Port 55555

    Hi,
    wie man vielleicht aus der Überschrift schliessen kann, hab ich ein Problem mit dem Port 55555. Und zwar, dass ich gar nicht weiss was da läuft.
    ClamAV habe ich bereits deinstalliert, und ansonsten finde ich keine Hinweise mehr durch Scroogle.


    Daher habe ich jetzt die Befürchtung, ich habe meinen Server nicht gut genug abgesichert, und nun einen Eindringling am Hals.


    Ich hoffe auf schnelle Antwort, damit ich weiss ob ich den Server abschalten soll, oder ob es sich hier um etwas ganz harmloses handelt.


    Mein Server ist der vServer 768, mit Debian 4.0


    //edit:
    Wenn man den Server auf diesem Port mit einem Browser besucht, erhält man eine Leere Seite, egal was man noch eingibt, und eine Telnet-Verbindung kann zwar zustande gebracht werden, aber man bekommt keine Antwort, und nach einer gewissen Zeit wird die Verbindung geschlossen.

    Welcher Dienst verwendet denn diesen Port bei dir? Mach einmal netstat -plantu | grep :55555 :)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Das ist komisch ....


    Halte nach Prozessen Ausschau, die du nicht gestartet hast
    Und führe dieses Skript: http://forum.netcup.de/showthread.php?t=434 aus, um verstecke Prozesse zu suchen.


    Ansonsten kann das viel sein, was diesen Port belegt, denn dieser Port kann jedem Prozess zugewiesen werden ...
    Zusätzlich würde ich noch rkhunter und chkrootkit empfehlen.


    Um sicher zu gehen, dass keiner über diesen Port einbricht, solltest du ihn per Firewall aussperren, bis du weißt, welches Programm den Port nutzt.


    Wie bist du eigentlich auf diesen Port aufmerksam geworden, wenn netstat nichts anzeigt?

    Hui, der Christian is ja auch hier :D


    Naja, prozesse kenne ich alle, das Script sagt nichts, und auch chkrootkit und rkhunter bleiben still, bis eben auf die Meldung, dass ein komischer Port geöffnet ist:cool:


    Iptables gibt folgende Fehlermeldung aus:

    Code
    FATAL: Could not load /lib/modules/2.6.28.9-vserver2.3.0.36.10-nfct-1000hz-preem-derjohn.de/modules.dep: No such file or directory
iptables v1.3.6: can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.

    (Hat man auf einem vServer überhaupt zugriff auf die Netzwerkgeräte?)


    Aufmerksam bin ich drauf geworden, als ich im Zuge eines Mailsystemfehlers einen Portscan durchgeführt habe.


    //edit:
    Ich überlege sowieso, auf Ubuntu Server umzusteigen. Dann würd ich den Server gleich von anfang an etwas mehr absichern. Interessiert mich aber trotzdem, was das gewesen sein könnte.

    Nein, auf einem vServer hast du keinen direkten Zugriff auf die Netzwerkgeräte.
    Ebenfalls kannst du keine kernelseitigen Änderungen vornehmen; iptables funktionieren daher nicht. Mit Firewall war die im VCP gemeint.


    Übrigens: Ich bekomme mit dem Tool "unhide" ebenfalls verdächtige offene Ports gemeldet, diese sind aber ungefährlich, da es sich bei diesen um Ports anderer Netzwerkgeräte (andere vServer des Nodes) bzw. VCP-Funktionen handeln muss.
    Was es nun genau ist, weiß ich nicht, ich konnte diese Ports aber ebenfalls bei einem offline-Test feststellen.


    Ich werde den besagte Port ebenfalls bei meinem vServer scannen ...


    Edit: Dieser Port ist bei einem vServer von einem Freund (ich helf ihm manchmal mit dem) ebenfalls offen. (als ich den DROP any Befehl in der Firewall entfernt habe versteht sich)
    Daher scheint es eine vcp Funktion zu sein o.ä.
    Genaueres wird der Support sagen können. Wäre nett, wenn du ihn kontaktierst, dass du uns das Ergebnis hier postest.

    Anfrage gesendet.
    Auf die Firewall im VCP hab ich übrigens auch keinen Zugriff.
    Und ich installiere jetzt auch Ubuntu 9.04 auf meinem vServer (ich hoffe es ist die Server Edition). Debian etch hat einfach nicht die neusten Spieleserver :p

    Ja, das ist natürlich die Server-Edition oO


    Wollt ich auch mal machen, aber nachdem kam lenny raus und ich bin dann bei Debian geblieben.
    Debian Lenny ist schön aktuell :)


    Um Zugriff für die Firewall im VCP zu bekommen musst du eine Anfrage an den Support schreiben.