Freesco, NND, CDN, EOS

witam
troche testuje NND i mam jeden problem
skanuje router NND z zew prog SUPERSCAN3.0
i widze ze mam odpowiedz na porcie
21 -
22- to mozna wylaczyc i bedzie brak odpowiedzi - jak jest dostepny to pisze ze jest to open SSh itp
25
110
119
143

pytanie moje odnosi sie portow od 21---143
dlaczego te porty sa widoczne jako otwarte - nie widzac na nich zadnych uslug poniewaz nie instalowalem ale sa widoczne - czyli narzedzie dla wlamywacza

pytanie moje, co zrobic aby router odpowiadal tylko na ping
i do tego na numer jakiegos portu dla SSH ktory sobie wymysle - to akurat wiem jak zrobic

ale jak wylaczyc port 25 nie wiem i reszte

mam firewall
Zciech
standarwody z NND lipiec

prosze o rady

_________________
CCDP CCNP CCIP

ps axu | grep `fuser -n tcp 21 | tail -1 | awk '{ print $2 }'`

I tak po kolei z każdym portem, a dowiesz się co je otwiera. Ta komenda daje wiarygodne wyniki tylko kiedy używa jej root. ;)

Pozdrawiam.

[root@router_nnd admin]# ps axu | grep `fuser -n tcp 21 | tail -1 | awk '{ print$2 }'`
root 1 0.3 0.7 1284 464 ? S 21:02 0:12 init [3]
root 2 0.0 0.0 0 0 ? S 21:02 0:00 [keventd]
root 3 0.0 0.0 0 0 ? SN 21:02 0:00 [ksoftirqd_CPU0]
root 4 0.0 0.0 0 0 ? S 21:02 0:00 [kswapd]
root 5 0.0 0.0 0 0 ? S 21:02 0:00 [bdflush]
root 6 0.0 0.0 0 0 ? S 21:02 0:00 [kupdated]
root 7 0.0 0.0 0 0 ? S 21:02 0:00 [xfsbufd]
root 8 0.0 0.0 0 0 ? S 21:02 0:00 [xfslogd/0]
root 9 0.0 0.0 0 0 ? S 21:02 0:00 [xfsdatad/0]
root 10 0.0 0.0 0 0 ? S 21:02 0:00 [kjournald]
root 379 0.0 1.0 1432 636 ? Ss 21:02 0:00 /usr/sbin/syslogd
root 392 0.0 2.2 2200 1396 ? Ss 21:02 0:00 /usr/sbin/klogd -
root 405 0.0 0.9 1396 552 ? S 21:02 0:00 /usr/sbin/crond
root 419 0.0 2.3 3060 1416 ? Ss 21:02 0:00 /usr/sbin/sshd
root 527 0.0 2.1 2280 1288 ? Ss 21:02 0:00 /usr/sbin/dhcpd e
nobody 540 0.0 1.3 1760 828 ? Ss 21:02 0:00 /usr/sbin/thttpd
admin 549 0.0 2.6 4772 1588 tty1 Ss 21:02 0:00 -bash
root 550 0.0 0.7 1276 444 tty2 Ss+ 21:02 0:00 /sbin/agetty 3840
root 551 0.0 0.7 1276 444 tty3 Ss+ 21:02 0:00 /sbin/agetty 3840
root 552 0.0 0.7 1276 444 tty4 Ss+ 21:02 0:00 /sbin/agetty 3840
root 553 0.0 0.7 1276 444 tty5 Ss+ 21:02 0:00 /sbin/agetty 3840
root 554 0.0 0.7 1276 444 tty6 Ss+ 21:02 0:00 /sbin/agetty 3840
root 555 0.0 0.7 1276 444 tty10 Ss+ 21:02 0:00 /sbin/agetty 3840
root 556 0.0 2.5 4776 1560 tty1 S+ 21:04 0:00 bash
root 1010 0.0 2.7 5696 1680 ? Ss 21:54 0:00 sshd: admin [priv
admin 1012 0.2 2.7 5664 1692 ? R 21:54 0:00 sshd: admin@pts/0
admin 1013 0.0 2.5 4760 1576 pts/0 Ss 21:54 0:00 -bash
root 1014 0.0 2.5 4756 1540 pts/0 S 21:54 0:00 bash
root 1021 0.0 1.2 2208 776 pts/0 R+ 21:56 0:00 ps axu
root 1022 0.0 2.5 4756 1540 pts/0 R+ 21:56 0:00 bash
[root@router_nnd admin]#


[root@router_nnd admin]# ps axu | grep `fuser -n tcp 25 | tail -1 | awk '{ print$2 }'`
[root@router_nnd admin]#

[root@router_nnd admin]# ps axu | grep `fuser -n tcp 110 | tail -1 | awk '{ print$2 }'`
[root@router_nnd admin]#

[root@router_nnd admin]# ps axu | grep `fuser -n tcp 119 | tail -1 | awk '{ print$2 }'`
[root@router_nnd admin]#

[root@router_nnd admin]# ps axu | grep `fuser -n tcp 143 | tail -1 | awk '{ print$2 }'`
root 379 0.0 1.0 1432 636 ? Ss 21:02 0:00 /usr/sbin/syslogd
[root@router_nnd admin]#


to mi wyrzuca ta komenda - tylko za bardzo nie wiem co to moze byc
- jak bys mogl prosic to analize
z tego co pojmuje to z portu 21 korzysta duzo procesow a 143 tylko jeden ,a z teszty juz nikt nie korzysta
tylko teraz jak zrobic aby porty byly nie widoczne - bo moj firewall nie robi roznicy jak wlacze czy wylacze
- moze system padl, to moze przeinstaluje lub sprobuje kopie zaladowac to moze bedzie inaczej -ale watpie

_________________
CCDP CCNP CCIP

Ano grep jest czasem ślepy. Spróbuj: netstat -telnp
A tak w ogóle może wreszcie ktoś zechce spojrzeć na moją sygnaturę przed nazwaniem mnie kolegą lub zapytaniem mnie czy mógłbym coś dla niego zrobić? ;>

Pozdrawiam.

[root@router admin]# netstat -telnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 0 803 536/thttpd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 580 422/sshd
[root@router admin]#


-czyli jak by byly tylko 2 porty otwarte ale dlaczego jak skanuje na NND od zew to widze ich znacznie wiecej

-zaladowalem swieza kopie systemy do maszynu wirtualnej i testuje jak ona sie sprawoje - i tu te moje pytania
licze na odpowiedzi najlepiej od moteratorow - czy nikt po za mna nie zauwazyl czegos takiego z systemie

Moze to na tak byc - tylko dlaczego musza byc otwarte porty takie jak 25 itp

_________________
CCDP CCNP CCIP

Wydaje sie ze twoja metoda badawcza jest zla.
Podaj mi IP to Ci przelece nmapem

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

ja to testuje na wirtualnej maszynie

wiec nie wchodzi w gre, abys mogl przeskanowac z zewnatrz

ale cos musi byc na rzeczy, jak program pokazuje takie, a nie inne porty to chyba program nie jest zly

z kazdym razie jak wylacze port 80 lub 22 to bo nie na jako widoczny a reszta pozostaje jak byla czyli widoczna

_________________
CCDP CCNP CCIP

skanowalem nmapem kilkanascie roznych systemow nnd i zawsze mialy otwarte tylko te porty ktore mial byc otwarte.
zasadniczo to jest tak:
port zamkniety, nie ma uslugi ani zadnej odpowiedzi (DROP)- filtered
port na ktorym cos slucha, ale odmawia wspolpracy lub nie slucha a system informuje o tym (REJECT)- closed
port na ktorym jest usluga i odpowiada (ACCEPT)- open

smtp 25/tcp mail
pop3 110/tcp pop-3
nntp 119/udp readnews untp
imap 143/tcp imap2

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

czyli wnioskuje ze moje watpliwosci sa nieuzasadnione
jak wszytko jest OK -to niech tak bedzie
- kazdym razie mam jeszcze jedno putanie
jak wylacze odpowiedz na ping - to czy ktos moze w jakis sposbo przeskanowac porty - te probramy ktore posiadam nie maja takiej mozliwosci- pewnie sie da - w koncy jak by sie nie dalo to nie bylo by wlaman

_________________
CCDP CCNP CCIP

nmap -P0 IP

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

jeszcze jedno putanie nie zwiazane z tym watkiem
jak wylacze ssh czyli nie bede wlanaczal - to czy jest jakas mozliwosc wlamania sie do systemu - czy to juz jest prawie nie wykonale

_________________
CCDP CCNP CCIP

jak wylaczysz ssh, to nie dostaniesz sie do dystmu zdalnie. proponuje przeniesc ssh na wyzszy port >1024 lub otworzyc ssh tylko dla konkretnego IP/sieci lokalnej.
a cracker jak sie bedzie mial wlamac to i tak to zrobi

_________________
RoUteR NND [ C333 | 128MB RAM | 13GB HDD | DSL 2Mb]