Forum Linux.mandriva Port ouvert

Posté par Samaty Tramo le 25 novembre 2004 à 20:57.

Étiquettes : aucune

nov.

2004

Voila je progresse jour après jour dans la maitrise de ma mandrake.

J'ai découvert nmap et je me posse des questions sur certains ports ouverts

Comment fermé proprement un port ?

Par exemple
111//tcp open sunrpc C'est imprudent d'avoir un port rpc d'ouvert ?
666/tcp open doom c'est un vers ?
717/tcp inconnu >
798/tcp inconnu > Comment savoir a quoi il font référence?
828/tcp inconnu >
953/tcp rndc ? C'est quoi ?
783/tcp hp-alarm-mgr ? C'est quoi ?

# Début de réponse

Posté par Samaty Tramo le 25 novembre 2004 à 21:00. Évalué à 3.

http://www.bekkoame.ne.jp/~s_ita/port/port600-699.html(...)
# 2 solutions...

Posté par Cali_Mero le 25 novembre 2004 à 21:00. Évalué à 2.

Soit tu ajoutes des règles sur ton firewall pour bloquer explicitement les ports, soit tu identifies et désactive les process responsables de l'ouverture de ces ports.
- [^] # Re: 2 solutions...
  
  Posté par Samaty Tramo le 25 novembre 2004 à 21:01. Évalué à 1.
  
  Comment les identifier ?
  - [^] # Re: 2 solutions...
    
    Posté par kolter (site web personnel, Mastodon) le 25 novembre 2004 à 21:06. Évalué à 3.
```
#netstat -taupe
```
    - [^] # Re: 2 solutions...
      
      Posté par Samaty Tramo le 25 novembre 2004 à 21:13. Évalué à 1.
      
      udp 0 0 *:nfs *:* root 4967 -
      
      udp 0 0 *:32770 *:* root 4976 -
      
      udp 0 0 192.168.0.3:netbios-ns *:* root 6119 -
      
      udp 0 0 *:netbios-ns *:* root 6115 -
      
      udp 0 0 192.168.0.3:netbios-dgm *:* root 6120 -
      
      Il me donne un "-" pour le pid bizarre, non ?
      - [^] # Re: 2 solutions...
        
        Posté par Samaty Tramo le 25 novembre 2004 à 21:20. Évalué à 2.
        
        #netstat -taupe
        
        Le # signifie fait le sous root.
        
        [^] # Re: 2 solutions...
        
        Posté par kolter (site web personnel, Mastodon) le 25 novembre 2004 à 21:31. Évalué à 2.
        
        oui
        
        tu auras une liste de toutes les ports en écoutes et le PID du logiciel qui a ouverts ses ports...
        
        après c'est un jeu d'enfant...
        
        M.
        
        PS : pour nmap, par défaut il ne scanne pas grand chose en UDP, pour un scan plutot pas trop mauvais je fais en général :
        
        #nmap -P0 -O -sT -sU localhost
    - [^] # Re: 2 solutions...
      
      Posté par Erwan Scouarnec (site web personnel) le 25 novembre 2004 à 22:08. Évalué à 3.
      
      netstat -lapute fonctionne très bien aussi et est façile a retenir :)
      - [^] # Re: 2 solutions...
        
        Posté par Nicolas Bernard (site web personnel) le 26 novembre 2004 à 09:04. Évalué à 2.
        
        en plus poli, il y a 'netstate -plante'...
        Mais pour identifier le process, ça ne vaut pas un 'lsof -i -n'...
  - [^] # Re: 2 solutions...
    
    Posté par CoinKoin le 25 novembre 2004 à 21:20. Évalué à 1.
    
    Solution la plus simple, mais assez bourrine : passer root, tuer au hasard des processus (par kill -TERM suivi d'un pid quelconque), et regarder le port qui devient inaccessible.
    
    Si quelqu'un connait une autre solution...
    - [^] # Re: 2 solutions...
      
      Posté par CoinKoin le 25 novembre 2004 à 21:31. Évalué à 1.
      
      Tiens, on dirait que quelqu'un connaissait une autre solution. :)
      - [^] # Re: 2 solutions...
        
        Posté par gnumdk (site web personnel) le 25 novembre 2004 à 23:04. Évalué à 4.
        
        Y'a une autre commande moins connu et aussi moins merdique que netstat.
        
        lsof -i
        
        http://perso.wanadoo.fr/gnumdk/lsof.png(...)
        
        Je trouve ca plus clair au niveau de l'affichage
        
        C'est un peu comme ifconfig, route & co
        
        ifconfig -> ip addr ls
        route -> ip route ls
        
        Une fois de plus, affichage plus clair, pas besoin d'etre root ou de donné le chemin complet, et contrairement à route, ip route ls ne bloque pas comme une merde quand une route est éronée.
        
        il faut installé iproute pour que ca marche. Aller, un petit merci à Bernard Massot de m'avoir fait découvrir cet outils.
        
        [^] # Re: 2 solutions...
        
        Posté par -=[ silmaril ]=- (site web personnel) le 26 novembre 2004 à 09:13. Évalué à 2.
        
        >et contrairement à route, ip route ls ne bloque pas comme une merde quand >une route est éronée.
        
        Juste une remarque en passant (attention je dit pas que route est super ni rien)
        il faut rendre justice a route : quand il 'bloque' c'est surtout qu'il arrive pas a faire
        un reverse sur l'addresse ip. il faut dans ce cas lancer route par un 'route -n'
# Liste des ports

Posté par Ellendhel (site web personnel) le 25 novembre 2004 à 21:21. Évalué à 2.

Bonjour,

Pour avoir la signification établie entre les numéros de ports et les services il faut consulter le document de reference de l'Iana :

http://www.iana.org/assignments/port-numbers(...)

Cela dit il peut arriver de trouver un service connu écoutant sur un port non standard (on peut paramétrer un serveur web sur autre chose que le port 80).

En vrac quelques éclaircissements :

* port 666 / doom : ton fichier /etc/services indique le port 666 correspond au jeu Doom (le premier du nom) ce qui n'est probablement pas le cas sur ta machine. Il doit donc y avoir un autre service qui l'utilise.

* rndc est un service lié a Bind (serveur de nom) si je ne m'abuse

D'une maniere générale : google port XXX avec le nom et ca met sur la piste du programme incriminé.

Pour savoir comment arrêter les programmes en écoute il faudrait voir soit dans le centre de contrôle la liste des services démarrés, soit directement regarder dans les scripts de démarrage.
- [^] # Re: Liste des ports
  
  Posté par Samaty Tramo le 25 novembre 2004 à 21:48. Évalué à 1.
  
  Merci de ta réponse.
  
  Ce qui me gène dans le processus 666 doom c'est que cela soit la trace d'une intrusion >:)
  J'ai réussit à le désactivé, dans ma première analyse partiel il faisait parti de rpc.stat mon partage nfs et mon service NIS que je teste.
  
  Je fais joujou avant de faire des conneries grandeurs nature :op.
  
  Merci de vos réponses je peux dormir tranquille et moins bête ces soir :) en espérant que d'autre on apris avec mois ce soir.
  - [^] # Re: Liste des ports
    
    Posté par G. R. (site web personnel) le 26 novembre 2004 à 09:14. Évalué à 1.
    
    sur ce site, toutes les utilisations référencées de ports (tous systèmes) :
    
    http://www.portsdb.org/(...)
# analyseur de protocole

Posté par Nicolas Boulay (site web personnel) le 26 novembre 2004 à 10:52. Évalué à 2.

Je sais qu'il existe un analyseur de protocole. Un truc qui intèrroge la machine distante et fais un "fingerprint" pour le déterminer. C'est plus utile que de connaitre le port ouvert.

Mais je ne me rappelle plus du nom :/
"La première sécurité est la liberté"
- [^] # Re: analyseur de protocole
  
  Posté par lampapiertramol (site web personnel) le 26 novembre 2004 à 15:44. Évalué à 1.
  
  nessus ? (qui utilise nmap il me semble)
  - [^] # Re: analyseur de protocole
    
    Posté par Nicolas Boulay (site web personnel) le 28 novembre 2004 à 12:22. Évalué à 2.
    
    non un autre truc. qui ne se base pas du tout sur nmap
    "La première sécurité est la liberté"

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.