The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Определить кто открыл порт., !*! cMex, 30-Дек-05, 17:57  [смотреть все]
nmap -sT определяет на IP-интерфейсе открытый 3128 порт tcp/squid-http, сквида нет там по определению. netstat на этой машине не видит открытого 3128. Как определить какой софт открыл это порт?
С наступающим всех Новым Годом! Всяческих удач.
Ответить | Сообщить модератору
  • Определить кто открыл порт., !*! cMex, 19:16 , 30-Дек-05 (1)
    Вопрос возник в связи с такой бедой - попали в блек-лист dsbl.org, к сожалению. Там это мотивируется так: "Четыре дня назад ваш хост работал
    как выход тоннеля по SOCKS5, начинающегося на машине 85.70.246.175:5882".
    А вот и текст самого сообщения с dsbl.org:

    IP: xxx.xxx.xxx.xxx
    Input IP: 85.70.246.175
    Transport: socks5
    Input Port: 5882
    Message Received: 2005/12/25 17:02:21 UTC
    Message Sent By: trapper
    Extended Information for Transport:
    Connect to 205.231.29.241:25

    Такая вот беда. Как с причиной посоветуете справиться?

    Ответить | Сообщить модератору
  • Определить кто открыл порт., !*! Skif, 00:46 , 31-Дек-05 (2)
    >nmap -sT определяет на IP-интерфейсе открытый 3128 порт tcp/squid-http, сквида нет там
    >по определению. netstat на этой машине не видит открытого 3128. Как
    >определить какой софт открыл это порт?
    >С наступающим всех Новым Годом! Всяческих удач.


    для fbsd
    sockstat -4
    netstat -a
    netstat -aL

    неплохое решение - развесить portsentry. После старта он забьет основной диапазон не использующихся портов и леквый софт порт незабиндит.

    Ответить | Сообщить модератору
    • Определить кто открыл порт., !*! cybersun, 09:49 , 31-Дек-05 (3)
      Попробуй поискать троянов. (rkhunter, например) Что касаемо portsentry, то он может стартовать и после какого-то левого ПО, тогда обломно будет portsentry. Кто еще работает с сервером? Возможно, что кто-то еще кроме тебя открывал проксю для личного использования и по невнимательности не поставил авторизации. Проверь скрипты виртуального хостинга, возможно проксю туда вложили. В общем, поле деятельности обширно. А еще лучше работать с ipfw по правилу рапрещено все, что не разрешено явно. Тогда, даже если и откроется что-то меньше риск того, что это навредид тебе.
      Ответить | Сообщить модератору
      • Определить кто открыл порт., !*! cMex, 15:33 , 02-Янв-06 (4)
        >А еще лучше работать с ipfw по правилу рапрещено все, что
        >не разрешено явно. Тогда, даже если и откроется что-то меньше риск
        >того, что это навредид тебе.

        Вот что в iptables :) :
        Chain INPUT (policy ACCEPT)
        ...
        DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3128
        ...

        Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру