Acties:
  • 0 Henk 'm!

  • djkorpo
  • Registratie: Maart 2005
  • Laatst online: 18-05 08:49
Beste allemaal,

Ik zit met een dilemma met een verse Centos installatie. Deze draait op een VPS van een hoster. Hierop met een dienst komen te draaien welke eigenlijk maar met 1 poort naar buiten gaat (25565, sommige weten waarvoor het is :) )

Als ik in /etc/sysconfig/iptables kijk, staat daar netjes een standaardconfig van de hoster welke in mijn optiek compleet logisch is. Ze hebben een stukje aangemaakt in die file voor hun beheer waarvan de entries alleen toegelaten worden voor bepaalde IP adressen die van de hoster zijn (monitoring, support etc)

Als ik een scan met Nmap doet (intense +all ports op 127.0.0.1 ) op de Centos machine, krijg ik daar ook netjes alleen de poorten te zien welke zijn geconfigureerd als open.

So far so good

Wanneer ik diezelfde Nmap-scan uitvoer vanaf een remote machine, momenteel op het werk maar hetzelfde thuis krijg ik echter heel veel porten te zien die openstaan. Deze bevinden zich voornamelijk in de 1001~65565 range waar sommige zich ook (terecht of onterecht) onderin de range bevinden.

Hieronder een stuk output van Nmap vanaf een remote machine;

Discovered open port 21/tcp on 123.456.789.123
Discovered open port 993/tcp on 123.456.789.123
Discovered open port 587/tcp on 123.456.789.123
Discovered open port 113/tcp on 123.456.789.123
Discovered open port 3306/tcp on 123.456.789.123
Discovered open port 8888/tcp on 123.456.789.123
Discovered open port 3367/tcp on 123.456.789.123
Discovered open port 8080/tcp on 123.456.789.123
Discovered open port 22/tcp on 123.456.789.123
Discovered open port 5087/tcp on 123.456.789.123
Discovered open port 3527/tcp on 123.456.789.123
Discovered open port 6006/tcp on 123.456.789.123
Discovered open port 44176/tcp on 123.456.789.123
Discovered open port 3880/tcp on 123.456.789.123
Discovered open port 2800/tcp on 123.456.789.123
Discovered open port 9485/tcp on 123.456.789.123
Discovered open port 111/tcp on 123.456.789.123
Discovered open port 256/tcp on 123.456.789.123
Discovered open port 5900/tcp on 123.456.789.123
Discovered open port 3389/tcp on 123.456.789.123
Discovered open port 199/tcp on 123.456.789.123
Discovered open port 23/tcp on 123.456.789.123
Discovered open port 1025/tcp on 123.456.789.123
Discovered open port 135/tcp on 123.456.789.123
Discovered open port 15003/tcp on 123.456.789.123
Discovered open port 554/tcp on 123.456.789.123
Discovered open port 445/tcp on 123.456.789.123
Discovered open port 4242/tcp on 123.456.789.123
Discovered open port 13722/tcp on 123.456.789.123
Discovered open port 5903/tcp on 123.456.789.123
Discovered open port 5051/tcp on 123.456.789.123
Discovered open port 15004/tcp on 123.456.789.123
Discovered open port 555/tcp on 123.456.789.123
Discovered open port 1334/tcp on 123.456.789.123
Discovered open port 9998/tcp on 123.456.789.123
Discovered open port 54328/tcp on 123.456.789.123
Discovered open port 15742/tcp on 123.456.789.123
Discovered open port 6580/tcp on 123.456.789.123
Discovered open port 1935/tcp on 123.456.789.123
Discovered open port 5101/tcp on 123.456.789.123
Discovered open port 6901/tcp on 123.456.789.123
Discovered open port 8994/tcp on 123.456.789.123
Discovered open port 8400/tcp on 123.456.789.123
Discovered open port 8873/tcp on 123.456.789.123
Discovered open port 3005/tcp on 123.456.789.123
Discovered open port 2100/tcp on 123.456.789.123
Discovered open port 222/tcp on 123.456.789.123
Discovered open port 1277/tcp on 123.456.789.123
Discovered open port 8085/tcp on 123.456.789.123
Discovered open port 30718/tcp on 123.456.789.123
Discovered open port 1300/tcp on 123.456.789.123
Discovered open port 1805/tcp on 123.456.789.123
Discovered open port 1186/tcp on 123.456.789.123
Discovered open port 49165/tcp on 123.456.789.123
Discovered open port 1461/tcp on 123.456.789.123
Discovered open port 6566/tcp on 123.456.789.123
Discovered open port 44443/tcp on 123.456.789.123
Discovered open port 5815/tcp on 123.456.789.123
Discovered open port 1028/tcp on 123.456.789.123
Discovered open port 5915/tcp on 123.456.789.123
Discovered open port 5800/tcp on 123.456.789.123
Discovered open port 1984/tcp on 123.456.789.123
Discovered open port 25734/tcp on 123.456.789.123
Discovered open port 8022/tcp on 123.456.789.123
Discovered open port 4848/tcp on 123.456.789.123
Discovered open port 5679/tcp on 123.456.789.123
Discovered open port 49400/tcp on 123.456.789.123
Discovered open port 3945/tcp on 123.456.789.123
Discovered open port 5850/tcp on 123.456.789.123
Discovered open port 2601/tcp on 123.456.789.123
Discovered open port 2602/tcp on 123.456.789.123
Discovered open port 8082/tcp on 123.456.789.123
Discovered open port 801/tcp on 123.456.789.123
Discovered open port 801/tcp on 123.456.789.123

Heeft er iemand enig idee wat ik hiertegen zou kunnen doen? Is een soort van Deny rule een goeie optie? Ben echter alleen bang dat ik per ongeluk SSH dan dichtgooi. Heb mijzelf suf gezocht naar soortgelijke omstandheden maar veelal vind je in deze hoek alleen te specifieke informatie.

Alvast hartelijk dank voor het lezen en eventuele antwoord.

Acties:
  • 0 Henk 'm!

  • stfn345
  • Registratie: Januari 2000
  • Laatst online: 22:38
je kunt sowieso alle services disablen.. op port 22 tcp na (sshd)

Acties:
  • 0 Henk 'm!

  • Beatboxx
  • Registratie: April 2010
  • Laatst online: 26-10-2022

Beatboxx

Certified n00b

offtopic:
minecraft :D


Vraag aan je hoster waarom alles open staat, en vraag of ze 't dicht kunnen gooien?

Acties:
  • 0 Henk 'm!

  • djkorpo
  • Registratie: Maart 2005
  • Laatst online: 18-05 08:49
razorhead schreef op donderdag 05 januari 2012 @ 16:18:
je kunt sowieso alle services disablen.. op port 22 tcp na (sshd)
Hoe kan ik alles dichtzetten? Is daar een commando voor of moet ik daar een andere IPtable voor inladen? Dat het beheer van de hoster er tijdelijk even mee ophoud kan voor de test mij niet zoveel schelen.

Acties:
  • 0 Henk 'm!

  • djkorpo
  • Registratie: Maart 2005
  • Laatst online: 18-05 08:49
Beatboxx schreef op donderdag 05 januari 2012 @ 16:20:
offtopic:
minecraft :D


Vraag aan je hoster waarom alles open staat, en vraag of ze 't dicht kunnen gooien?
offtopic:
klopt :D


De hoster geeft aan de hand van de iptables file aan dat het in orde moet zijn. Als hun vanuit hun interne lan hetzelfde checkje uitvoeren krijgen ze dezelfde resultaten als dat ik Nmap vanaf de Centos machine draai.

Acties:
  • 0 Henk 'm!

  • chronoz
  • Registratie: Maart 2010
  • Laatst online: 09-10-2022
Sowieso een firewall installeren en werken met port-whitelisting, maar dit zijn wel erg veel poorten, wat draait er op poort 8888?
lsof -i tcp:8888
Eventueel met netstat achterhalen, maar ik ken de commando's daar niet van. Het loont zeker de moeite om te achterhalen welke poorten draaien, die niet standaard horen te draaien op een nieuwe CentOS-5 installatie.

Acties:
  • 0 Henk 'm!

  • djkorpo
  • Registratie: Maart 2005
  • Laatst online: 18-05 08:49
chronoz schreef op donderdag 05 januari 2012 @ 16:26:
Sowieso een firewall installeren en werken met port-whitelisting, maar dit zijn wel erg veel poorten, wat draait er op poort 8888?
lsof -i tcp:8888
Eventueel met netstat achterhalen, maar ik ken de commando's daar niet van. Het loont zeker de moeite om te achterhalen welke poorten draaien, die niet standaard horen te draaien op een nieuwe CentOS-5 installatie.
Is er standaard geen firewall aanwezig? Dacht dat IPTables al het filteren deed :)

Ik krijg geen error met lsof -i tcp:8888, maar ook geen output.

Acties:
  • 0 Henk 'm!

  • Oid
  • Registratie: November 2002
  • Niet online

Oid

op basis van welke techniek is de VPS? Bijv. plesk heeft zo'n eigen kernel erboven op waardoor iptables niet werkt maar via hun control panel moet aanpassen.

Acties:
  • 0 Henk 'm!

  • djkorpo
  • Registratie: Maart 2005
  • Laatst online: 18-05 08:49
Oid schreef op donderdag 05 januari 2012 @ 16:59:
op basis van welke techniek is de VPS? Bijv. plesk heeft zo'n eigen kernel erboven op waardoor iptables niet werkt maar via hun control panel moet aanpassen.
Het is een Hyper-V omgeving met directe toegang. Geen attributen geïnstalleerd. Het enige wat ik er los bij hebt geïnstalleerd zijn Nmap en Screen. Daarbuiten heb ik wat Groups verwijderd (Mail, MySQL, Webserver) Dit allen wel na de constatering dat er zoveel porten open stonden, het moet er zowiezo af :)

Bedankt voor het meedenken, ik weet dat Directadmin op Centos ook zo`n lievertje is inderdaad!

Acties:
  • 0 Henk 'm!

  • djkorpo
  • Registratie: Maart 2005
  • Laatst online: 18-05 08:49
Ben nog even verder gegaan met uitzoeken, blijf ontiegelijk veel open ports zien op Nmap via een remote machine. Heb een nieuwe iptables geschreven, hieronder wat er instaat;

:INPUT DROP [81:5524]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [111:19864]
:Beheer - [0:0]
:Klant - [0:0]
:Public - [0:0]
:SSH-Toegang - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
COMMIT
# Completed on Fri Jan  6 13:18:26 2012


Als ik dit zo lees, wil ik alleen op port 22 resultaten zien met Nmap, maar het blijft hetzelfde liedje. Nu is het echter wel zo dat als ik verschillende portscan websites gebruik, ik ook alleen resultaten op port 22 ziet. Nu begin ik mij af te vragen wat Nmap anders doet dan sites die ook een portscan service aanbieden.

Acties:
  • 0 Henk 'm!

  • djkorpo
  • Registratie: Maart 2005
  • Laatst online: 18-05 08:49
Nog een aanvulling,

Ik heb een scan met Nessus gedaan, deze geeft dezelfde resultaten als Nmap. Veel poorten staan open maar geen dienst erachter.

Acties:
  • 0 Henk 'm!

  • chronoz
  • Registratie: Maart 2010
  • Laatst online: 09-10-2022
Je mag de edit-knop gebruiken trouwens :)
Maar ik vind het apart dat er zoveel poorten open lijken te staan, dat betekent dat erop geluisterd wordt?

netstat --tcp --listening --programs
netstat -anp | grep 8888
Ik ben zelf altijd gewend lsof te gebruiken, jammer dat dat niet werkt. Je ziet dan gelijk de service, poort, username en extra informatie.
[root@plesk01 ~]# lsof -i tcp:80
COMMAND   PID   USER   FD   TYPE  DEVICE SIZE NODE NAME
httpd   13517 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   13579 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   13626 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   13643 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   13777 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   13839 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   13847 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   14004 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   14005 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   14006 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   17530 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   21589   root    4u  IPv6 9952869       TCP *:http (LISTEN)
[root@plesk01 ~]#

Je kunt er zo makkelijk achter komen wat er draait op een specifieke poort. Bij mij draait op poort 25 dus Postfix zoals je hieronder ziet.
[root@plesk01 ~]# lsof -i tcp:25
COMMAND  PID USER   FD   TYPE DEVICE SIZE NODE NAME
master  4834 root   11u  IPv4  13287       TCP *:smtp (LISTEN)
master  4834 root   12u  IPv6  13288       TCP *:smtp (LISTEN)
[root@plesk01 ~]# lsof -p 4834
COMMAND  PID USER   FD   TYPE             DEVICE    SIZE    NODE NAME
master  4834 root  cwd    DIR                8,1    4096 5375236 /var/spool/postfix
Je zou eventueel op Freenode hulp kunnen vragen hoe je erachter kunt komen welke programma gebruik maken van specifieke poorten. Je kunt ook telnet localhost 8888 draaien, maar je kunt daar bij geen respons geen conclusie uit trekken, want het controleert alleen tcp en niet udp.

Acties:
  • 0 Henk 'm!

  • djkorpo
  • Registratie: Maart 2005
  • Laatst online: 18-05 08:49
chronoz schreef op vrijdag 06 januari 2012 @ 15:21:
Je mag de edit-knop gebruiken trouwens :)
Maar ik vind het apart dat er zoveel poorten open lijken te staan, dat betekent dat erop geluisterd wordt?

netstat --tcp --listening --programs
netstat -anp | grep 8888
Ik ben zelf altijd gewend lsof te gebruiken, jammer dat dat niet werkt. Je ziet dan gelijk de service, poort, username en extra informatie.
[root@plesk01 ~]# lsof -i tcp:80
COMMAND   PID   USER   FD   TYPE  DEVICE SIZE NODE NAME
httpd   13517 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   13579 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   13626 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   13643 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   13777 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   13839 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   13847 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   14004 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   14005 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   14006 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   17530 apache    4u  IPv6 9952869       TCP *:http (LISTEN)
httpd   21589   root    4u  IPv6 9952869       TCP *:http (LISTEN)
[root@plesk01 ~]#

Je kunt er zo makkelijk achter komen wat er draait op een specifieke poort. Bij mij draait op poort 25 dus Postfix zoals je hieronder ziet.
[root@plesk01 ~]# lsof -i tcp:25
COMMAND  PID USER   FD   TYPE DEVICE SIZE NODE NAME
master  4834 root   11u  IPv4  13287       TCP *:smtp (LISTEN)
master  4834 root   12u  IPv6  13288       TCP *:smtp (LISTEN)
[root@plesk01 ~]# lsof -p 4834
COMMAND  PID USER   FD   TYPE             DEVICE    SIZE    NODE NAME
master  4834 root  cwd    DIR                8,1    4096 5375236 /var/spool/postfix
Je zou eventueel op Freenode hulp kunnen vragen hoe je erachter kunt komen welke programma gebruik maken van specifieke poorten. Je kunt ook telnet localhost 8888 draaien, maar je kunt daar bij geen respons geen conclusie uit trekken, want het controleert alleen tcp en niet udp.
toon volledige bericht
Bedankt voor je reactie, ik denk echter dat de config wel goed is eigenlijk. Poorten die ik niet openstel binnen de iptables, zijn ook niet beschikbaar voor gebruik. Heb SSH bijvoorbeeld even dichtgezet en inderdaad kon ik er niet meer opkomen. Dit is de output van een nmap scan op de Centos machine zelf, precies zoals ik hem aan de buitenkant ook wil zien..

PORT      STATE SERVICE           VERSION
21/tcp    open  ftp?
22/tcp    open  ssh?
10000/tcp open  snet-sensor-mgmt?


Zat echter een beetje te googlen en de term "SYN-ACK" viel mij op. Ik zie via Webmin dat deze optie ook ergens voorbij komt. Voor zover ik begrijp is SYN het request en ACK de bevestiging van een communicatieverzoek. Nu ziet Nmap en Nessus geen diensten draaien op de poorten die ik dicht wil hebben maar ik snap er de ballen niet van (Windows beheerder :P)

Moet je dit dichtzetten?

Kan het zo zijn dat de poorten die niet alszijnde open geconfigureerd zijn wel hiernaar luisteren? (het SYN request)

Acties:
  • 0 Henk 'm!

  • swbr
  • Registratie: Maart 2009
  • Laatst online: 27-06 19:36
djkorpo schreef op donderdag 05 januari 2012 @ 16:31:
Ik krijg geen error met lsof -i tcp:8888, maar ook geen output.
en als je 'lsof -i' gebruikt? Je moet dit overigens wel als root doen, als gewone user zul je alleen services kunnen zien die onder je eigen account gestart zijn.

If you try and take a cat apart to see how it works, the first thing you have on your hands is a non-working cat. -DNA


Acties:
  • 0 Henk 'm!

  • djkorpo
  • Registratie: Maart 2005
  • Laatst online: 18-05 08:49
Antaresje schreef op vrijdag 06 januari 2012 @ 16:02:
[...]


en als je 'lsof -i' gebruikt? Je moet dit overigens wel als root doen, als gewone user zul je alleen services kunnen zien die onder je eigen account gestart zijn.
Ik krijg inderdaad dan output, heb even wat poorten geprobeerd die Nmap als "open" aangeeft maar daar krijg ik geen output. Heb lsof -i tcp:22 ook geprobeerd, dan zie ik netjes de SSH voorbij komen. Command werkt dus goed :)

Zomaar een gokje, IPv6 uitzetten?

Acties:
  • 0 Henk 'm!

  • djkorpo
  • Registratie: Maart 2005
  • Laatst online: 18-05 08:49
Ik heb wat gevonden!

Momenteel laat hij alleen nog de open poorten zien als hij een SYN stealth scan uitvoert, alle andere smaken die Nmap te bieden heeft geven netjes alleen de poorten aan die ik open heb gesteld. Dat stelt me al flink gerust.

Is er enig manier op dat SYN gebeuren te blocken? (ik google ook verder)

Acties:
  • 0 Henk 'm!

  • swbr
  • Registratie: Maart 2009
  • Laatst online: 27-06 19:36
Ik heb eerder het vermoeden dat je niet rechtstreeks tegen je server praat, maar via NAT o.i.d. eerst ergens anders terecht komt. Je zou eens een aantal poorten moeten proberen te bereiken met telnet:

telnet <server> 111


Als je dan iets krijgt als 'connected to <hostname>' en een telnet prompt, dan luistert er daadwerkelijk iets. Krijgen je connection refused of time-out, dan hoef je je in elk geval geen zorgen te maken.

Ik zie ook poort 23 terugkomen in je lijstje, dat zou betekenen dat telnet zelf openstaat. Dat kan ik me eigenlijk niet eens voorstellen.

If you try and take a cat apart to see how it works, the first thing you have on your hands is a non-working cat. -DNA


Acties:
  • 0 Henk 'm!

  • djkorpo
  • Registratie: Maart 2005
  • Laatst online: 18-05 08:49
Antaresje schreef op vrijdag 06 januari 2012 @ 16:21:
Ik heb eerder het vermoeden dat je niet rechtstreeks tegen je server praat, maar via NAT o.i.d. eerst ergens anders terecht komt. Je zou eens een aantal poorten moeten proberen te bereiken met telnet:

telnet <server> 111


Als je dan iets krijgt als 'connected to <hostname>' en een telnet prompt, dan luistert er daadwerkelijk iets. Krijgen je connection refused of time-out, dan hoef je je in elk geval geen zorgen te maken.

Ik zie ook poort 23 terugkomen in je lijstje, dat zou betekenen dat telnet zelf openstaat. Dat kan ik me eigenlijk niet eens voorstellen.
Connection failed! Afz. Windows :)

Acties:
  • 0 Henk 'm!

  • Xantios
  • Registratie: Maart 2006
  • Laatst online: 26-06 20:38
lijkt er in mijn visie op dat er ergens een verdwaalde router beetje leugenachtig met poorten omgaat...

Acties:
  • 0 Henk 'm!

  • djkorpo
  • Registratie: Maart 2005
  • Laatst online: 18-05 08:49
Ben er uit, volgens mij is de kust veilig op de machine. Het enige wat ik mij kan bedenken als de poortjes echt luisteren naar die SYN stealth scans is dat er dikke overflow plaatsvind als iemand daar echt heel veel moeite voor wilt doen.

Ik ga verder met mijn zoektocht om SYN stealth scans te blokkeren. Zodra ik iets gevonden hebt zal ik het delen, het moet te doen zijn daar ik via webmin diverse opties voor "SYN" en "ACK" kan vinden. Ik weet alleen niet welke van de 2 ik moet blokeren.

Suggesties altijd welkom, en de mensen nog bedankt voor het meedenken!

Acties:
  • 0 Henk 'm!

  • chronoz
  • Registratie: Maart 2010
  • Laatst online: 09-10-2022
Discovered open port 8888/tcp on 123.456.789.123

Vanaf die machine geeft telnet 123.456.789.123 8888 ook een time-out? Dat vind ik dan wel weer vreemd.

Het ziet er inderdaad naar uit dat de kust 100% veilig is, maar het blijft interessant om te achterhalen waarom nmap zoveel extra open poorten aangeeft.

Sorry voor mijn obsessie met 8888 8)7

Acties:
  • 0 Henk 'm!

  • djkorpo
  • Registratie: Maart 2005
  • Laatst online: 18-05 08:49
chronoz schreef op vrijdag 06 januari 2012 @ 17:04:
Discovered open port 8888/tcp on 123.456.789.123

Vanaf die machine geeft telnet 123.456.789.123 8888 ook een time-out? Dat vind ik dan wel weer vreemd.

Het ziet er inderdaad naar uit dat de kust 100% veilig is, maar het blijft interessant om te achterhalen waarom nmap zoveel extra open poorten aangeeft.

Sorry voor mijn obsessie met 8888 8)7
Als je het leuk vind, mag je zelf ook een scan uitvoeren. IP is 178.251.194.191. De open poorten zie je alleen met een intense scan of met een -sS command achter Nmap
Pagina: 1