nmap en mi servidor web muestra los puertos TCP 554 y 7070 abiertos

11

Tengo un servidor web que aloja varios sitios web para mí. Los dos servicios a los que se puede acceder fuera son SSH y Apache2. Estos se ejecutan en un puerto no estándar y estándar, respectivamente. Todos los demás puertos se cierran explícitamente a través de arno-iptables-firewall. El host está ejecutando las pruebas de Debian.

Noté que un escaneo del host usando nmap produjo diferentes resultados de diferentes PC. Desde mi computadora portátil en mi red doméstica (detrás de un BT Homehub), obtengo lo siguiente:

Not shown: 996 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
554/tcp  open  rtsp
7070/tcp open  realserver
9000/tcp open  cslistener

mientras que escaneo desde un servidor con base en EE. UU. con nmap 5.00 y un cuadro de Linux en Noruega que ejecuta nmap 5.21 obtengo lo siguiente:

Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
9000/tcp open  cslistener

así que espero que sea mi red interna o ISP lo que esté jugando, pero no puedo estar seguro.

Ejecutar a netstat -l | grep 7070no produce nada. Del mismo modo para el puerto 554.

¿Alguien puede explicar las peculiaridades que estoy viendo?

security debian port

— Alex
fuente

Si ambos resultados son de los escaneos realizados al mismo tiempo.

— pradeepchhetri

3

¿Está por casualidad utilizando un extremo del aeropuerto de Apple o una cápsula de tiempo de Apple en su red doméstica?

— falsificador

Tengo un NAS de Buffalo que ejecuta un servicio compatible con DLNA, creo.

— Alex

Esto también me pasa a mí: estoy detrás de una Apple Time Capsule. :(

— pawstrong

1

Es muy probable que esto esté en la línea, esos 2 puertos (554/7070) son para jugadores reales RealServers.

http://service.real.com/firewall/adminfw.html

— Wyck
fuente

Estoy de acuerdo contigo. Gracias. Hice lo que Nickgrim sugirió y demostró que aún podía abrir el puerto (¡suponiendo que ningún rootkit reemplazara el netcat, netstat y otros binarios relacionados para engañarme!).

— Alex

Por cierto, ¿cómo puedo probar que este es el caso?

— Alex

@atc: telneta su recién escucha netcat, y verifique que reciba lo que escribe en él.

— nickgrim

10

Me inclinaría a culpar a su ISP o algo entre usted y su servidor por esto. Si solo quiere asegurarse de que esos puertos realmente están cerrados, puede intentar escuchar en esos puertos y si tiene éxito, entonces es seguro asumir que ya no hay nada escuchando. Esto es lo que estoy haciendo en mi máquina (que tiene Apache en el puerto 80 y nada en el puerto 81):

$ sudo netcat -p 80 -l --wait 1    # Apache on port 80
Error: Couldn't setup listening socket (err=-3)
$ sudo netcat -p 81 -l --wait 1    # Nothing on port 81
(Ctrl-C)

EDITAR: Y para asegurarse de que esto realmente ha funcionado, haga lo telnetmismo desde otra casilla y compruebe que netcatestá recibiendo lo que envía (probablemente querrá aumentar el --waittiempo de espera).

— nickgrim
fuente

Esto ha demostrado que el problema no está en el servidor: un análisis de otro host enumeró los mismos puertos abiertos cuando no lo estaban.

— Alex

Aunque esto no respondió la pregunta directa, le di un voto positivo, ya que era una excelente manera de afirmar si los puertos se usaron o no. Gracias por tu contribución.

— Alex

7

Su enrutador es probablemente el culpable. Me preguntaba si esto era un problema con estar en un host OpenVZ, y encontré este artículo: ¿Están abiertos o cerrados los puertos 21, 554 y 7070? La respuesta es sí.

Esto tiene sentido para mí, ya que actualmente estoy en un enrutador FiOS Actiontec de mala calidad. Cualquier combinación de pruebas de nmap y netcat en el contenedor y el nodo host confirma que esos puertos no están realmente abiertos.

— lunistorvalds
fuente

1

+1 para el enrutador FiOS Actiontec horrible . Conozco las claves privadas de su caja (al igual que otros, gracias a Little Black Box ).

Cambié antes de perder FiOS, pero ahora uso un enrutador mejor seguro con mi "enrutador" inalámbrico en modo AP. Cualquiera que lea este artículo debe consultar el proyecto vinculado. Bonito blog también :)

— lunistorvalds

Solo un aviso: este es el caso de Apple Airport Extreme en este momento. Descubrí el camino difícil al probar la configuración del firewall para la instancia de Amazon ec2 desde mi red doméstica.

— jlapoutre

5

Varios enrutadores diferentes (Verizon FiOS, BT Home Hub, Apple Airport Extreme, ...) muestran puertos 554y están 7070abiertos para todas las IP por algún motivo.

Hackerific »¡Puertos TCP falsos positivos!

— Zaz
fuente

2

+1 por el excelente enlace Hackerific.

— codingoutloud

0

Estoy de acuerdo con nickgrim. También es posible que desee probar escaneos nmap locales desde el cuadro en sí

Compare la salida de estos:

nmap 127.0.0.1

nmap 1.2.3.4

Donde 1.2.3.4 es su ip pública

— portforwardpodcast
fuente

0

Esto puede ser un RTSP ALG (Application Layer Gateway) en su centro de origen que intercepta el tráfico y proporciona una respuesta.

— AndrewW
fuente

0

¿Está utilizando una VM en ESXi Guest? Comencé a tener resultados falsos de 554/7070 cuando trasladé mi VM Kali linux de la estación de trabajo a ESXi. Puedes verificar la latencia:

nmap yourip --razón -p 7070 --traceroute

Verifique el número diferente de saltos de los puertos 554 y 7070 con puertos normales ...

— enrico sandri
fuente