tcp 0 0 0.0.0.0:44623 0.0.0.0:*

[xcomm]

'Hi Gemeinde,

habe hier gerade einen Port in einem System gefunden. Kann mir aber komischerweise nicht anzeigen lassen, wem dieser gehört.
Der netstat-Zeile fehlt auch die PID.

Code: Alles auswählen

netstat -naptu
  ...
  tcp        0      0 0.0.0.0:44623           0.0.0.0:*               LISTEN      -       
 ...

lsof -i :44623

Zeigt nichts.

Der Port ist nach außen in den FW geblockt, so das ein Scan von außen mit nmap hier auch nicht hilft.

Ich vermute in diesem Fall einen beim Entfernen hängen gebliebenen svn_dav Proxy.
Allerdings wurmt es etwas, das man dem nicht nachgehen kann. Wie könnte ich hier weiter herausfinden, wer genau den Port nutzt?

Danke, xcomm

[uname]

Was sagt die lsof-Überalles-Suche:

Code: Alles auswählen

lsof |fgrep 44623

[xcomm]

Hi Uname,

die zeigt leider auch nichts an.

Code: Alles auswählen

lsof | fgrep 44623

Code: Alles auswählen

nmap -p- 127.0.0.1

Starting Nmap 4.62 ( http://nmap.org ) at 2010-07-15 16:19 CEST
Interesting ports on localhost (127.0.0.1):
Not shown: 65525 closed ports
PORT      STATE SERVICE
...
44623/tcp open  unknown

Danke, xcomm

[uname]

Vielleicht nur ein Anzeigefehler. Was sagt denn:

Code: Alles auswählen

nc localhost 44623

Und vielleicht noch nebenbei Wireshark laufen lassen.

[xcomm]

Hi Uname,

Danke für Deine Antwort.

Netcat hat das Teil nicht, aber an dem Port lauscht etwas, wie gesagt vielleicht nur der entfernte Webdav.

Code: Alles auswählen

telnet localhost 44623
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.

Danke, xcomm

[Danielx]

Der netstat-Zeile fehlt auch die PID.

Als root ausgeführt?

Gruß,
Daniel

[xcomm]

Hi Daniel,

ja, als root.

Regards, xcomm

[rendegast]

ja, als root.

Glaube ich nicht:

Code: Alles auswählen

$ netstat -tpaun
(Es konnten nicht alle Prozesse identifiziert werden; Informationen über
nicht-eigene Processe werden nicht angezeigt; Root kann sie anzeigen.)
Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -               
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      -               
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      -               
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      -               
udp        0      0 0.0.0.0:631             0.0.0.0:*                           -               
udp        0      0 0.0.0.0:123             0.0.0.0:*                           -               
udp        0      0 10.34.56.78:137          0.0.0.0:*                           -               
udp        0      0 0.0.0.0:137             0.0.0.0:*                           -               
udp        0      0 10.34.56.78:138          0.0.0.0:*                           -               
udp        0      0 0.0.0.0:138             0.0.0.0:*                           -               
udp        0      0 0.0.0.0:323             0.0.0.0:*                           -               
$ 
$ su -
Passwort: 
# netstat -tpaun
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1384/sshd       
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      4597/cupsd      
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      4692/smbd       
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      4692/smbd       
udp        0      0 0.0.0.0:631             0.0.0.0:*                           4597/cupsd      
udp        0      0 0.0.0.0:123             0.0.0.0:*                           1306/chronyd    
udp        0      0 10.34.56.78:137          0.0.0.0:*                           4688/nmbd       
udp        0      0 0.0.0.0:137             0.0.0.0:*                           4688/nmbd       
udp        0      0 10.34.56.78:138          0.0.0.0:*                           4688/nmbd       
udp        0      0 0.0.0.0:138             0.0.0.0:*                           4688/nmbd       
udp        0      0 0.0.0.0:323             0.0.0.0:*                           1306/chronyd    

'lsof -i' gibt nicht unbedingt die Portnummer aus,
besser

Code: Alles auswählen

lsof -i -n -P
# aber nicht 'lsof -inP'

(als root)

[xcomm]

Hi Rendegast,

Danke für Deine Antwort.

Im Folgenden mal ein Paar Zeilen mehr in der Ausgabe.

Code: Alles auswählen

dev-1:(~)# netstat -naptu
Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:53762           0.0.0.0:*               LISTEN      24604/rpc.statd 
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      9938/mysqld     
tcp        0      0 0.0.0.0:44623           0.0.0.0:*               LISTEN      -               
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      3626/portmap    
tcp        0      0 0.0.0.0:4949            0.0.0.0:*               LISTEN      18554/munin-node
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      833/sshd  
...
dev-1:(~)# whoami
root

Danke, xcomm

[rendegast]

Code: Alles auswählen

rpcinfo -p

?

Vorher etwas kompiliert?
http://mail-archives.apache.org/mod_mbo ... che.org%3E
Soll heißen, ein noch nicht geschlossenes Socket aus irgendeiner Form von Aktivität?
Eventuell läßt sich aus Beobachtung von /proc/net/(ip|nf)_conntrack etwas schließen.

Die anderen Dämonen der Reihe nach schließen?

[Danielx]

Das könnte ein Dienst sein, der nicht im Userspace läuft, wie z.B. der Kernel NFS Daemon "kNFSd", also als Kernel Thread.

Siehe:
http://www.selflinux.org/selflinux/html ... ml#d81e235

Was sagt also (als root):

Code: Alles auswählen

ps auxwww | egrep "nfs|mount|lock|stat"

Gruß,
Daniel

[xcomm]

Hi Rendegast, hi Danielx,

yeap.

Code: Alles auswählen

rpcinfo -p
   Program Vers Proto   Port
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
////////////////////////////////////////////////////////
    100021    1   tcp  44623  nlockmgr
    100021    3   tcp  44623  nlockmgr
    100021    4   tcp  44623  nlockmgr
////////////////////////////////////////////////////////
    100024    1   udp  48632  status
    100024    1   tcp  53762  status

Danke!

xcomm