WebサーバーのnmapでTCPポート554および7070が開いていることが表示される

11

さまざまなWebサイトをホストするWebサーバーがあります。外部からアクセスできる2つのサービスはSSHとApache2です。これらは、それぞれ非標準ポートと標準ポートで実行されています。他のすべてのポートは、arno-iptables-firewallを介して明示的に閉じられます。ホストはDebianテストを実行しています。

nmapを使用してホストをスキャンすると、PCごとに異なる結果が生成されることに気付きました。ホームネットワーク（BT Homehubの背後）のラップトップから、次のものを取得します。

Not shown: 996 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
554/tcp  open  rtsp
7070/tcp open  realserver
9000/tcp open  cslistener

一方、nmap 5.00とnmap 5.21を実行しているノルウェーのLinuxボックスを使用する米国ベースのサーバーからスキャンすると、次のようになります。

Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
9000/tcp open  cslistener

私の内部ネットワークまたはISPがうまくいっていることを願っていますが、確信が持てません。

を実行しnetstat -l | grep 7070ても何も生成されません。ポート554についても同様です。

誰もが私が見ている特異性を説明できますか？

security debian port

— アレックス
ソース

両方の結果が同時に行われたスキャンの結果であるかどうか。

— pradeepchhetri

3

ホームネットワークで、Apple Airport ExtremeまたはAppleタイムカプセルを使用している可能性はありますか？

— フェイカー

私が信じているDLNA互換サービスを実行するBuffalo NASを持っています。

— アレックス

これは私にも起こります-私はApple Time Capsuleの後ろにいます。:(

— pawstrong

1

これはおそらく、2つのポート（554/7070）がRealplayerのRealServer用であるためです。

http://service.real.com/firewall/adminfw.html

— ワイク
ソース

仰るとおりです。ありがとう。Nickgrimが提案したことを実行し、ポートを開くことができることを証明しました（netcat、netstat、および他の関連するバイナリを置き換えてルートキットを作らないと仮定して！）。

— アレックス

ところで、どうすればこれが事実であることを証明できますか？

— アレックス

@atc：telnetあなたの新しく聞いた人にnetcat、そしてあなたがそれに入力したものを受け取ることを確認します。

— ニックグリム

10

これについては、あなたのISPまたはあなたとあなたのサーバーの間の何かを責めたいと思います。これらのポートが本当に閉じていることを確認したい場合は、それらのポートでリッスンしてみてください。成功した場合は、すでにリッスンしているものはないと想定しても安全です。これが私のマシン（ポート80にはApacheがあり、ポート81には何もない）で行っていることです：

$ sudo netcat -p 80 -l --wait 1    # Apache on port 80
Error: Couldn't setup listening socket (err=-3)
$ sudo netcat -p 81 -l --wait 1    # Nothing on port 81
(Ctrl-C)

編集：そして、これが本当に機能していることを確認するtelnetために、別のボックスからそれにnetcat送信し、あなたが送信したものを受信していることを確認します（おそらく--waitタイムアウトを増やしたいでしょう）。

— ニックグリム
ソース

これにより、問題がサーバー上にないことが証明されました。別のホストをスキャンすると、同じポートが開いていたときに開いていたことがリストされました。

— アレックス

これは直接の質問には答えませんでしたが、ポートが使用されているかどうかを主張する素晴らしい方法であるため、私はあなたに賛成票を与えました。ご意見ありがとうございます。

— アレックス

7

ルーターが原因である可能性があります。これがOpenVZホスト上での問題かどうか疑問に思っていましたが、次の記事を見つけました。ポート21、554、および7070は開いているか閉じていますか？答えはイエスです。

私は現在、くだらないFiOS Actiontecルーターを使用しているので、これは理にかなっています。コンテナとホストノードでのnmapとnetcatのテストの組み合わせにより、これらのポートが実際に開いていないことが確認されます。

— Lunistorvalds
ソース

1

くだらないFiOS Actiontecルーターの場合は +1 。私はあなたの箱の秘密鍵を知っています（Little Black Boxのおかげで他の人も同様です）。

FiOSを失う前に切り替えましたが、今ではAPモードのワイヤレス「ルーター」でより安全なルーターを使用しています。この記事を読んでいる人は、そのプロジェクトがリンクされていることを確認してください。素敵なブログも:)

— lunistorvalds

ちょっと注意してください。これは今でもApple Airport Extremeの場合です。私のホームネットワークからAmazon ec2インスタンスのファイアウォール設定をテストする際の難しい方法を見つけました。

— jlapoutre

5

さまざまなルーター（Verizon FiOS、BTホームハブ、Apple Airport Extremeなど）がポート554を表示し7070、何らかの理由ですべてのIPに対して開いているようにします。

Hackerific»誤検出TCPポート！

— ザズ
ソース

2

素晴らしいHackerificリンクの+1。

— コーディングアウト

0

私はニックグリムに同意します。また、ボックス自体からローカルnmapスキャンを試してみることもできます。

これらの出力を比較します。

nmap 127.0.0.1

nmap 1.2.3.4

1.2.3.4はパブリックIPです

— portforwardpodcast
ソース

0

これは、トラフィックを傍受して応答を提供するホームハブ上のRTSP ALG（アプリケーションレイヤーゲートウェイ）の場合があります。

— AndrewW
ソース

0

ESXiゲストでVMを使用していますか？Kali Linux VMをWorkstationからESXiに移動したときに、偽の554/7070の結果が出始めました。レイテンシを確認できます：

nmap yourip --reason -p 7070 --traceroute

554および7070ポートの異なるホップ数を通常のポートで確認してください...

— エンリコ・サンドリ
ソース