Ports öffnen sich von selbst?

Gwendolin · Apr 13, 2010

Hallo,

mir ist bei einem Portscan auf meinen Server aufgefallen, daß ein Port offen war, der so eigentlich gar nicht offen sein dürfte.

Offen sind bei mir Port 22, 80 und 443

Als ich den Portscan ausführte war plötzlich auch Port 48619 offen.
Beim nächsten Portscan war dieser nicht mehr offen.
Eine halbe Stunde später dasselbe Spiel mit Port 178.
Und so geht es weiter jedesmal mit einem anderen Port, mal offen, mal gefiltert.

Wie kann das sein, daß sich hin und wieder Ports öffnen?
Per IPtables sind alle Ports bis auf die offenen gefiltert.

Ein Scan nach Trojanern zeigte keine Auffälligkeiten an.

Gruß,
Gwen

Armadillo · Apr 13, 2010

Was sagt denn

Code:

netstat -utapn

dazu welches Programm auf den Ports hängt?

Gwendolin · Apr 13, 2010

Wie meinst du das welches Programm an den Ports hängt?

Verwunderlich kam mir gestern ein Eintrag in den Netstats vor tcp 0 0 10.0.0.1:iqobject 10.0.0.2:3306
da bei allen anderen ein Port dran steht.
Laut Google soll das ein Trojaner sein, ein Trojanerscan hat allerdings keine Ergebnisse gebracht.

Auf dem Server läuft eigentlich nur ein Apache.

Hier das Ergebnis von netstat:

Code:

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0      0 0.0.0.0:587                 0.0.0.0:*                   LISTEN      2637/sendmail: acce 


tcp        0      0 0.0.0.0:1040                0.0.0.0:*                   LISTEN      2713/perl           
tcp        0      0 0.0.0.0:53            0.0.0.0:*                   LISTEN      2480/named          
tcp        0      0 10.0.0.1:53                 0.0.0.0:*                   LISTEN      2480/named          
tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LISTEN      2480/named          
tcp        0      0 0.0.0.0:25                  0.0.0.0:*                   LISTEN      2637/sendmail: acce 
tcp        0      0 127.0.0.1:953               0.0.0.0:*                   LISTEN      2480/named          
tcp        0      0 10.0.0.1:44619              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44618              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44617              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44616              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44623              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44622              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44621              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44620              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44611              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44610              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44615              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44614              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44613              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44612              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44635              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44634              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44633              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44632              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44639              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44638              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44637              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44636              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44627              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44626              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44625              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44624              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44631              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44630              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44629              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44628              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44651              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44650              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44649              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44648              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44655              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44654              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44653              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44652              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44643              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44642              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44641              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44640              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44647              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44646              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44645              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44644              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44667              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44666              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44665              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44664              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44671              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44670              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44669              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44668              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44659              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44658              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44657              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44656              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44663              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44662              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44661              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44660              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44593              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44747              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44746              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44745              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44744              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44751              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44750              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44749              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44748              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44739              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44738              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44737              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44736              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44743              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44742              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44741              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44740              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44755              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44754              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44753              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44752              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44683              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44682              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44681              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44680              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44687              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44686              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44685              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44684              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44675              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44674              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44673              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44672              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44679              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44678              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44677              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44676              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44699              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44698              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44697              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44696              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44703              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44702              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44701              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44700              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44691              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44690              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44689              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44688              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44695              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44694              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44693              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44692              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44715              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44714              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44713              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44712              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44719              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44718              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44717              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44716              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44707              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44706              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44705              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44704              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44711              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44710              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44709              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44708              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44731              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44730              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44729              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44728              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44735              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44734              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44733              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44732              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44723              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44722              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44721              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44720              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44727              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44726              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44725              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 10.0.0.1:44724              10.0.0.2:3306               TIME_WAIT   -                   
tcp        0      0 :::80                       :::*                        LISTEN      9171/httpd          
tcp        0      0 :::22                       :::*                        LISTEN      2596/sshd           
tcp        0      0 ::1:953                     :::*                        LISTEN      2480/named          
tcp        0      0 :::443                      :::*                        LISTEN      9171/httpd  

udp        0      0 0.0.0.0:60937               0.0.0.0:*                               2699/avahi-daemon:  
udp        0      0 0.0.0.0:53            0.0.0.0:*                               2480/named          
udp        0      0 10.0.0.1:53                 0.0.0.0:*                               2480/named          
udp        0      0 127.0.0.1:53                0.0.0.0:*                               2480/named          
udp        0      0 0.0.0.0:5353                0.0.0.0:*                               2699/avahi-daemon:  
udp        0      0 :::5353                     :::*                                    2699/avahi-daemon:  
udp        0      0 :::52973                    :::*                                    2699/avahi-daemon:

Armadillo · Apr 13, 2010

iqobjects ist in dem Fall dein Port 48619. Wenn du bei netstat nicht das -n Flag anhängst ersetzt es dir die Ports bei denen es die entsprechende Software kennt, die standardmäßig auf diesem Port läuft.

Ist 10.0.0.0 dein lokales LAN oder wie muss man sich das vorstellen? Wie es aussieht ist

Gwendolin said:
tcp 0 0 10.0.0.1:iqobject 10.0.0.2:3306

eine Verbindung von einem Programm innerhalb deines Netzwerkes auf den Mysql-Server. Ist 10.0.0.2 dein Server oder 10.0.0.1?

Gwendolin · Apr 13, 2010

Mein Mysqlserver ist der 10.0.0.2

Wieso auch immer war aber auch auf dem 10.0.0.1 der Mysql Service aktiv, sodaß auch Port 3306 auf dem Webserver aktiv war.

Während all dessem hatte ich eine ziemlich heftige DDos Attacke auf dem Webserver.

Nach einem Programm namens iqobject hatte ich gesucht, aber nichts dementsprechend als installiert gefunden.

Gruß,
Gwen

Gwendolin · Apr 14, 2010

Oh man, unser anderer Admin hat an den Firewalleinstellungen Änderungen vorgenommen, da wurde gar nichts mehr gesperrt.
Es waren nur noch 25, 53, 587, and 5353 gesperrt.

Habe die Einstellungen wieder korrigiert, nun geht auch nichts mehr auf.

Ich hoffe mal, daß dies keine Konsequenzen nach sich zieht und man von außen an die Seiten und Datenbanken gelangen konnte, hatten die letzten drei Tage recht arge DDos Attacken, wo mir dann diese Unregelmäßigkeit aufgefallen ist mit den Ports und den Netstatsanzeigen ...

traced · Apr 14, 2010

Ich würde Euch dringend empfehlen, wenn Ihr zu zweit da rumfuchtelt, dass zumindest in einem Textfile im /root festgehalten wird, wer was wann und warum gemacht hat. Sonst kommt Ihr da nie auf einen grünen Zweig, der eine will n Feature einbauen, und der andere kriegt gleich Haarausfall weil er meint die Büchse macht sich selbstständig, und dann schauen beide wie´n Eichhörnchen

Grüsse
Basti

Germeshausen.de · Apr 14, 2010

Nun, da hätte man auch etwas früher drauf kommen müssen. Zum einen, wenn ohnehin mehr als nur ein Nutzer entsprechenden Zugriff auf den Server haben und zum anderen kann man doch bequem per Shell sehen ob noch jemand anderes auf dem Server arbeitet.

Aber wie Basti schon sagte: Absprache ist alles ...

Ports öffnen sich von selbst?

Gwendolin

New Member

Armadillo

Registered User

Gwendolin

New Member

Armadillo

Registered User

Gwendolin

New Member

Gwendolin

New Member

traced

Registered User

Germeshausen.de

Registered User

We value your privacy