http://www.zago.eti.br/portas.txt Use CTRL+F para refinar a pesquisa. Linha de: **************** sapara mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux ******************************************************** veja também neste diretório (site) o sub-diretório firewall e no raiz os arquivos: rede.txt firewall.txt internet.txt iptables.txt e todos os arquivos iniciados com ip Descobrir quais portas estão abertas para a internet, consulte este FAQ: http://www.zago.eti.br/firewall/port-scanner.txt veja em /etc/services cat /etc/services ******************************************************* http://www.conectiva.com/doc/livros/online/7.0/servidor/sec-filtro-pacotes.html ******************************************************* Lista das principais portas usadas na rede, porta X aplicação. http://www.seifried.org/security/ports/ TCP-IP, UDP-IP, TCP, UDP Ports - 8,547 ports Excelente docomento sobre portas. http://www.abusar.org/manuais/relacao_portas.html http://www.abusar.org/manuais/portlist.html PORT NUMBERS http://www.iana.org/assignments/port-numbers ******************************************************* sobre a porta serial. http://www.easysw.com/~mike/serial/serial.html ******************************************************* relação de portas e aplicação. http://www.abusar.org/portas.html listagem de todas as portas TCP http://www.abusar.org/manuais/relacao_portas.html http://users.libnet.com.br/claudio/nportas.htm http://www.good-stuff.co.uk/useful/portfull.php IP Port Numbers - Full Listing ******************************************************* http://www.iss.net/security_center/advice/Exploits/Ports/ List of frequently seen TCP and UDP ports and what they mean. The goal of this port table is to point to further resources for more information. ******************************************************* Verificar portas abertas, instale o pacote nmap apt-get install nmap smart install nmap Manual do nmap: man nmap Dependendo do firewall o resultado pode não exibir corretamente as portas abertas. Exibir as portas abertas ou em uso nmap -sS 192.168.1.53 ou pegar todas as portas em uso. nmap -sF -p 1-65535 nmap -sF 192.168.1.2 -p 1-65535 nmap -p 1-65000 localhost Listar as portas que estão ouvindo netstat -na netstat -an -p netstat -an -p udp netstat -an -p tcp veja o resultado: # netstat -an -p Conexões Internet Ativas (servidores e estabelecidas) Proto Recv-Q Send-Q Endereço Local Endereço Remoto Estado PID/Program name tcp 0 0 0.0.0.0:6881 0.0.0.0:* OUÇA 21946/python tcp 0 0 0.0.0.0:6882 0.0.0.0:* OUÇA 21948/python tcp 0 0 0.0.0.0:6883 0.0.0.0:* OUÇA 21945/python tcp 0 0 0.0.0.0:6884 0.0.0.0:* OUÇA 21947/python tcp 0 0 0.0.0.0:80 0.0.0.0:* OUÇA 1109/httpd tcp 0 0 0.0.0.0:22 0.0.0.0:* OUÇA 1062/sshd tcp 0 0 0.0.0.0:443 0.0.0.0:* OUÇA 1109/httpd tcp 0 0 192.168.1.2:22 192.168.1.53:32785 ESTABELECIDA24798/sshd Domain sockets UNIX ativos (servidores e estabelecidas) Proto CntRef Flags Tipo Estado I-Node Rota PID/Program name Caminho unix 4 [ ] DGRAM 1233 922/syslogd /dev/log unix 2 [ ACC ] STREAM OUVINDO 1506 1128/gpm /dev/gpmctl unix 3 [ ] STREAM CONECTADO 555778 24798/sshd unix 3 [ ] STREAM CONECTADO 555777 24800/sshd unix 2 [ ] DGRAM 1613 1143/login -- zago unix 2 [ ] DGRAM 1247 934/klogd verificar somente uma porta, exemplo a 22. # netstat -antp | grep 22 tcp 0 0 0.0.0.0:22 0.0.0.0:* OUÇA 1070/sshd tcp 0 0 192.168.1.53:32998 192.168.1.2:22 ESTABELECIDA2567/ssh fuser veja o resultado da pesquisa na porta 22 (ssh): # fuser -v 22/tcp USER PID ACCESS COMMAND 22/tcp root 1070 f.... sshd ******************************************************* ******************************************************* P O R T A S Para aqueles que andam perguntando sobre a porta 6000 que é aberta quando se executa o X11, há um meio de fechá-la. Como root (e sem estar executando o X) vc edita o arquivo /usr/X11R6/bin/startx e dentro dele tem uma linha assim: serverargs="" --> acho que é assim... não sei... Aí vc muda para: serverargs="-nolisten tcp" Pronto! Pode-se agora entrar no X e executar o nmap que a porta não vai mais aparecer como aberta. Hau! ******************************************************* Para descobrir as portas bloqueadas faça um nmap -sF ip (de fora, é claro). NOTA: isso também pode ser considerado um ataque... As portas filtradas vão aparecer como filtered no nmap. Em Thu, Jul 13, 2000 at 03:38:35PM -0300, Fast Informática ltda escreveu: > Mauricio, > > Realmente foram bloqueadas as portas 80, 21, 25 e talvez outras que eu ainda > não identifiquei, para conexões entrantes tanto no zaz como no uol, pelo -- ******************************************************* > Se vc tem o intuito de scanear portas, eu te recomendo nmap, > Dah uma olhada em: > http://www.insecure.org > E veja se serve para o que vc quer fazer... ******************************************************* Versões do kernel anteriores à 2.2.16 em conjunto com o sendmail podem ser invadidas. Servidor quake I tem vulnerabilidade e pode ser invadido. Verifique se existe backdoor no seu micro utilizando um portscaner como este: ftp://ftp.asbyte.com.br/pub/linux/seguranca/portscan.c compile com: gcc portscan.c -o portscan; strip portscan Execute com ./portscan localhost 9000 Este programa lista quais as portas tcp estão listening na sua máquina. Geralmente depois de um ataque eles colocam algo (backdoor) para poder voltar à maquina em uma porta que não estava sendo utilizada antes ou colocam um cgi se sua maquina possui web-server.. Se o invasor colocou um backdoor é bom substitui-lo por um programa que imite o backdoor para pegar o ip do invasor quando ele tentar voltar... o arquivo que vc encontrou trata-se de um rootkit. Veja em http://www.rootshell.org. Um rootkit significa basicamente que você deve fazer backup de todos os seus dados, formatar o servidor e re-instalar o linux, pois os rootkits alteram programas para versões malígnas (ls, ps, kill, top... etc) desta forma podem esconder um backdoor. Alem disso no rootkit sempre existem "utilitários" para apagar e mascarar logs... Verifique o arquivo inetd.conf geralmente na ultima linha e veja se não foi adicionado nada... E por aí vai... > outro comentario....... Provavelmente, o hacker que invadiu seu servidor tomou o cuidado de apagar os logs para evitar ser rastreado. O que você pode fazer é cruzar os logs de outros servidores, roteadores, servidores de acesso, etc. com as datas de criação dos arquivos na máquina invadida. Você terá de usar o raciocínio dedutivo de um detetive e poderá chegar a conclusões. Veja quem estava conectado em sua rede no momento da invasão. Se chegar à conclusão que foi alguém de dentro da empresa, veja as pessoas que teriam motivos para invadir o servidor (um funcionário descontente, por exemplo). Não acuse ninguém. Só investigue. Para acusar alguém, você tem de estar muito seguro da conclusão, com provas factuais. Para testar os furos da máquina, que tal começar com um scanner de porta. Ele vai indicar se há portas TCP ou UDP abertas, que você não detecta. Um bom scanner de porta é o nmap. www.insecure.org/nmap. Você disse que o proftpd está ativo. O intruso pode ter adivinhado a senha do root e entrado pelo ftp. Pare, sente-se e analise com calma todas as possibilidades de invasão. Cavalos de tróia enviados por correio eletrônico, também podem servir de sniffers que ascultam a rede a procura de senhas e logins. Lembre-se que no ftp as senhas passam sem criptografia e podem ser facilmente detectadas. Depois de tudo isso, uma boa providência é separar os três serviços que você roda nessa máquina em máquinas separadas. O sendmail em uma máquina, o apache em outra e o ftp numa terceira. Sai mais caro? Sai. Só que é um perigo deixar serviços como esse rodando juntos. Uma falha de segurança em um dos programas pode causar brechas para os outros. Se ele entrar no ftp com privilégios de root, ele pode alterar suas páginas HTTP e infectá-las com scripts em VB ou controles Activex que provoquem invasões nas máquinas de quem acessá-las. Só para citar um pequeno exemplo. ******************************************************* os browsers, por padrao, conectam na porta 80 do servidor para o qual aponta sua url. Por exemplo, quando voce coloca no browser http://www.hotmail.com, ele procura pela porta 80 do servidor 209.185.243.135 (que é o endereço IP retornado pelo DNS quando digitamos www.hotmail.com). Para voce conectar em outra porta, basta colocá-la no final do endereço, precedida elo sinal de dois pontos ":", por exemplo: httt://www.seusite.com.br:8081 conectará o "seu site" na porta 8081. Boa sorte! ******************************************************* netstat netstat e recomendações de segurança --------------------------------- Uma invasão a um computador pode começar através de algum serviço (ex: telnet, ftp, pop3, etc.) que está aberto ao público e que contém algum furo de segurança. A instalação default de muitos Linux's deixa a máquina com vários serviços ativos que o próprio usuário (principalmente os novatos) desconhecem. Se você quiser verificar quais são os serviços aos quais sua máquina responde faça: ------------- netstat -l ------------- Estude cada um destes serviços e retire-os gradativamente da inicialização de sua máquina. Não recomendo que os retire de uma vez porque pode acontecer de algum serviço deixar de funcionar porque você removeu algum outro serviço mais básico que não conhecia; assim se tudo for feito de forma gradual, você ainda tem como recuperar o estado anterior de forma simples. Existe muito mais o que falar sobre o "netstat" e isto ficará para outros boletins. Qual programa está escutando qual porta? --------------------------------- Os serviços ativos em seu computador podem constituir portas para invasão de seu sistema como mencionado em http://www.pcs.usp.br/~jkinoshi/bs/b001124.html Usando o comando "netstat -l" descrito em http://www.pcs.usp.br/~jkinoshi/bs/b001124.html você vê algo como: ------------- # netstat -l Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 *:6000 *:* LISTEN tcp 0 0 *:ssh *:* LISTEN ------------- e já tem uma boa idéia dos serviços que sua máquina presta. Porém, isso pode não ser suficiente como ocorre com a porta 6000. O comando 'netstat -p -l' fornece uma descrição mais completa como ocorre abaixo: ------------- # netstat -l -p (Not all processes could be identified, non-owned process info will not be shown, you would have to be root to see it all.) Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 *:6000 *:* LISTEN 548/X tcp 0 0 *:ssh *:* LISTEN 328/sshd ------------- Se você quiser mais detalhes sobre o processo 548 que escuta a porta 6000 faça: ------------- # ps ax|grep 548 548 ? S 3:04 /etc/X11/X :0 -auth /home/usuario/.Xauthority ------------- O comando netstat também permite que você veja os serviços apenas através do número das portas (ao invés do 'ssh' do exemplo). Exemplo: ------------- # netstat -l -p -n (Not all processes could be identified, non-owned process info will not be shown, you would have to be root to see it all.) Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 548/X tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 328/sshd ------------- O comando 'netstat' sem parâmetros também é interessante porque fornece as máquinas com quem seu computador está se comunicando. ******************************************************* > Alguem sabe como eu libero para acessaro o apache pela porta 8080 ? > tipo http://ip:8080 No arquivo httpd.conf tem uma linha: Port 80 Troque 80 por qq-outra-coisa. Apenas complementando, no squid o default é a porta 3128 Procure no /etc/squid/conf/squid.conf a primeira TAG: http_port Altere para 8080. ******************************************************* ******************************************************* ******************************************************* De: Humberto L Jucá Responder-a: ginux-l@comp.ufla.br Para: ginux-l@comp.ufla.br Assunto: [ginux-l] Re: Seguranca Data: 02 Jul 2002 23:25:09 -0400 Em Ter, 2002-07-02 às 18:52, aline bol escreveu: > > > > - Se vc utiliza o X, rode com -nolisten tcp (fecha a porta 6000) > Como faço isso? Edite o arquivo /usr/X11R6/bin/startx, e difina a variável serverargs: mcedit /usr/X11R6/bin/startx serverargs="-nolisten tcp" Obs.: É apenas um "-", não coloque "--". > > > - Um conselho: naum deixe que sinais de ping e traceroute cheguem ao > > > server > Como faço isso? Regras de firewall, vc usa iptables!? Vc pode fazer assim: iptables -A INPUT -p icmp --icmp-type echo-request -j DROP iptables -A INPUT -p icmp --icmp-type destination-unreachable -j DROP ******************************************************* De: Geraldo Leite de Andrade Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) IP do Kazaa Data: 15 Jul 2002 17:41:03 -0300 O kazaa nao tem servidor central, portanto nao existe IP fixo. A unica maneira de voce barrar ou liberar seu acesso é usando o firewall e blquear/liberar a porta 1214 que é a padrao do kazaa. []´Geraldo Leite de Andrade ArcoNet ISP > Olá Pessoal > Estou tentando criar uma regra com Iptables para liberar o Kazaa. > Alguém tem esta regra Pronta ??? > Há, alguém sabe qual é o IP do Servidor do Kazaa ??? > Obrigado > Thiego Xavier ******************************************************* De: Arnaldo Carvalho de Melo Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Portas Data: 14 Sep 2002 04:14:13 -0300 Em Wed, Sep 11, 2002 at 01:50:39PM -0400, Wilson Bento Picaz Bom escreveu: > Após a instalação do CL 8.0+ as seguintes portas ficaram abertas: > 652/tcp open unknown > 677/tcp open unknown Tente: lsof -i4:652,677 Por exemplo, tenho as portas 22 e 143 abertas em minha máquina, do que se trata? [root@brinquedo root]# lsof -i4:22,123 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME ntpd 9286 ntp 4u IPv4 60545 UDP *:ntp ntpd 9286 ntp 5u IPv4 60546 UDP localhost.localdomain:ntp ntpd 9286 ntp 6u IPv4 60547 UDP dhcp185.distro.conectiva:ntp sshd 10144 root 3u IPv4 66500 TCP *:ssh (LISTEN) [root@brinquedo root]# [root@brinquedo video]# grep '^ntp\|^ssh' /etc/services ssh 22/tcp # SSH Remote Login Protocol ssh 22/udp ntp 123/tcp # Network Time Protocol ntp 123/udp [root@brinquedo video]# 8) Agora como exercício para o leitor, entenda o que a sequência abaixo faz: [root@brinquedo /]# lsof -N [root@brinquedo /]# mount | grep nfs underdog:/opt/video on /mnt type nfs (rw,addr=10.0.17.101) [root@brinquedo /]# cd /mnt [root@brinquedo mnt]# lsof -N COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME bash 9106 root cwd DIR 0,8 69 366551 /mnt (underdog:/opt/video) lsof 12520 root cwd DIR 0,8 69 366551 /mnt (underdog:/opt/video) lsof 12521 root cwd DIR 0,8 69 366551 /mnt (underdog:/opt/video) [root@brinquedo mnt]# - Arnaldo ******************************************************* De: dicas-l-owner@unicamp.br Assunto: [Dicas-L] TCP/UDP: Identificação de Portas Ativas Data: 20 Nov 2002 00:16:12 -0200 -------------------------------------------------------------------- Endereço: http://www.Dicas-l.com.br/dicas-l/20021120.shtml -------------------------------------------------------------------- Read in English Uma Maneira Divertida de Aprender Inglês http://novateceditora.com.br/livros/readinenglish/ -------------------------------------------------------------------- TCP/UDP: Identificação de Portas Ativas ======================================= Colaboração: Daniel Lobato Duclos Frequentemente encontro pessoas perguntando que portas TCP ou UDP estão abertas na máquina Linux e qual programa está inciando uma porta específica. São duas perguntas relacionadas, e são bem simples de responder. Para descobrir que portas estão abertas na sua máquina nada de ficar rodando nmap nela, utilize: netstat -nl Esse comando listrá todas as portas abertas. Veja um exemplo: [root@ace /root]# netstat -nl Conexões Internet Ativas (sem os servidores) Proto Recv-Q Send-Q Endereço Local Endereço Remoto Estado tcp 0 0 0.0.0.0:111 0.0.0.0:* OUÇA tcp 0 0 0.0.0.0:6000 0.0.0.0:* OUÇA udp 0 0 0.0.0.0:32768 0.0.0.0:* udp 0 0 0.0.0.0:111 0.0.0.0:* (..) Agora eu sei que tenho as portas 111 e 6000 TCP e as portas 32768 e 111 UDP abertas. Mas espera ai! Porta 6000?? Que programa esta abrindo esta porta? Também fácil de descobrir. Primeiro descubra o número do processo que abriu esta porta com o comando fuser: [root@ace /root]# fuser -n tcp 6000 6000/tcp: 840 [root@ace /root]# Ótimo! Já sabemos que é o processo de ID (pid) 840. Agora basta um ps com grep pra acharmos o "culpado": [root@ace /root]# ps auxw | grep 840 root 840 1.4 9.2 90708 23660 ? S 01:09 1:11 /usr/X11R6/bin/X (..) Opa! É o meu servidor X! tudo normal ;) Daniel Lobato Duclos - daniduc@cybershark.net - http://www.cybershark.net GPG Key fingerprint = A21B 40DF 4B8D 3CE6 9284 E764 4DF0 144C 509F 080F ******************************************************* De: Eder S. G. Responder-a: Eder S. G. Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Porta 111 Aberta no Red Hat 8 Data: 25 Nov 2002 23:06:00 -0200 On Wed, 20 Nov 2002, PunkSC wrote: > O meu red hat nao fecha a porta 111 mesmo qdo coloco nas regras de > firewall para fecha-la. Tentei matar o rpc.statd (q utiliza esta porta) > mas a mesma continua aberta. Alguem tem ideia do que posso fazer para > fecha-la? Olá Sr. Fernando, tudo bem? Para fazer com que a porta 111 (sunrpc) fique parada, efetue logon com o usuário root e digite: service portmap stop Logo após, para checar se o acesso à porta 111 foi realmente cancelada, digite: nmap localhost O senhor notará que a porta 111 estará indisponível para acessos. Acabei de testar aqui no Red Hat Linux 8. > Grato Estamos às ordens. :) ******************************************************* De: Master Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Samba Data: 29 Nov 2002 10:14:32 -0200 O SMBD verifica a porta 139 TCP e replica-se a cada solicitação do cliente na realização de tarefas de impressão e compartilhamento de arquivos. O NMBD recebe todo o tráfego da porta UDP / 137 e UDP / 138 para os serviços de nomes, registros e browsing (navegação). master ******************************************************* De: Brunhara Para: CRangel-linux , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) portas abertas Data: 14 Jan 2003 09:02:35 -0200 Ola, Voce precisa de um firewall ...... e tomar algumas decisoes. se voce precisa desta porta aberto é um fato ou nao, agora voce deve decidir: 1) deve ficar aberto somente para rede interna ou internet tb ou ambos. 2) deve ter uma politica de senha segura para os repectivos demons das portas nao usar senha muito facil,, e que nao seja comum . 3) ficar sempre atento as noticias de atualizaçoes dos demons para no sofrer com exploit's 4) ter um firewall logando para voce poder de vez enquanto analizar os log's para poder evitar posiveils ataques. etc..... ******************************************************* De: Ronaldo Saheki Para: Leonardo J. Tramontina Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Porta 111 Data: 19 Feb 2003 06:39:10 -0300 caOn Tue, 2003-02-18 at 13:36, Leonardo J. Tramontina wrote: Olá Leonardo, > Pegando o gancho da mensagem que o Luiz Guilherme enviou sobre invasão, > rodei o nmap na minha máquina e apareceu uma porta meio estranha: > 111/tcp open sunrpc > O que seria isso?? Para que é utilizada esta porta? O que é o sunrpc? Como > faço para fechá-la?? A Sun é a mãe dos RPCs da vida... :))) por isso a porta tá sunrpc Na verdade, como já foi dito anteriormente aqui (mas acho que não custa nada repetir), a porta 111 está ligada ao portmapper. Se você verificar o /etc/services, que tem todas as portas e serviços bem conhecidos definidos, você irá reparar que não encontrará portas para o *nis* e o *nfs*. NIS e NFS são servidores que utilizam RPC, e não possuem porta fixa, então quando alguém quer usar o NIS e o NFS, o cliente normalmente manda uma mensagem para o portmapper (111), para saber em que porta está os servidores NIS e o NFS. Então veja se você realmente pode fechar essa porta. O modo mais fácil de fechar, é parando o serviço de portmap, como root você pode tentar: # /etc/init.d/portmap stop ou # service portmap stop O mais usual é fechar essa porta para endereços fora da sua rede, o que pode ser feito facilmente com uma regra no iptables no roteador: # iptables -A FORWARD -s 0/0 -d (ServidorNIS/NFS) --dport 111 -j DROP Essa regra não vai deixar entrar na sua rede nenhuma mensagem para o seu servidor NIS ou NFS. Que aliás, normalmente é informação para a rede local apenas. Se alguém quiser complementar ou corrigir, agradeço. > Grato, > Leonardo Saudações, Ronaldo Saheki ******************************************************* De: Ronaldo Saheki Para: Rodrigo Ferreira Santos Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Portas Aberta na REDE, iptables ?? Data: 02 Mar 2003 04:04:22 -0300 On Fri, 2003-02-28 at 03:16, Rodrigo Ferreira Santos wrote: > Companheiros Companheiro Rodrigo, :) > é o seguinte eu useu o nmap para analizar algums micros na minha > rede e até mesmo o meu, e aparece o seguinte: > > Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ ) > Interesting ports on (xxx.xxx.xxx.xxx): > (The 1541 ports scanned but not shown below are in state: closed) > Port State Service > 21/tcp open ftp > 80/tcp open http > 111/tcp open sunrpc > 139/tcp open netbios-ssn > 443/tcp open https > 631/tcp open cups > 3306/tcp open mysql > 6000/tcp open X11 > Nmap run completed -- 1 IP address (1 host up) scanned in 1 second > > Bom eu não tenho medo de ataque externos pois nossa rede tem um firewall > mandrake, mas a nossa intranet é minha preocupação pois temos laboratórios de > informatica com varios alunos, bom minha duvida é a seguinte: > > Qual o commando que dou no iptables para fechar uma porta e qual dou para > liberar uma porta (se é que meu raciocinio esta correto)? Bem, para o iptables (firewall em geral) existem duas políticas iniciais: * Barrar todas as conexões, e ir liberando as portas e conexões uma a uma. * Liberar todas as conexões, e ir barrando as portas e conexões uma a uma. No caso, por padrão, se bem me recordo, é a segunda opção (ACCEPT ALL). No iptables a linha inicial seria para barrar tudo por padrão: # iptables -P (chain) DROP E para liberar tudo por padrão, que aliás, já é o default seria: # iptables -P (chain) ACCEPT Onde chain é a cadeia onde a regra se aplica, para filtragem temos INPUT, OUTPUT e FORWARD. Para barrar uma porta você tem que especificar o protocolo, para barrar a porta do X11 por exemplo basta digitar: # iptables -A INPUT -m tcp -p tcp --dport X11 -j DROP Maiores informações, acho melhor você ler a documentação do iptables no site do netfilter.org. > ou existe outro meio algum programa tipo zone alarm , ou similar ??? > Caso exista um frontend para iptables favor me avisar ?? Existem diversos, para o ipchains o mais famoso acho que é o bastille, agora tem muitos outros, qualquer busca no sourceforge ou freshmeat você irá encontrá-los. > Cordialmente ******************************************************* De: Thiago Macieira Para: Brunhara Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Dns comand rndc help Data: 21 Mar 2003 14:13:29 +0100 Brunhara wrote: >rndc: connect failed: connection refused A conexão está sendo resetada. Verifique se você não está bloqueando os comandos na porta 953 ou se ela está realmente aberta para conexões externas no named remoto. Por exemplo, no meu caso: [root@prometheus ~]# lsof -n -i :953 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME named 1386 named 15u IPv4 2344 TCP 127.0.0.1:953 (LISTEN) Veja que o endereço é 127.0.0.1, logo apenas conexões vindas da própria máquina alcançam o rndc. -- ******************************************************* De: Jorge Godoy Para: Milhomem, Marcus Cc: 'linux-br@bazar.conectiva.com.br ' Assunto: Re: (linux-br) Portas TCP / UDP de Cada serviço.... Data: 08 Apr 2003 22:05:06 -0300 "Milhomem, Marcus" writes: > Sera que algum de vocês teria uma lista, ou poderia me indicar onde > conseguir, uma lista com as portas que cada serviço utiliza? Por exemplo, cat /etc/services ******************************************************* De: William da Rocha Lima Para: Kleber C Bernardo , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Portas utlizadas por programas Data: 11 Apr 2003 11:13:18 -0300 pode executar netstat -na ou execute nmap -v -sS -P0 seu ip ******************************************************* De: Edival Mittelstad Responder-a: Edival Mittelstad Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Portas utlizadas por programas Data: 11 Apr 2003 09:26:28 -0300 Ola Kleber, Thursday, April 10, 2003, 11:17:16 AM, you wrote: > Bom dia... > Como faço para descobrir qual programa esta abrindo uma determinada porta, > mas não as portas padrões. Quero um comando que se eu especificar a porta > ele me retorne qual o programa ou o pid do programa que abriu esta porta. > Obrigado a todos # netstat -na Mostrar todas as conexões e portas abertas # fuser -n PROTOCOLO PORTA Mostra o pid do processo respondendo pela porta ******************************************************* De: Marcus Lima Responder-a: marcuslima@marcuslima.eti.br Para: Kleber C Bernardo , linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) Portas utlizadas por programas Data: 11 Apr 2003 07:21:50 -0300 netstat -an --inet -> Isso irá listar todas as portas que estão em estado LISTEN Agora execute o programa e rode novamente este comando, as portas adicionais foram colocadas lá pelo novo programa. :)) Você ainda pode usar o: lsof -i -> Lista os programas que estão utilizando as portas TCP ou UDP do seu computador Atenciosamente, Marcus Lima. ******************************************************* De: CyberCrow Para: Milhomem, Marcus Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Portas TCP / UDP de Cada serviço.... Data: 09 Apr 2003 09:47:28 -0300 Simples... No seu próprio Linux você encontra.... less /etc/services ******************************************************* De: Marcus Lima Responder-a: Marcus Lima Para: Matias Breunig , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Invasão (descobrir arquivo que abre a porta) Data: 07 May 2003 10:04:15 -0300 lsof -i - Marcus Lima. ******************************************************* De: funtable Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Invasão (descobrir arquivo que abre a porta) Data: 07 May 2003 10:57:07 -0300 Qual é a porta ? Para descobrir o tipo de serviço é só olhar o /etc/services Carlos. > > Pessoal, ******************************************************* De: Leonardo J. Tramontina Para: linux-br@bazar.conectiva.com.br Assunto: Porta 2105 udp Data: 08 May 2003 08:17:23 -0300 Dei um nmap -sU no meu servidor e apareceu a seguinte porta aberta: 2105/udp open eklogin O que seria isso? Para que serve? Tem como descobrir quando e por quem ela foi aberta?? Como fechá-la? ******************************************************* De: Edival Mittelstad Para: Matias Breunig Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Invasão (descobrir arquivo que abre a porta) Data: 12 May 2003 08:56:56 -0300 "Matias Breunig" wrote: > Pessoal, > > Um cliente meu chegou com uma maquina que foi invadida, ao que tudo indica > por um bug no sendmail... > Verifiquei e percebi que há uma porta aberta na maquina mas nao consigo > localizar o daemon que está rodando. > com o nmap eu vejo a porta aberta e com o netstat -a tb. > Como eu posso saber qual é o programa que está abrindo o socket??? > Alguem tem alguma dica? > > Obrigado, Matias Breunig fuser -n [tcp/udp] porta (Retorna o pid do processo q esta abrindo a porta) ps -ef | grep pid (pid eh retornado pelo comando fuser) Graça e Paz Edival Mittelstad ******************************************************* De: Marcus Lima Responder-a: marcuslima@marcuslima.eti.br Para: Jefferson Midei , linux-br@bazar2.conectiva.com.br Assunto: RES: (linux-br) Abrir TODAS as Portas Data: 03 Jun 2003 07:03:42 -0300 echo 1 > /proc/sys/net/ipv4/ip_forward ipchains -P input ACCEPT ipchains -P forward ACCEPT ipchains -A forward -s rede_interna/mascara -j MASQ ipchains -P output ACCEPT Ta tudo liberado! - Marcus Lima. ******************************************************* De: Gabriel D'Asti Ventura Vicalvi Para: linux-br Assunto: Fw: (linux-br) Abrir TODAS as Portas Data: 03 Jun 2003 22:32:04 -0300 segue linha para acrescentar no seu script. /sbin/ipchains -A forward -s192.168.0.0/24 -j MASQ ******************************************************* De:  Thiago Macieira Para:  Leonardo J. Tramontina , linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)Porta 1025 Data:  Thu, 7 Aug 2003 02:47:32 +0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Leonardo J. Tramontina wrote: >Senhores, > >Alguém saberia me explicar para que serve, quais os serviços que as utilizam >e como desligá-los (o serviço) e fechar as portas abaixo: > >1025/udp   open        blackjack 1025 não é uma porta privilegiada, portanto pode ser qualquer coisa. Que processo está com essa porta aberta? (use o fuser, netstat ou lsof) >953/tcp    open        rndc Esse deve ser o próprio named. Você deve ter ativado o rndc em /etc/named. conf. É assim que o rndc se comunica com o named para fazê-lo recarregar a configuração, etc. Se você quer fechar essas portas, mate o programa que as está mantendo abertas, ou verifique na configuração dos mesmos se há maneira de fazê-los não as abrir. - --   Thiago Macieira  -  Registered Linux user #65028    thiagom@mail.com               ICQ UIN: 1967141 ******************************************************* De:  Antonio Claudio Para:  Marcus Vinicius Gonçalves , forum conectiva Assunto:  Re: (linux-br)Porta 1024 Data:  Thu, 21 Aug 2003 21:55:24 -0300 Em Quinta 21 Agosto 2003 00:22, Marcus Vinicius Gonçalves escreveu: > Ola Lista, > > Passando um scanner no meu Linux, identifiquei a porta 1024, como active, e > é de um trojan chamado net spy, tentei algumas regras de iptables sem > sucesso, teria alguma sugestão ?? > > O que faz está porta ?? Você pode ver qual aplicativo está usando esta porta seguindo os seguintes passos: Verifique a porta aberta e o protocolo [root@tux root]#netstat -ln | grep 1024 Supondo ser o protocolo tcp, veja qual pocesso usa esta porta [root@tux root]#fuser -n tcp 1024 O fuser lhe retornará o número do processo e ai é só executar um ps aux e ver qual processo está usando a porta. []s, Antonio Claudio ******************************************************* De:  funtable Responder-a:  funtable@terra.com.br Para:  Pablo Roberto Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)porta 135 Data:  05 Sep 2003 14:23:58 -0300 > De uns dias para cá venho percebendo um grande numero de conexões de uma > estação da minha rede para hosts externos a nossa rede no 135 pelo que diz > no /etc/services esta posta e do loc-srv. > O que poderia ser estas conexões? Se eu não me engano essa é a porta RPC do Windows que foi explorada pelo Worm Blaster. Verifique se o micro que está disparando esse tráfego não está com virus. http://www.microsoft.com/brasil/security/boletim_blaster.asp Para parar com o problema, tem que utilizar uma ferramenta de remoção do virus/worm (www.symantec.com.br)  e depois fazer a atualização necessária do Windows. Att, ******************************************************* De:  Felipe Stuardo Para:  guerreiro.linux@graciano.com.br, linux-br Assunto:  Re: (linux-br)Regra de iptables para fechar porta 135 Data:  Mon, 08 Sep 2003 18:09:20 -0300 iptables -t filter -A INPUT -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -p tcp --dport 135:135 -i eth0+ -j DROP iptables -t filter -A INPUT -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -p udp --dport 135:135 -i eth0+ -j DROP iptables -t filter -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -p tcp --dport 135:135 -i eth0+ -j DROP iptables -t filter -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -p udp --dport 135:135 -i eth0+ -j DROP guerreiro.linux@graciano.com.br wrote: Bom dia !!! > > > Alguem sabe como eu fecho a porta 135 tanto na eth0 como na eth1, no > iptables... > ******************************************************* De:  zgrp unknow Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Configuração_Portas_-_Portsentry Data:  Thu, 11 Sep 2003 09:29:21 -0300 (ART) Opa, A porta 1080 tanto TCP quanto UPD é o servidor socks (tipo de proxy server). A 137 e 138 são utilizadas para compatilhamentos de arquivos (SMB/CIFS). Uma utilizada para resolução de nomes e a outra para datagramas. falow ******************************************************* De:  Ricardo Guedes Para:  LinuxBR Assunto:  (linux-br)Trap Convention Port Data:  Thu, 11 Sep 2003 13:14:50 -0400 Oi pessoal, Visitei o site do Gibson Research Corporation (www.grc.com) e resolvi testar a portas do meu servidor. Configurei o iptables de forma a negar tudo. $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP $IPT -t nat -P PREROUTING DROP $IPT -t nat -P POSTROUTING DROP $IPT -t nat -P OUTPUT DROP Depois fui liberando apenas os serviços existentes no mesmo (httpd, sshd e outros). Adicionei também algumas linhas para eliminar efeitos de alguns portscaners. As portas dos serviços mostrados acima todas sem exceção foram classificadas como Stealth. Até aí tudo beleza, porém existe uma porta que ele sempre identifica como CLOSED. Esta porta é a 412, também conhecida por synoptics-trap (Trap Convention Port). Visitando outro site scan, o Securityspace (www.securityspace.com), testei as portas (TODAS) deste servidor. Levando aproximadamente umas 3 a 4 horas fazendo o scan. E como resultado ele informa que foram encontradas 0 (zero) portas no sistema. Alguém saberia o porque o Gibson insiste em dizer que esta porta esta fechada e não classificá-la como stealth como faz o securityspace? Desde já obrigado! Ricardo Guedes ******************************************************* De:  Andreas Para:  Rivanor P. Soares Cc:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Redirecionamento de portas no IPTables + Webmin + SSL Data:  Thu, 17 Jul 2003 16:35:05 -0300 On Thu, Jul 17, 2003 at 02:05:04PM -0300, Rivanor P. Soares wrote: > :) > Se eu colocar "https" no browser ele não vai enviar a > solicitação para a porta 443 do servidor? Só se você não especificar nenhuma porta. Assim: https://bla.com/ vai acessar porta 443 via https https://bla.com:10000/ vai acessar porta 10000 via https ******************************************************* De:  Ademar de Souza Reis Jr. Para:  Carlos Ribeiro Cc:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Telnet na porta 25 Data:  Tue, 30 Sep 2003 19:04:58 -0300 On Tue, Sep 30, 2003 at 07:59:33PM +0000, Carlos Ribeiro wrote: > Pessoal, > Boa tarde. > > Preciso da ajuda de vcs. É o seguinte, preciso saber se é possível bloquear > acesso via telnet na porta 25 do meu servidor de emails, sem que isso > interfira no funcionamento normal do meu servidor. > Utilizo RH 9.0 + Qmail 1.03 > Oi. O telnet simplesmente abre uma conexão entre o servidor e sua máquina. Você pode utilizá-lo para conversar com qualquer servidor (mail, http, telnet, OpenSSH, samba, etc), basta saber falar o protocolo (obviamente, nem todos os protocolos utilizam codificação ascii, portanto o que você consegue fazer com um telnet fica bastante limitado nesses casos). Mas enfim: não faz sentido barrar conexões por telnet... Você estaria barrando uma conexão TCP/IP válida. O programa utilizado para essa conexão (telnet, nc, cliente e-mail, browser, etc) é irrelevante. Experimente (re)ler algo a respeito de TCP/IP e brinque um pouco com ferramentas como o ethereal. Isso vai lhe esclarecer o funcionamento de vários protocolos. []'s   - Ademar -- Ademar de Souza Reis Jr. ^[:wq! De:  Ademar de Souza Reis Jr. Para:  Rodrigo Barbosa , Carlos Ribeiro , seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Telnet na porta 25 Data:  Wed, 1 Oct 2003 13:18:44 -0300 On Wed, Oct 01, 2003 at 01:04:40PM -0300, Rodrigo Barbosa wrote: > Ta ai. Eu mesmo já falei isso varias vezes, porém me veio uma ideia maluca na > cabeça. > > Tipo, todo cliente telnet, tem que responder aos demandes do protocolo > telnet, certo ? Este protocolo, possui uma série de comandos de controle, > para os quais o cliente envia uma resposta. > > Será que não seria possível fazer o MTA enviar, junto do banner, um código > de controle que o cliente telnet responda, e ver a resposta ? Se vier, > é cliente telnet, e bloqueia. Tudo bem, é perfeitamente possível, mas não acho que valha o esforço pela simples razão que você mesmo já coloca abaixo: > > Claro que isso só funcionaria para clientes telnet mesmo. Coisas como netcat > obviamente iriam funcionar. Mas já iria eliminar a maioria dos casos de > conexão direta a porta, não acham ? Eu não acho uma boa idéia... :) - Adicionaria complexidade ao protocolo SMTP e quebraria RFCs e   compatibilidade; - Tornando-se popular, quem tiver interesse em se conectar vai   usar netcat; E acho que o mais importante: Qual a razão pra se bloquear a tal "conexão direta à porta"? A porta está lá, quem souber falar o protocolo e tiver acesso (e.x. não estiver barrado por firewall) tem total liberdade de conversar com o servidor... Nesse caso, tornar a tarefa de conversar com o servidor um pouco mais difícil adiciona complexidade e falsa sensação de segurança. -- Ademar de Souza Reis Jr. ^[:wq! ******************************************************* De:  Eduardo Mota Para:  robson@dualnet.com.br Cc:  Linux-BR@bazar2.conectiva.com.br Assunto:  Re: (linux-br)monitoramento de portas Data:  Fri, 20 Feb 2004 02:16:49 -0300 Olá Rosbon, 2 opções simples ... # telnet 127.0.0.1 27910  ... ou ... # nmap 127.0.0.1 -p 27910 (o nmap é um PortScan) | robson | wrote: Oi pessoal, sou novo na lista e gostaria de saber se vcs poderiam me > ajudar... > > Tenho um server que rodam vários jogos... um em cada porta... > > e queria saber se tem alguma forma, um php por exemplo que veja se a porta > 27910 está funcionando, por exemplo... > > não sei se tem algum tipo de ping ou telnet direto pra porta.... > bem... espero que vcs possam me ajudar.. > flw... > Robson > -- Atenciosamente, Eduardo Mota. ----------------------------------------- http://www.emota.com.br emota@emota.com.br Linux User: 272219 Telefone: (11) 9667-5317 - UIN: 2731255 ******************************************************* De:  Carlos Para:  linux-br Assunto:  Re: (linux-br)Abrir porta e rodar script como root Data:  Tue, 23 Mar 2004 16:37:21 -0300 Pra abrir a porta voce tera que no seu programa criar um socket (socket = protocolo+porta+ip) e a partir dai criar sua funcao . Pelo que entendi (posso estar errado) voce quer criar um programa cliente-servidor. Entao voce vai ter que ser sobre criacao de sockets. (ja fiz sockets em Perl, nao sei como é em PHP). >Bom dia a todos.... >Eu fiz o seguinte: Criei uns scripts em PHP para cadastrar, alterar e exluir >contas de usuarios de e-mail, mas estou com um problema, para funcionar eu >estou tendo que dar permissão aos arquivos "shadow" e "passwd" para o >usuario "www", eu sei que isso não é seguro então aqui esta a minha dúvida: >Estou querendo abrir uma porta no servidor, qualquer uma, tipo "308" para >acessar este script que fica em "/webs/emails/" e executar este arquivo como >root, para que eu não precise dar permissão para o usuario "www". >Alguem pode me ajudar a resolver este problema??? Alguma "FAQ/How To" seria >bem vindo >Utilizo PHP 4 e Conectiva 9 >Obrigado a todos desde já. >Giulliano ******************************************************* De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Problemas com apache Data:  Thu, 22 Apr 2004 20:45:10 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Glaucio da Matta Martins wrote: >Nosso provedor de link é a Horizon (tv a cabo e cable modem de 256k > com ip fixo).Nossas paginas abrem sem problemas com todos os ips > validos da propria horizon, caso o usuario esteja conectado pela > embratel, ig, argo, click21 e outros a pagina não abre. Ja testei o > dns esta funcionando perfeitamente, ele ping nossa pagina mas na hora > do browser abrir ele fica esperando como se meu servidor não enviase > o conteudo da pagina. Liberei meu firewall porque achei que poderia > ser ele mas nada. $ ping 200.242.76.2 PING 200.242.76.2 (200.242.76.2) 56(84) bytes of data. 64 bytes from 200.242.76.2: icmp_seq=0 ttl=52 time=207 ms 64 bytes from 200.242.76.2: icmp_seq=1 ttl=52 time=97.8 ms - --- 200.242.76.2 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1001ms rtt min/avg/max/mdev = 97.888/152.797/207.707/54.910 ms, pipe 2 $ telnet 200.242.76.2 80 Trying 200.242.76.2... telnet: connect to address 200.242.76.2: Connection timed out Você disse que desativou o firewall. Peço que verifique novamente esse fato, porque a porta 80 está realmente atrás de firewall. Verifique também se não é o firewall do seu provedor. Muitos provedores bloqueiam acesso à porta 80. Contate o seu para saber se é o caso. Alguns deles bloqueiam a porta 80 para impedir a proliferação de vírus tipo NIMDA, mas eles liberam a porta se você pedir. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: ******************************************************* De:  Leonardo Pinto Responder-a:  Leonardo Pinto Para:  robsoncb2 Cc:  Linux-BR Lista Assunto:  Re: (linux-br) Bloquear porta 4000 até 65535 Data:  Mon, 4 Oct 2004 12:01:47 -0000 Você não quer fazer isto, pois as "high port" são extremamente necessárias para diversos protocolos de comunicação como: HTTP, FTP, dentre outros. A questão é que elas são alocadas dinamicamente e aleatoriamente na medida da necessidade. Sds, Leonardo Pinto. > Pessoal gostaria de bloquear as portas 4000 até 65535 > nessa regra, dessa forma estaria certo ? > > iptables -A FORWARD -d 10.0.67.2 -p tcp --dport 4000-65535 -j DROP *******************************************************. De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Informações sobre portas Data:  Mon, 1 Nov 2004 15:51:58 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Aguiar Magalhaes wrote: >na internet onde posso encontrar informações sobre >portas utilizadas por determinados serviços ? > >As vezes, preciso saber qual serviço usa a porta tal No Konqueror, ou no Alt+F2 do KDE, digite:         gg:iana port numbers No Mozilla/Firefox, digite no espaço para procura no Google:         iana port numbers Ou então, abra seu arquivo /etc/services. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info ******************************************************* De: Alejandro Flores Responder A: Alejandro Flores Para: Kilson Arruda Cc: Lista Conectiva Assunto: Re: (linux-br)porta 1900 Data: Thu, 24 Mar 2005 08:06:24 -0300 Olá, > Alguém conhece algum programa, troiano, jogo pra windows etc, que se > comunique pela porta 1900 udp? > 18:41:11.868469 IP 192.168.10.21.4000 > 192.168.10.254.1900: UDP, length: > 132 São máquinas windows procurando por alguma máquina com UPNP ativo. Da uma olhada: http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/upnpxp.mspx Abraço! Alejandro Flores ******************************************************* *******************************************************