Stretch - Found Hidden port that not appears in ss - debuggen?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
slu
Beiträge: 2137
Registriert: 23.02.2005 23:58:47

Stretch - Found Hidden port that not appears in ss - debuggen?

Beitrag von slu » 08.01.2019 10:29:28

Hallo,

mir ist auf einem lokalen Server (nicht vom Internet aus erreichbar) aufgefallen das dieser hidden tcp Ports hat:

Code: Alles auswählen

root@server:~# unhide-tcp
Unhide-tcp 20130526
Copyright © 2013 Yago Jesus & Patrick Gouin
License GPLv3+ : GNU GPL version 3 or later
http://www.unhide-forensics.info
Used options: 
[*]Starting TCP checking

Found Hidden port that not appears in ss: 667

Found Hidden port that not appears in ss: 679

root@server:~# nc -l -p 667
^C
root@server:~#
Ich stehe nun vor einem Rätsel, wenn ich mich an einen Port wie z.B. 667 binden möchte geht das (allso offenbar nicht belegt).
Was könnte das sein bzw. wie kann man das weiter untersuchen?

Edit:
Auf dem Server laufen Dienste wie NFS, LDAP, Samba.
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Stretch - Found Hidden port that not appears in ss - debuggen?

Beitrag von uname » 08.01.2019 13:00:07

Installiere mal Debianlsof falls nicht installiert und führe als root aus:

Code: Alles auswählen

lsof |grep 667
lsof |grep 679
Informationen zu den aufgeführten Prozessen erhälst du unter /proc/<prozess-id>.

Schau dir evtl. noch ganz unabhängig davon die folgende Ausgabe an:

Code: Alles auswählen

lsof -i

slu
Beiträge: 2137
Registriert: 23.02.2005 23:58:47

Re: Stretch - Found Hidden port that not appears in ss - debuggen?

Beitrag von slu » 08.01.2019 13:52:48

Code: Alles auswählen

lsof |grep 6??
Führt nur zu Treffer in der Spalte DEVICE und NODE.

Code: Alles auswählen

lsof -i | grep 6??
Bringt gar keine Treffer und ein lsof -i zeigt mir keine Unauffälligkeiten.

Ist das evlt. ein Bug, ich muss später mal ein reboot probieren.

Edit:
Gelöst, das hier war das Problem:
https://bugs.debian.org/cgi-bin/bugrepo ... bug=917533

service nfs-kernel-server restart und die hidden ports sind weg.
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

Antworten