ports ouvert bizzares

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar rem11 » 26 Fév 2003 21:00

Je comprend pas ce qui se passe : <BR> <BR>par acquis de conscience de temps en temps je passe un coup de nmap pour voir s'il y a pas de port inquiétant d'ouvert et la j'ai été servi : <BR> <BR>Starting nmap V. 3.00 ( <!-- BBCode auto-link start --><a href="http://www.insecure.org/nmap/" target="_blank">www.insecure.org/nmap/</a><!-- BBCode auto-link end --> ) <BR> Interesting ports on localhost.localdomain (127.0.0.1): <BR>(The 1598 ports scanned but not shown below are in state: closed) <BR>Port State Service <BR>631/tcp open ipp <BR>4000/tcp open remoteanything <BR>6000/tcp open X11 <BR>Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20 <BR> <BR> <BR>bon ipp et x11 c normal rien a redire par contre le port 4000 avec remoteanything ??? <BR> <BR>c un soft de prise en main a distance donc pas bon du tout par contre d'apres mes recherches il n'existe pas sous linux donc je comprend rien...et de toute facon c pas normal <BR> <BR> <BR> <BR>et si je passe la même chose sur la passerelle (ipcop <IMG SRC="images/smiles/icon_wink.gif">)depuis tjs mon poste du LAN avec son adr internet c pas normal non plus : <BR> <BR>Starting nmap V. 3.00 ( <!-- BBCode auto-link start --><a href="http://www.insecure.org/nmap/" target="_blank">www.insecure.org/nmap/</a><!-- BBCode auto-link end --> ) <BR> Interesting ports on xxxxxxxxxxxxxxxxxxxxxxxxx (xxx.xxx.xxx.xxx): <BR>(The 1598 ports scanned but not shown below are in state: closed) <BR>Port State Service <BR>80/tcp open http <BR>81/tcp open hosts2-ns <BR>445/tcp open microsoft-ds <BR>Remote operating system guess: Linux 2.1.19 - 2.2.20 <BR> <BR> <BR>les 2 premier services je pense pas qu'ils devraient être visible de l'extérieur (mais la vu que je teste depuis mon LAN ??????????????????????) <BR> <BR>et le dernier c un service purement M$ 2K & XP au -, alors n'ayant que 2 poste fct ss linux je vois pas ce qu'il fout la ??? <BR> <BR> <BR> <BR>est-ce quelqu'un aurait une idée sur ce qui se passe ou alors si mes interprétations st totalement foireuses <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>
pas encore d'idée.......
Avatar de l’utilisateur
rem11
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 09 Mai 2002 00:00
Localisation: France

Messagepar X-FaKtOr » 27 Fév 2003 00:10

Hello all, <BR>Pour le port 4000 je crois que c'est un trojan sous ...NT lol ben c'est donc surprenant.Mais je te coneille de rechercher quel est le proc associe au socket d'ecoute.Tu fais ca avec la commande lsof.Je sais plus c'est quoi la et la je suis pas sous nux donc c'est a toi de chercher.Mais de toute facon tu n'a qu'a te connecter en telnet sur ce port et regarder ce que ca fait lorsque tu envoir des donnees... <BR>Et si tu a des soucis fais moi signe. <BR>Bye
Avatar de l’utilisateur
X-FaKtOr
Matelot
Matelot
 
Messages: 4
Inscrit le: 24 Fév 2003 01:00

Messagepar tomtom » 27 Fév 2003 03:15

Le truc c'est que nmap te fournit le service le plus couramment utilisé par le port en qustion, ce qui ne veut pas dire du tout que ce soit ce service qui ecoute sur le port. Ainsi, le 445 est utilisé il me semble pour l'interface https de IPCop. <BR> <BR>Voila l'explication. <BR> <BR>Pour les tests bien sur il vaudrait mieux les realiser depuis l'exterieur du firewall pour qu'ils soient significatifs, sinon tu n'as pas d'entée par l'interface RED ce qui change la donne.. <BR> <BR>Cdt, <BR> <BR>Thomas
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar swiip » 07 Sep 2003 11:47

<BR>Le port 4000 c'est mlnet <BR>/usr/lib/mldonkey/mlnet <BR>bref c'est lorsque le core de mldonkey tourne <BR>
Avatar de l’utilisateur
swiip
Matelot
Matelot
 
Messages: 1
Inscrit le: 07 Sep 2003 00:00

Messagepar GozerX99 » 07 Sep 2003 13:28

si mldonkey ou mlnet tournait sur la machine, il devrait y avoir le port 4080 (interface Web) en écoute également ... <BR>Ainsi que le 4662 en TCP, et 4666 en UDP (conf par défaut). <BR> <BR>Mais ca coute rien de vérifier <IMG SRC="images/smiles/icon_smile.gif">
Avatar de l’utilisateur
GozerX99
Aspirant
Aspirant
 
Messages: 131
Inscrit le: 11 Juin 2003 00:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité