Forum Linux.mandriva Port ouvert

Posté par (page perso) .
Tags : aucun
0
25
nov.
2004
Voila je progresse jour après jour dans la maitrise de ma mandrake.

J'ai découvert nmap et je me posse des questions sur certains ports ouverts

Comment fermé proprement un port ?

Par exemple
111//tcp open sunrpc C'est imprudent d'avoir un port rpc d'ouvert ?
666/tcp open doom c'est un vers ?
717/tcp inconnu >
798/tcp inconnu > Comment savoir a quoi il font référence?
828/tcp inconnu >
953/tcp rndc ? C'est quoi ?
783/tcp hp-alarm-mgr ? C'est quoi ?
  • # Début de réponse

    Posté par (page perso) . Évalué à 3.

  • # 2 solutions...

    Posté par . Évalué à 2.

    Soit tu ajoutes des règles sur ton firewall pour bloquer explicitement les ports, soit tu identifies et désactive les process responsables de l'ouverture de ces ports.
    • [^] # Re: 2 solutions...

      Posté par (page perso) . Évalué à 1.

      Comment les identifier ?
      • [^] # Re: 2 solutions...

        Posté par (page perso) . Évalué à 3.

        #netstat -taupe
        • [^] # Re: 2 solutions...

          Posté par (page perso) . Évalué à 1.

          udp 0 0 *:nfs *:* root 4967 -

          udp 0 0 *:32770 *:* root 4976 -

          udp 0 0 192.168.0.3:netbios-ns *:* root 6119 -

          udp 0 0 *:netbios-ns *:* root 6115 -

          udp 0 0 192.168.0.3:netbios-dgm *:* root 6120 -

          Il me donne un "-" pour le pid bizarre, non ?
          • [^] # Re: 2 solutions...

            Posté par (page perso) . Évalué à 2.

            #netstat -taupe

            Le # signifie fait le sous root.
            • [^] # Re: 2 solutions...

              Posté par (page perso) . Évalué à 2.

              oui

              tu auras une liste de toutes les ports en écoutes et le PID du logiciel qui a ouverts ses ports...

              après c'est un jeu d'enfant...

              M.

              PS : pour nmap, par défaut il ne scanne pas grand chose en UDP, pour un scan plutot pas trop mauvais je fais en général :
              #nmap -P0 -O -sT -sU localhost
        • [^] # Re: 2 solutions...

          Posté par (page perso) . Évalué à 3.

          netstat -lapute fonctionne très bien aussi et est façile a retenir :)
      • [^] # Re: 2 solutions...

        Posté par . Évalué à 1.

        Solution la plus simple, mais assez bourrine : passer root, tuer au hasard des processus (par kill -TERM suivi d'un pid quelconque), et regarder le port qui devient inaccessible.

        Si quelqu'un connait une autre solution...
        • [^] # Re: 2 solutions...

          Posté par . Évalué à 1.

          Tiens, on dirait que quelqu'un connaissait une autre solution. :)
          • [^] # Re: 2 solutions...

            Posté par (page perso) . Évalué à 4.

            Y'a une autre commande moins connu et aussi moins merdique que netstat.

            lsof -i

            http://perso.wanadoo.fr/gnumdk/lsof.png(...)

            Je trouve ca plus clair au niveau de l'affichage

            C'est un peu comme ifconfig, route & co

            ifconfig -> ip addr ls
            route -> ip route ls

            Une fois de plus, affichage plus clair, pas besoin d'etre root ou de donné le chemin complet, et contrairement à route, ip route ls ne bloque pas comme une merde quand une route est éronée.

            il faut installé iproute pour que ca marche. Aller, un petit merci à Bernard Massot de m'avoir fait découvrir cet outils.
            • [^] # Re: 2 solutions...

              Posté par (page perso) . Évalué à 2.

              >et contrairement à route, ip route ls ne bloque pas comme une merde quand >une route est éronée.

              Juste une remarque en passant (attention je dit pas que route est super ni rien)
              il faut rendre justice a route : quand il 'bloque' c'est surtout qu'il arrive pas a faire
              un reverse sur l'addresse ip. il faut dans ce cas lancer route par un 'route -n'
  • # Liste des ports

    Posté par (page perso) . Évalué à 2.

    Bonjour,

    Pour avoir la signification établie entre les numéros de ports et les services il faut consulter le document de reference de l'Iana :

    http://www.iana.org/assignments/port-numbers(...)

    Cela dit il peut arriver de trouver un service connu écoutant sur un port non standard (on peut paramétrer un serveur web sur autre chose que le port 80).

    En vrac quelques éclaircissements :

    * port 666 / doom : ton fichier /etc/services indique le port 666 correspond au jeu Doom (le premier du nom) ce qui n'est probablement pas le cas sur ta machine. Il doit donc y avoir un autre service qui l'utilise.

    * rndc est un service lié a Bind (serveur de nom) si je ne m'abuse

    D'une maniere générale : google port XXX avec le nom et ca met sur la piste du programme incriminé.

    Pour savoir comment arrêter les programmes en écoute il faudrait voir soit dans le centre de contrôle la liste des services démarrés, soit directement regarder dans les scripts de démarrage.
    • [^] # Re: Liste des ports

      Posté par (page perso) . Évalué à 1.

      Merci de ta réponse.

      Ce qui me gène dans le processus 666 doom c'est que cela soit la trace d'une intrusion >:)
      J'ai réussit à le désactivé, dans ma première analyse partiel il faisait parti de rpc.stat mon partage nfs et mon service NIS que je teste.

      Je fais joujou avant de faire des conneries grandeurs nature :op.

      Merci de vos réponses je peux dormir tranquille et moins bête ces soir :) en espérant que d'autre on apris avec mois ce soir.
  • # analyseur de protocole

    Posté par . Évalué à 2.

    Je sais qu'il existe un analyseur de protocole. Un truc qui intèrroge la machine distante et fais un "fingerprint" pour le déterminer. C'est plus utile que de connaitre le port ouvert.

    Mais je ne me rappelle plus du nom :/

    "La première sécurité est la liberté"

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.