Offene Ports 39210 und 39579

    Hi,


    habe gemerkt dass auf meinem vserver die tcp-Ports 39210 und 39579 offen sind.


    Netstat zeigt allerdings keinen prozess an, der auf diesen Ports lauscht.


    Einen Scan des Subnets in dem sich mein vserver befindet, ergab dass auf einigen anderen servern die 2 Ports offen sind.


    Google hat nichts ergeben, deswegen meine Frage an die Community: weiß jemand was unten den Ports (eventuell vServer-technisch) läuft?



    Gruß
    Micha

    steht dahinter LISTEN, wie in

    Code
    tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN

    dann ist das bedenklich


    oder nicht, wie in

    Code
    tcp        1      0 127.0.0.1:34101             1.2.3.4:42              CLOSE_WAIT

    dann ist es ok, denn es ist nur eine Client-Verbindung.


    Bebbo

    Hi,


    also ich kann mich per telnet auf die ports connecten es kommt allerdings keine Meldung, nach der Eingabe von ein paar Zeichen bricht die Verbindung ab. Allein in der Range wo mein Server liegt (von *.*.*.1-*.*.*.255) sind bei etwa 75 ips diese Ports offen, überall das gleiche Verhalten wie bei mir mit telnet. - Deswegen die Vermutung, dass dies etwas mit den Vservern zu tun hat.


    Wie gesagt netstat und auch lsof liefert keinen Hinweis darauf, welche Prozesse diese Ports offen halten.


    Code
    open localhost 39579
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
sadasdasdas
Connection closed by foreign host.

    selbst nach der definition einer Firewall-Regel, die ja allen Traffic verbietet:


    order Richtung Protokoll Quell IP Quell Port Ziel IP Ziel Port Vorgabe Übereinstimmung Wert
    1 INPUT tcp alle alle x.x.x.x alle DROP




    Kann ich noch von Daheim aus auf die Ports telneten....


    auch das blocken aller udp und icmp anfragen verhindert nicht dass ich auf die ports telneten kann.

    Hast du die Ports schon einmal mit Nmap (inkl. Service and Version Detection!) gescannt? Sieht jedenfalls sehr nach den üblichen "rpcbind" Ports aus, die bei den vServer hier auftauchen und zu 99% unbedenklich sind. Aber das weißt du spätestens nach einem Nmap Scan :)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    unhide-tcp liefert folgendes:


    Starting TCP checking


    Found Hidden port that not appears in netstat: 39210
    Found Hidden port that not appears in netstat: 39579
    Starting UDP checking


    Found Hidden port that not appears in netstat: 982
    Found Hidden port that not appears in netstat: 32768
    Found Hidden port that not appears in netstat: 50256
    Found Hidden port that not appears in netstat: 56486


    nmap kann wohl nichts mit dem service anfangen:
    PORT STATE SERVICE VERSION
    39210/tcp filtered unknown

    Also habe die Frage auch an den Netcup-Support gestellt und folgende Antwort erhalten:



    Guten Tag Herr Michael XXX,


    die Ports sind vom Wirtssystem offen. Sie greifen nicht auf Ihren vServer zu. Sie sind für das Backupsystem erforderlich.


    Mit freundlichen Grüßen

    XXXX XXX

    netcup Team



    Damit ist das Thema denke ich geklärt und ich kann wieder aufatmen ;)