# Onbekende server op poort 723

## garo

Ik heb een kwartier geleden mijn gentoo-bakske up to date gebracht. Het enigste verschil was dat er een nieuwe versie van nmap op stond. Ik heb die dan maar meteen uitgeprobeerd en die zegt dat poort 723 open staat, nu ben ik er zeker van dat ik nooit een server heb geinstalleerd die die poort gebruikt.

Ik heb dan maar is "netstat -l -p --inet" gedaan en dit geeft een streepje in de kolom "PID/Program" (van de andere servers wordt wel de naam en het PID vermeld).

Iemand een idee wat dit is ?

----------

## Supox

Garo,, je zou via google kunnen welke protocollen gebruikmaken van deze port. Daarnaast zou je d.mv. van telnet kunnen proberen te achterhalen wat er nu precies op die port gekoppeld zit.

Dit doe je als volgt:

```
 telnet <ip-adres> 723
```

Misschien dat er nog andere methodes zijn, die je hierbij kunnen helpen maar dat zul je zelf verder moeten onderzoeken.

----------

## garo

 *Quote:*   

> Garo,, je zou via google kunnen welke protocollen gebruikmaken van deze port.

 

Al gedaan, het enigste wat ik vond was een verbinding naar een lpd print server van deze poort moet komen, maar er wordt geluisterd op 723, geen verbinding gemaakt vanaf 723.

 *Quote:*   

> Daarnaast zou je d.mv. van telnet kunnen proberen te achterhalen wat er nu precies op die port gekoppeld zit. 

 

Dit heb ik ook gedaan, niet met telnet maar met nc (Dit heeft als voordeel dat er geen data wordt gestuurd die je niet hebt ingegeven,telnet doet dit wel om de verbinding te initialiseren volgens het telnet protocol) maar de verbinding wordt onmiddelijk afgesloten.

----------

## Stuartje

Is die pc rechtstreeks met inet verbonden?

----------

## garo

ja, ik gebruik hem als router en desktop.

 2 Windows pc's gaan via mij op het net maar deze hebben er niets mee te maken, want als ik ze afzet heb ik 723 nog steeds open.

Ik gebruik iptables als firewall voor mijn machine te beschermen.Ik blok al het verkeer naar mij (INPUT) en naar de win pc's (FORWARD) en ik laat alleen verkeer toe met:

```
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT #eth0 is lokaal en eth1 is internet

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
```

Ik vermoed dus dat ik niet gehackt ben.

----------

## Stuartje

Ik zou je aanraden van chkrootkit eens te draaien en te kijken of ie niets vindt!

----------

## water

Ik zou specifiek de betreffende npoort blokken en loggen, dan kun je iig zien of er wat gebeurt.

----------

## rdvrey

lsof -i +M laat iets meer informatie zien

groeten

Robert

----------

## garo

 *Quote:*   

> Ik zou specifiek de betreffende npoort blokken en loggen, dan kun je iig zien of er wat gebeurt.

 

Hij is al geblokt door mijn firewall

 *Quote:*   

> lsof -i +M laat iets meer informatie zien

 

...maar alleen over X,dhcpd en ssh.

----------

## rdvrey

Al eens gedacht aan een nessus scan door iemand anders van buiten af, voor de zekerheid.

groeten

Robert

----------

## garo

GEVONDEN !!!

Het was openmosix, openmosix communiceert langs die poort en aangezien dit in de kernel zit en de kernel geen PID of programmanaam heeft gaf netstat geen info.

----------

## water

Nu vraag ik mij toch nog af hoe je firewall in elkaar steekt. De meest veilige policy is alles droppen/rejecten en dan specifieke zaken openzetten. Voer je die policy niet, of pakt iptables hem niet?

----------

## garo

Ik drop alles naar binnen of voor te forwarden en zet specifieke zaken open.Alles naar buiten laat ik toe.

specifieke zaken:

-alles komende van interne netwerken (ook loopback) mag binnen.

-al het verkeer op een socket die ik gecreerd heb of in verband met iets dat ik gestuurd heb mag naar binnen.

----------

## JefP@@

firewall lijkt in orde  :Wink: 

hoe kom je erbij openmosix te gebruiken?

zoveel pc's staan thuis :p

grtz

----------

## garo

ik gebruik het het niet om het te gebruiken maar om het te testen.

----------

