nmap di server web saya menunjukkan port TCP 554 dan 7070 terbuka

11

Saya memiliki server web yang menampung berbagai situs web untuk saya. Dua layanan yang dapat diakses di luar adalah SSH dan Apache2. Ini berjalan pada port non-standar dan standar, masing-masing. Semua port lain ditutup secara eksplisit melalui arno-iptables-firewall. Tuan rumah menjalankan Pengujian Debian.

Saya perhatikan bahwa pemindaian host menggunakan nmap menghasilkan hasil yang berbeda dari PC yang berbeda. Dari laptop saya di jaringan rumah saya (di belakang BT Homehub), saya mendapatkan yang berikut:

Not shown: 996 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
554/tcp  open  rtsp
7070/tcp open  realserver
9000/tcp open  cslistener

sedangkan pemindaian dari server berbasis AS dengan nmap 5.00 dan kotak Linux di Norwegia menjalankan nmap 5.21 Saya mendapatkan yang berikut:

Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
9000/tcp open  cslistener

jadi saya berharap itu jaringan internal atau ISP saya yang bermain, tapi saya tidak yakin.

Menjalankan netstat -l | grep 7070tidak menghasilkan apa-apa. Demikian pula untuk port 554.

Adakah yang bisa menjelaskan keanehan yang saya lihat?

security debian port

— Alex
sumber

Apakah kedua hasil scan dilakukan pada saat yang sama.

— pradeepchhetri

3

Apakah Anda kebetulan menggunakan bandara Apple extreme atau kapsul waktu Apple di jaringan rumah Anda?

— faker

Saya punya Buffalo NAS yang menjalankan layanan yang kompatibel dengan DLNA saya percaya.

— Alex

Ini juga terjadi pada saya - saya berada di belakang Apple Time Capsule. :(

— pawstrong

1

Ini kemungkinan besar adalah sesuatu yang sejalan, 2 port tersebut (554/7070) adalah untuk pemain nyata RealServers.

http://service.real.com/firewall/adminfw.html

— Wyck
sumber

Saya setuju dengan kamu. Terima kasih. Saya telah melakukan apa yang disarankan oleh Nickgrim dan terbukti saya masih bisa membuka port (dengan asumsi tidak ada rootkit menggantikan netcat, netstat dan biner terkait lainnya untuk menipu saya!).

— Alex

BTW, bagaimana saya bisa membuktikan hal ini?

— Alex

@atc: telnetuntuk Anda yang baru mendengarkan netcat, dan periksa apakah ia menerima apa yang Anda ketik.

— jamaah

10

Saya cenderung menyalahkan ISP Anda atau sesuatu antara Anda dan server Anda untuk ini. Jika Anda hanya ingin meyakinkan diri sendiri bahwa port-port itu benar-benar ditutup, Anda bisa mencoba mendengarkan port-port itu dan jika itu berhasil maka aman untuk mengasumsikan tidak ada yang sudah mendengarkan. Inilah yang saya lakukan pada komputer saya (yang memiliki Apache pada port 80, dan tidak ada pada port 81):

$ sudo netcat -p 80 -l --wait 1    # Apache on port 80
Error: Couldn't setup listening socket (err=-3)
$ sudo netcat -p 81 -l --wait 1    # Nothing on port 81
(Ctrl-C)

EDIT: Dan untuk memastikan bahwa ini benar-benar berhasil, telnetdari kotak lain dan periksa netcatapakah menerima apa yang Anda kirim (Anda mungkin ingin menambah --waitbatas waktu).

— pendatang
sumber

Ini telah membuktikan bahwa masalahnya bukan pada server - pemindaian host lain mendaftar port yang sama terbuka saat tidak!

— Alex

Meskipun ini tidak menjawab pertanyaan langsung, saya telah memberi Anda suara positif karena itu adalah cara yang bagus untuk menyatakan apakah port digunakan atau tidak. Terima kasih atas masukan Anda.

— Alex

7

Router Anda mungkin yang harus disalahkan. Saya hanya ingin tahu apakah ini masalah dengan berada di host OpenVZ, dan menemukan artikel ini: Apakah port 21, 554, dan 7070 terbuka atau tertutup? Jawabannya iya.

Ini masuk akal bagi saya, karena saya saat ini menggunakan router FiOS Actiontec yang jelek. Setiap kombinasi pengujian nmap dan netcat pada node wadah dan host mengkonfirmasi bahwa port tersebut tidak benar-benar terbuka.

— lunistorvalds
sumber

1

+1 untuk router FiOS Actiontec yang jelek . Saya tahu kunci pribadi kotak Anda (begitu juga yang lain, terima kasih kepada Little Black Box ).

Saya beralih sebelum kehilangan FiOS, tetapi sekarang saya menggunakan router yang lebih aman dengan "router" nirkabel saya dalam mode AP. Siapa pun yang membaca artikel ini harus memeriksa proyek yang ditautkan. Blog yang bagus juga :)

— lunistorvalds

Hanya kepala: ini masih berlaku untuk Apple Airport Extreme sekarang. Menemukan cara yang sulit saat menguji pengaturan firewall untuk Amazon ec2 misalnya dari jaringan rumah saya.

— jlapoutre

5

Berbagai router yang berbeda (Verizon FiOS, BT Home Hub, Apple Airport Extreme, ...) menunjukkan port 554dan 7070terbuka untuk semua IP karena alasan tertentu.

Peretas »Port TCP positif palsu!

— Zaz
sumber

2

+1 untuk tautan Peretas yang sangat baik.

— codingoutloud

0

Saya setuju dengan uang muka. Anda juga mungkin ingin mencoba scan nmap lokal dari kotak itu sendiri

Bandingkan keluaran ini:

nmap 127.0.0.1

nmap 1.2.3.4

Di mana 1.2.3.4 adalah ip publik Anda

— portforwardpodcast
sumber

0

Ini mungkin RTSP ALG (Application Layer Gateway) pada hub rumah Anda yang mengganggu lalu lintas dan memberikan respons.

— AndrewW
sumber

0

Apakah Anda menggunakan VM di ESXi Guest? Saya mulai memiliki hasil 554/7070 palsu ketika saya memindahkan Kali linux VM saya dari Workstation ke ESXi. Anda dapat memverifikasi latensi:

nmap yourip --reason -p 7070 --traceroute

Periksa jumlah hop berbeda dari port 554 dan 7070 dengan port normal ...

— enrico sandri
sumber