O nmap no meu servidor web mostra as portas TCP 554 e 7070 abertas

11

Eu tenho um servidor web que hospeda vários sites para mim. Os dois serviços acessíveis externamente são SSH e Apache2. Eles estão sendo executados em uma porta não padrão e padrão, respectivamente. Todas as outras portas são fechadas explicitamente via arno-iptables-firewall. O host está executando o Debian Testing.

Percebi que uma varredura do host usando o nmap produziu resultados diferentes em computadores diferentes. Do meu laptop na minha rede doméstica (atrás de um BT Homehub), recebo o seguinte:

Not shown: 996 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
554/tcp  open  rtsp
7070/tcp open  realserver
9000/tcp open  cslistener

enquanto que a digitalização de um servidor nos EUA com o nmap 5.00 e uma caixa Linux na Noruega executando o nmap 5.21, recebo o seguinte:

Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
9000/tcp open  cslistener

então, espero que seja minha rede interna ou provedor de serviços de Internet, mas não tenho certeza.

Executar um netstat -l | grep 7070não produz nada. Da mesma forma para a porta 554.

Alguém pode explicar as peculiaridades que estou vendo?

security debian port

— Alex
fonte

Se os dois resultados são das verificações feitas ao mesmo tempo.

— Pradeepchhetri

3

Você está, por acaso, usando um aeroporto Apple extremo ou cápsula do tempo da Apple em sua rede doméstica?

— faker

Eu tenho um NAS Buffalo que executa um serviço compatível com DLNA, acredito.

— 1313 Alex

Isso também acontece comigo - estou atrás de um Apple Time Capsule. :(

— pawstrong

1

Isso provavelmente é algo da linha, essas duas portas (554/7070) são para RealServers para jogadores reais.

http://service.real.com/firewall/adminfw.html

— Wyck
fonte

Eu concordo com você. Obrigado. Fiz o que Nickgrim sugeriu e provou que ainda podia abrir a porta (assumindo que nenhum rootkit substituísse o netcat, netstat e outros binários relacionados para me enganar!).

— Alex

BTW, como posso provar que é esse o caso?

— Alex

@ atc: telnetao seu ouvinte recente netcat, e verifique se ele recebe o que você digita.

— nickgrim

10

Eu ficaria inclinado a culpar seu ISP ou algo entre você e seu servidor por isso. Se você apenas quer se assegurar de que essas portas realmente estão fechadas, tente escutá-las e, se for bem-sucedido, é seguro assumir que não há nada que já esteja escutando. Aqui está o que estou fazendo na minha máquina (que possui o Apache na porta 80 e nada na porta 81):

$ sudo netcat -p 80 -l --wait 1    # Apache on port 80
Error: Couldn't setup listening socket (err=-3)
$ sudo netcat -p 81 -l --wait 1    # Nothing on port 81
(Ctrl-C)

EDIT: E para ter certeza de que isso realmente funcionou, remova telnet-o de outra caixa e verifique se netcatestá recebendo o que você envia (você provavelmente desejará aumentar o --waittempo limite).

— nickgrim
fonte

Isso provou que o problema não está no servidor - uma verificação de outro host listou as mesmas portas abertas quando não estavam!

— Alex

Embora isso não tenha respondido à pergunta direta, dei a você um voto positivo, pois foi uma ótima maneira de afirmar se as portas foram usadas ou não. Obrigado pela sua contribuição.

— 1128 Alex

7

Seu roteador provavelmente é o culpado. Eu estava pensando se este era um problema em estar em um host OpenVZ e encontrei este artigo: As portas 21, 554 e 7070 estão abertas ou fechadas? A resposta é sim.

Isso faz sentido para mim, pois atualmente estou em um roteador de baixa qualidade do FiOS Actiontec. Qualquer combinação de teste nmap e netcat no contêiner e no nó do host confirma que essas portas não estão realmente abertas.

— lunistorvalds
fonte

1

+1 para o roteador de baixa qualidade FiOS Actiontec . Conheço as chaves privadas da sua caixa (assim como outras pessoas, graças a Little Black Box ).

Troquei antes de perder o FiOS, mas agora uso um roteador seguro melhor com o meu "roteador" sem fio no modo AP. Qualquer pessoa que leia este artigo deve verificar o projeto vinculado. Bom blog também :)

— lunistorvalds

Apenas um alerta: este ainda é o caso do Apple Airport Extreme no momento. Descobri da maneira mais difícil ao testar as configurações de firewall para a instância do Amazon ec2 na minha rede doméstica.

— jlapoutre

5

Vários roteadores diferentes (Verizon FiOS, BT Home Hub, Apple Airport Extreme, ...) mostram portas 554e estão 7070abertas para todos os IPs por algum motivo.

Hackerific »Portas TCP falsas positivas!

— Zaz
fonte

2

+1 para o excelente link Hackerific.

— Codigooutloud

0

Eu concordo com o nickgrim. Você também pode tentar varreduras locais do nmap a partir da própria caixa

Compare a saída destes:

nmap 127.0.0.1

nmap 1.2.3.4

Onde 1.2.3.4 é o seu ip público

— portforwardpodcast
fonte

0

Pode ser um RTSP ALG (Gateway de camada de aplicativo) no hub doméstico, interceptando o tráfego e fornecendo uma resposta.

— AndrewW
fonte

0

Você está usando uma VM no ESXi Guest? Comecei a ter resultados falsos 554/7070 quando mudei minha VM Kali linux da Workstation para o ESXi. Você pode verificar a latência:

nmap yourip --reason -p 7070 --traceroute

Verifique o número diferente de saltos das portas 554 e 7070 com portas normais ...

— enrico sandri
fonte