nmap trên máy chủ web của tôi hiển thị các cổng TCP 554 và 7070 mở

11

Tôi có một máy chủ web lưu trữ các trang web khác nhau cho tôi. Hai dịch vụ có thể truy cập bên ngoài là SSH và Apache2. Chúng đang chạy trên một cổng không chuẩn và tiêu chuẩn, tương ứng. Tất cả các cổng khác được đóng rõ ràng thông qua arno-iptables-tường lửa. Máy chủ đang chạy thử nghiệm Debian.

Tôi nhận thấy rằng việc quét máy chủ bằng nmap tạo ra kết quả khác nhau từ các PC khác nhau. Từ máy tính xách tay của tôi trên mạng gia đình của tôi (đằng sau BT Homehub), tôi nhận được những điều sau:

Not shown: 996 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
554/tcp  open  rtsp
7070/tcp open  realserver
9000/tcp open  cslistener

trong khi quét từ máy chủ có trụ sở tại Hoa Kỳ với nmap 5,00 và hộp Linux ở Na Uy chạy nmap 5.21 tôi nhận được như sau:

Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
9000/tcp open  cslistener

Vì vậy, tôi hy vọng đó là mạng nội bộ hoặc ISP của tôi đang phát triển, nhưng tôi không thể chắc chắn.

Chạy một netstat -l | grep 7070sản xuất không có gì. Tương tự cho cổng 554.

Bất cứ ai có thể giải thích những đặc thù tôi đang nhìn thấy?

security  debian  port 
Alex
nguồn
Cho dù cả hai kết quả là quét được thực hiện cùng một lúc.
pradeepchhetri
3
Bạn có bất kỳ cơ hội sử dụng một cực Apple sân bay hoặc viên nang thời gian Apple trong mạng gia đình của bạn?
mạo
Tôi tin rằng tôi đã có một NAS Buffalo chạy dịch vụ tương thích DLNA.
Alex
Điều này cũng xảy ra với tôi - Tôi đứng sau Apple Time Capsule. :(
pawstrong

Câu trả lời:

1

Đây rất có thể là một cái gì đó trong dòng, 2 cổng đó (554/7070) là dành cho người chơi RealServers.

http://service.real.com/firewall/adminfw.html

Wyck
nguồn
Tôi đồng ý với bạn. Cảm ơn. Tôi đã thực hiện những gì Nickgrim đề xuất và nó đã chứng minh rằng tôi vẫn có thể mở cổng (giả sử không có rootkit nào thay thế netcat, netstat và các nhị phân liên quan khác để lừa tôi!).
Alex
BTW, làm thế nào tôi có thể chứng minh đây là trường hợp?
Alex
@atc: telnetđể bạn mới nghe netcatvà kiểm tra xem nó có nhận được những gì bạn gõ không.
nickgrim
10

Tôi có xu hướng đổ lỗi cho ISP của bạn hoặc một cái gì đó giữa bạn và máy chủ của bạn cho việc này. Nếu bạn chỉ muốn tự trấn an mình rằng những cổng đó thực sự bị đóng, bạn có thể thử lắng nghe trên những cổng đó và nếu nó thành công thì có thể cho rằng không có gì đã nghe. Đây là những gì tôi đang làm trên máy của mình (có Apache trên cổng 80 và không có gì trên cổng 81):

$ sudo netcat -p 80 -l --wait 1    # Apache on port 80
Error: Couldn't setup listening socket (err=-3)
$ sudo netcat -p 81 -l --wait 1    # Nothing on port 81
(Ctrl-C)

EDIT: Và để chắc chắn rằng điều này thực sự đã hoạt động, hãy telnetlấy nó từ một hộp khác và kiểm tra xem có netcatnhận được những gì bạn gửi không (có lẽ bạn sẽ muốn tăng --waitthời gian chờ).

biệt danh
nguồn
Điều này đã chứng minh sự cố không phải trên máy chủ - quét một máy chủ khác được liệt kê các cổng tương tự mở khi chúng không!
Alex
Mặc dù điều này không trả lời được câu hỏi trực tiếp, tôi đã đưa cho bạn một upvote vì đó là một cách tuyệt vời để khẳng định liệu các cổng có được sử dụng hay không. Cảm ơn vì đầu vào của bạn.
Alex
7

Bộ định tuyến của bạn có lẽ là để đổ lỗi. Tôi chỉ tự hỏi liệu đây có phải là vấn đề khi ở trên máy chủ OpenVZ không và đã tìm thấy bài viết này: Các cổng 21, 554 và 7070 mở hay đóng? Câu trả lời là có.

Điều này có ý nghĩa đối với tôi, vì tôi hiện đang sử dụng bộ định tuyến FiOS Actiontec. Bất kỳ sự kết hợp nào của kiểm tra nmap và netcat trên nút chứa và nút máy chủ đều xác nhận rằng các cổng đó không thực sự mở.

lunistorvalds
nguồn
1
+1 cho bộ định tuyến FiOS Actiontec crappy . Tôi biết các khóa riêng của hộp của bạn (những người khác cũng vậy, nhờ Little Black Box ).
Tôi đã chuyển đổi trước khi mất FiOS, nhưng bây giờ tôi sử dụng bộ định tuyến an toàn tốt hơn với "bộ định tuyến" không dây của mình ở chế độ AP. Bất cứ ai đọc bài viết này nên kiểm tra dự án đó liên kết. Blog cũng đẹp :)
lunistorvalds 22/2/2015
Chỉ cần ngẩng cao đầu: đây vẫn là trường hợp của Apple Airport Extreme ngay bây giờ. Tìm ra cách khó khăn trong khi kiểm tra cài đặt tường lửa cho phiên bản Amazon ec2 từ mạng gia đình của tôi.
jlapoutre
5

Nhiều bộ định tuyến khác nhau (Verizon FiOS, BT Home Hub, Apple Airport Extreme, ...) hiển thị các cổng 5547070như mở cho tất cả các IP vì một số lý do.

Hackerific »Cổng TCP dương!

Zaz
nguồn
2
+1 cho liên kết Hackerific tuyệt vời.
mã hóa
0

Tôi đồng ý với nickgrim. Ngoài ra, bạn có thể muốn thử quét nmap cục bộ từ chính hộp

So sánh đầu ra của những điều này:

nmap 127.0.0.1

sơ đồ 1.2.3.4

Trong đó 1.2.3.4 là ip công khai của bạn

portforwardpodcast
nguồn
0

Đây có thể là RTSP ALG (Cổng lớp ứng dụng) trên trung tâm nhà của bạn chặn lưu lượng truy cập và cung cấp phản hồi.

AndrewW
nguồn
0

Bạn có đang sử dụng máy ảo trên ESXi Guest không? Tôi bắt đầu có kết quả 554/7070 giả khi tôi chuyển máy ảo Kali linux của mình từ Workstation sang ESXi. Bạn có thể xác minh độ trễ:

nmap yourip --reason -p 7070 --traceroute

Kiểm tra số bước nhảy khác nhau của 554 và 7070 cổng với các cổng bình thường ...

enrico Sandri
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.