"Windows"-Ports auf Debian-VServer (1&1)

[pigor1978]

Hallo,

nachdem mein VServer von 1&1 vor ein paar Wochen für eine Denial-of-Service-Attacke verwendet worden ist, bin ich nun dabei, mich intensiver mit der Sicherheit des Systems auseinanderzusetzen.

Bei einem Portscan (siehe unten) ist mir aufgefallen, dass auf meinem VServer scheinbar Microsoft-Dienste laufen, obwohl ich doch Debian als Betriebssystem nutze. Der Kundenservice meines Providers (1&1) konnte mir nicht weiterhelfen.

Wie kommen also diese Dienste auf meinen Linux-VServer ?

Kann ich die Ports bedenkenlos blockieren oder sogar die Dienste dahinter abschalten ? Wie ?

135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds

111/udp filtered rpcbind
135/udp open|filtered msrpc
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
139/udp open|filtered netbios-ssn
161/udp filtered snmp
162/udp filtered snmptrap
445/udp open|filtered microsoft-ds

Gruß,

pigor

 

[Roger Wilco]

filtered heißt nicht, dass auch ein Dienst an den Port gebunden wurde. Es heißt einfach nur, dass keine Antwort auf die Pakete von nmap zurückgeschickt wurde. Lies die Manpage von nmap.

 

[Thunderbyte]

Vielleicht hilft Dir die Liste unter http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers inklusive Verlinkungen weiter, um zu eruieren, ob Du einen Dienst / Port brauchst oder ob du selbigen besser beenden / blocken solltest.

Nebenbei: "Windows" Dienste laufen deswegen nicht bei Dir. Es gibt auch "Windows Ports", die auf einem Linux Rechner sinnvoll verwendet werden können. So bedeuten genau die Ports, die Du angegeben hast, dass womöglich ein Samba ("Windowsfreigaben") Server auf Deinem Vserver läuft. Dieser wäre imho unnötig und hätte auf einem Internetserver NICHTS zu suchen. Dann sollte aber eher der daemon abgeschaltet werden als nur die Ports zu blocken. Siehe hierzu auch http://www.petri.co.il/whats_port_445_in_w2k_xp_2003.htm .