glug:uhmmmm

Stefano Canepa glug@genova.linux.it
Tue, 11 Feb 2003 13:57:57 +0100 

Tuesday 11 February 2003, alle 10:07, Paolo Gaggini:
: NMAP mi riporta questo:
: **************************
: Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
: Interesting ports on hwadsl-213-155-200-101.telvia.it (213.155.200.101):
: (The 65524 ports scanned but not shown below are in state: closed)
: Port       State       Service
: 9/tcp      open        discard
: 13/tcp     open        daytime
: 21/tcp     open        ftp
: 22/tcp     open        ssh
: 25/tcp     open        smtp
: 37/tcp     open        time
: 80/tcp     open        http
: 110/tcp    open        pop-3
: 111/tcp    open        sunrpc
: 1024/tcp   open        kdm
: 1025/tcp   open        listen
: ****************************

Questo è il risultato da casa mia:
# nmap -sT 213.155.200.101
 
 Starting nmap V. 3.10ALPHA4 ( www.insecure.org/nmap/ )
 Interesting ports on hwadsl-213-155-200-101.telvia.it
 (213.155.200.101):
 (The 1597 ports scanned but not shown below are in state: closed)
 Port       State       Service
 21/tcp     open        ftp
 22/tcp     open        ssh
 25/tcp     open        smtp
 80/tcp     open        http
 110/tcp    open        pop-3
 111/tcp    open        sunrpc
 1024/tcp   open        kdm
 1025/tcp   open        NFS-or-IIS
 
: NOTE:
: 1) la porta 1024 è registrata su rfc come riservata, la 1025 come 
: "network blackjack". In ogni caso io non ho kdm sul server. Listen non 
: so che servizio sia.

Chiudi tutte le porte aperte che non ti servono.

: 2) netstat mi segnala altre porte, che però non sono in stato di 
: ascolto. Per la verità il campo "state" è vuoto

Quello ti da anche i socket UNIX (i.e.: pipe tipo quella usata da X).
Devi fare: netstat -t -u -a

: 3) prima di generare questo output nmap me ne aveva dato uno simile ma 
: con altre due porte aperte: la 2482 e la 4809 a cui facevano capo due 
: servizi "unknown". La prima corrisponde in rfc a un servizio Oracle, 
: mentre la seconda è vuota. E' normale che si aprano delle porte del 
: genere e poi si chiudano dopo pochi secondi?
: Prima della scansione inj cui erano presenti le due porte anomale nmap 
: mi ha anche segnalato un errore ("Strange read error from 
: 213.15.200.101 [il mio ip]: operation now in progress).
: 
: Che ne pensate?

Che hai comunque qualcuno che sta usando il tuo server per i cazzi suoi.

Io fossi in te prenderei ls, ps, netstat, ... da una macchina appena
installata identica nelle versioni, poi farei un bel md5sum sui tuoi e
su quelli sicuramente puliti e un diff delle somme calcolate. Se io
volessi usare il tuo server per prima cosa ti sostituirei i programmi
con cui tu potresti trovarmi. 

Stefano

-- 
Stefano Canepa e-mail: sc@linux.it
To follow the path: look at the master, follow the master, walk with the
master, see through the master, become the master.
http://www.stefanocanepa.it - http://www.linux.it/~sc