Porte da chiudere

[Polo]

Salve ragazzi

effettuando un port-scanning sulla mia macchina ritrovo le seguenti porte aperte:

Codice: Seleziona tutto

631/tcp  open  ipp
8000/tcp open  http-alt
8081/tcp open  blackice-icecap

sto cercando informazioni in merito alla loro funzione.....sapreste dirmi come chiuderle??
grazie
Polo

[AleXit]

Credo che puoi farlo semplicemente con firestarter ..
Lo trovi nei repository

[luxtux]

La porta 631 e' usata CUPS per gestire le stampanti dal browser (per capire il concetto clicca qui);
la porta 8000 e' una porta solitamente usata come alternativa per il protocollo http (puo' essere qualsiasi cosa);
la porta 8081 e' solitamente usata dai proxy.

Ciao
L.

[Polo]

Salve ragazzi
ho risolto il problema erano tutti servizi che partivano all'avvio.
Alla porta 8081 afferiva tproxy stoppato tramite

Codice: Seleziona tutto

/etc/init.d/transproxy stop

Alla porta 8000 afferiva icecast (progetto free per lo streaming), stoppato tramite

Codice: Seleziona tutto

/etc/init.d/icecast-server stop

Alla porta 631  afferiva ipp (Common Unix Printing System) stoppato tramite

Codice: Seleziona tutto

/etc/init.d/cupsys stop

(thanks L.)

grazie

Polo

[fabio63]

Mi intrometto perché ho fatto anch'io un port-scanning della mia macchina e questo è il risultato:
Starting Nmap 4.20 ( http://insecure.org ) at 2007-05-06 18:32 CEST
Interesting ports on localhost (127.0.0.1):
Not shown: 65530 closed ports
PORT    STATE SERVICE
631/tcp  open  ipp
2207/tcp open  unknown
2208/tcp open  unknown
7634/tcp open  unknown
9999/tcp open  abyss

Nmap finished: 1 IP address (1 host up) scanned in 2.860 seconds

Se ho ben capito, non avendo stampanti in rete, pensavo di chiudere la 631, ma le altre? Come fare per sapere che tipo di servizi le usano, a cosa corrispondono?
Ciao e grazie
Fabio

[luxtux]

Mi intrometto perché ho fatto anch'io un port-scanning della mia macchina e questo è il risultato:
Starting Nmap 4.20 ( http://insecure.org ) at 2007-05-06 18:32 CEST
Interesting ports on localhost (127.0.0.1):
Not shown: 65530 closed ports
PORT     STATE SERVICE
631/tcp  open  ipp
2207/tcp open  unknown
2208/tcp open  unknown
7634/tcp open  unknown
9999/tcp open  abyss

Nmap finished: 1 IP address (1 host up) scanned in 2.860 seconds

Se ho ben capito, non avendo stampanti in rete, pensavo di chiudere la 631, ma le altre? Come fare per sapere che tipo di servizi le usano, a cosa corrispondono?
Ciao e grazie
Fabio

2207 e 2208 sono usate dai servizi HP;
7634 dovrebbe essere usata dal sistema (controllo della temperatura?)
9999 la usano molti troyan e backdoor  Comunque Abyss dovrebbe essere un web server, ti risulta?

Ciao
L.

[fabio63]

Ti ringrazio, a conferma di ciò che dici qua http://www.iana.org/assignments/port-numbers mi sono chiarito un po' di idee:
la 2207 e la 2008 come dici tu sono usate dai servizi hp
rimane il dubbio della 7634 (le porte dalla 7634 alla 7647 risultano "Unassigned") e della 9999:
#   Douglas Crockford
Keyword        Decimal    Description                    References
----------        -----------    --------------                    ---------------
distinct          9999/tcp    distinct

E che è 'sto douglas crockford?  ??? Possibile abbia una backdoor in una Feisty appena installata, oltretutto dietro un router?

[luxtux]

Ti ringrazio, a conferma di ciò che dici qua http://www.iana.org/assignments/port-numbers mi sono chiarito un po' di idee:
la 2207 e la 2008 come dici tu sono usate dai servizi hp
rimane il dubbio della 7634 (le porte dalla 7634 alla 7647 risultano "Unassigned") e della 9999:
#    Douglas Crockford
Keyword         Decimal    Description                     References
----------         -----------    --------------                     ---------------
distinct          9999/tcp    distinct

E che è 'sto douglas crockford?  ??? Possibile abbia una backdoor in una Feisty appena installata, oltretutto dietro un router?

Ma no, scherzavo, te lo ha scritto Nmap chi sta usando la porta: Abyss, ti dice qualcosa? (e' un webserver). Per quanto riguarda la 7634, confermo quello che ho gia' scritto.

Ciao
L.

[Polo]

Ciao fabio

per vedere che servizio afferisce ad una data porta e molto altro ci sono diversi modi, il comando più semplice è il seguente:

Codice: Seleziona tutto

netstat --tcp --listening --programs

In quest'altro modo sei più diretto, specifichi quale porta vuoi controllare (es 9999):

Codice: Seleziona tutto

netstat -apn -A inet | grep :9999

Ciao
Polo

[adoldo]

Ciao,
secondo me è molto comodo controllare sulla propria macchina qual'è il programma che apre la porta in questione, e questo si può fare con il comando netstat -anp:
Esempio:

Codice: Seleziona tutto

sudo netstat  -antp|grep LISTEN
tcp        0      0 0.0.0.0:902             0.0.0.0:*               LISTEN     4901/xinetd

E' chiaro che la porta 902 è del processo xinetd (che a sua volta contiene una entry per la porta 902).
In queso caso per identificare il processo basta

Codice: Seleziona tutto

grep -r 902 /etc/xinetd.d

Codice: Seleziona tutto

$ more /etc/xinetd.d/vmware-authd
# default: on
# description: The VMware remote access authentification daemon
service vmware-authd
{
    disable         = no
    port            = 902
    socket_type     = stream
    protocol        = tcp
    wait            = no
    user            = root
    server          = /usr/sbin/vmware-authd
    type            = unlisted
}

solo per le sezioni di xinetd è sufficiente cambiare la riga in:

Codice: Seleziona tutto

    disable         = yes

ciao,
Antonio

[fabio63]

Beh, intanto grazie a tutti (incluso luxtux  :P ma mi vuoi far tirare le cuoia?  ) x le risposte. Siete una vera miniera di info, devo dire che sto imparando più in 2-3 anni di linux che in 15 di win! Intanto devo dire che Abyss non mi dice nulla ma da prove ho visto che la 9999 è usata da Rainlendar, che evidentemente contatta un webserver (Abyss, appunto?).
Grazie ancora  (good)