Port 5190 auf Strato Root Server

[mistofdoom]

Hi!

Ich hab da ein lustiges Problem. Bei meinem Strato server ist der Port 5190 offen. Er soll angeblich einem Dienst names aol gehoeren. Ich habe versucht den zu Firewallen mit DROP, mit REJECT. Keine Reaktion, ist immer noch offen.

Dann habe ich letztens den Server komplett neu aufgesetzt (man hat ja sonst nix zu tun , mit Gentoo 2005.0. Und was ist, Port 5190 immer noch offen... Wieder gefirewalled und nix passiert. Ich kann sogar ein Telnet drauf aufmachen, er verbindet, ich geb irgend ein Schrott ein, der Server beendet die Verbindung. Setsam oder?

Ist das'n Wurm oder irgendetwas bei Strato?

Danke im Voraus!

 

[HornOx]

Was sagt

netstat -lnp

?
Was sagt "nmap localhost" wenn du es auf dem entsprechendem Rechner ausführst?
Was passiert wenn du vom heimischen Rechner einen anderen Server scannst (einfach mal die letzte Stelle der IP verändern) ?

 

[mistofdoom]

Das hab ich schon probiert (haette ich mal dazu schreiben sollen)...

Aber nochmal:

# netstat -lnp

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      32757/dovecot
tcp        0      0 127.0.0.1:10025         0.0.0.0:*               LISTEN      4382/exim
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      20951/mysqld
tcp        0      0 127.0.0.1:783           0.0.0.0:*               LISTEN      20736/spamd.pid -m
tcp        0      0 81.169.xxx.xxx:25       0.0.0.0:*               LISTEN      4382/exim
tcp        0      0 :::80                   :::*                    LISTEN      12528/apache2
tcp        0      0 :::22                   :::*                    LISTEN      5928/sshd
tcp        0      0 :::443                  :::*                    LISTEN      12528/apache2
tcp        0      0 :::8443                 :::*                    LISTEN      12528/apache2
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     387119 30180/saslauthd     /var/lib/sasl2/mux
unix  2      [ ACC ]     STREAM     LISTENING     355677 20951/mysqld        /var/run/mysqld/mysqld.sock
unix  2      [ ACC ]     STREAM     LISTENING     40528  32757/dovecot       /var/run/dovecot/login/default

Und dann nmap localhost:

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-06-23 20:34 CEST
Interesting ports on localhost (127.0.0.1):
(The 1656 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
443/tcp  open  https
783/tcp  open  hp-alarm-mgr
993/tcp  open  imaps
3306/tcp open  mysql
8443/tcp open  https-alt

Nmap finished: 1 IP address (1 host up) scanned in 0.460 seconds

Setsam oder?

Mache ich aber: nmap -sS 81.169.xxx.xxx, kommt:

22/tcp   open   ssh
25/tcp   open   smtp
53/tcp   closed domain
80/tcp   open   http
113/tcp  closed auth
443/tcp  open   https
465/tcp  closed smtps
993/tcp  open   imaps
5190/tcp open   aol             ##<-- Wat dat den?
8443/tcp open   https-alt

Dann hab ich ein Paar andere Stratos via nmap gescannt, alle haben 5190 offen... Weiss jemand was das ist?

 

[HornOx]

nmap -sS -pT5190 -T4 81.169.*.100

Findet bei mir nur geschlossene oder gefilterte Ports. Port 5190 wird u.A. von ICQ verwendet, wenn du den Portscann von deinem Arbeitsplatz aus machst könnte es einfach sein das dein Arbeitgeber den Port (mit einer komischen aber effektiven) Firewallregel sperrt.

 

[mistofdoom]

Lustig ist, dass ich das von der Arbeit und von z.H. probiert habe. Immer mit den gleichen ergebnis. Was meinst Du, koennte es irgend ein Wurm sein, der sich im Boot sector versteckt oder so was? Langsam weiss ich nicht weiter...

 

[Thorsten]

Hallo!
Port 5190 AIM File Transfer. Dann gibt noch einen Trojaner (W32.HLLW.Anig) der Tastatureingaben loggt. Allerdings nur auf win32 Plattformen.

mfG
Thorsten