre boîte et vérifiez que netcatvous recevez ce que vous envoyez (vous voudrez probablement augmenter le --waitdélai).

— nickgrim
source

Cela a prouvé que le problème n'est pas sur le serveur - une analyse d'un autre hôte a répertorié les mêmes ports ouverts lorsqu'ils ne l'étaient pas!

— Alex

Bien que cela n'ait pas répondu à la question directe, je vous ai donné une note positive, car c'était un excellent moyen d'affirmer si les ports étaient utilisés ou non. Merci pour votre contribution.

— Alex

7

Votre routeur est probablement à blâmer. Je me demandais simplement si c'était un problème avec un hôte OpenVZ et j'ai trouvé cet article: les ports 21, 554 et 7070 sont-ils ouverts ou fermés? La réponse est oui.

Cela a du sens pour moi, car je suis actuellement sur un routeur FiOS Actiontec merdique. Toute combinaison de tests nmap et netcat sur le conteneur et le nœud hôte confirme que ces ports ne sont pas vraiment ouverts.

— lunistorvalds
source

1

+1 pour le routeur FiOS Actiontec merdique . Je connais les clés privées de votre box (les autres aussi, grâce à Little Black Box ).

J'ai changé avant de perdre FiOS, mais maintenant j'utilise un meilleur routeur sécurisé avec mon "routeur" sans fil en mode AP. Toute personne lisant cet article doit consulter ce projet lié. Nice blog also :)

— lunistorvalds

Juste un avertissement: c'est toujours le cas pour Apple Airport Extreme en ce moment. Découvert à la dure lors du test des paramètres de pare-feu pour l'instance Amazon ec2 à partir de mon réseau domestique.

— jlapoutre

5

Divers routeurs différents (Verizon FiOS, BT Home Hub, Apple Airport Extreme, ...) affichent les ports 554et 7070comme ouverts pour toutes les adresses IP pour une raison quelconque.

Hackerific »Faux ports TCP positifs!

— Zaz
source

2

+1 pour l'excellent lien Hackerific.

— codingoutloud

0

Je suis d'accord avec nickgrim. Vous pouvez également essayer les analyses nmap locales à partir de la boîte elle-même

Comparez la sortie de ceux-ci:

nmap 127.0.0.1

nmap 1.2.3.4

Où 1.2.3.4 est votre adresse IP publique

— portforwardpodcast
source

0

Il peut s'agir d'un RTSP ALG (Application Layer Gateway) sur votre concentrateur domestique interceptant le trafic et fournissant une réponse.

— AndrewW
source

0

Utilisez-vous une machine virtuelle sur ESXi Guest? J'ai commencé à avoir de faux résultats 554/7070 lorsque j'ai déplacé ma machine virtuelle Linux Kali de Workstation à ESXi. Vous pouvez vérifier la latence:

nmap yourip --reason -p 7070 --traceroute

Vérifiez le nombre différent de sauts des ports 554 et 7070 avec les ports normaux ...

— enrico sandri
source