Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Vreemde open poorten gebruik op Linux

20-08-2016, 11:15 door borka, 7 reacties
Ik stel even hier mijn vraag. Via NMAP kwam ik er achter dat er steeds vreemde poorten werden geopend in de poortreeks die normaal gesproken nooit gebruikt worden. Via IANA port registratie gekeken wie deze poorten gebruik maar dat zegt mij nog niets, ik heb de poorten middels een firewall rule geblokkeerd voor in en outbound maar merkte op dat er dan weer andere poorten werden geopend soort kat en muis.

De volgende poorten werden steeds geopend:

51674
46626
34536
47310
42690
54940
58852

Al deze poorten heb ik nu geblokkeerd want ik weet niet wat deze poorten doen en of ze misbruikt worden om data te stelen. Mijn Linux is geheel up to date, gebruik host intrusion en IDS alsmede psad, Snort en Suricata zijn up to date, de rules zijn up to date dus waarom worden deze poorten gebruikt en door welke instanties eventueel.
Reacties (7)
20-08-2016, 11:33 door Anoniem
Door het volgende commando uit te voeren op je Linux systeem moet je kunnen zien welk proces port 51674 open heeft.

netstat -p -n -a | grep 51674
20-08-2016, 11:39 door Briolet
Tja, zo werkt internet. Je kunt toch niet verwachten dat alle websites via poort 80/443 verbonden blijven als je meerdere vensters gelijktijdig geopend hebt.
20-08-2016, 11:44 door Anoniem
Dit zijn "ephermeral ports", die zijn niet geregistreerd maar worden "random" bepaald en gebruikt.
Je kunt met het programma "fuser" opvragen welk programma deze poorten opent.
Het zou bijvoorbeeld je DNS resolver kunnen zijn.
20-08-2016, 13:07 door karma4
https://docs.fedoraproject.org/nl-NL/Fedora/13/html/Security_Guide/sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html ..https://en.wikipedia.org/wiki/Ephemeral_port Klik even door naar waarom ephermal ports gebruikt worden. "Applicaties" worden vaak opgedeeld in een Client/Server benadering ook draai je ze op een enkele machine je werkstation. Dan wordt het uitzoeken om welke applicaties dit gaat.
20-08-2016, 13:48 door yobi
Inloggen in een shell als root vervolgens "netstat -nautp". Alle processen die een poorten open zetten, worden nu getoond.
20-08-2016, 18:18 door Erik van Straten
Door Briolet: Tja, zo werkt internet. Je kunt toch niet verwachten dat alle websites via poort 80/443 verbonden blijven als je meerdere vensters gelijktijdig geopend hebt.
Ahum, dat verwacht ik wel en zo werkt internet dus niet.

Wat uniek moet zijn is een "socket" bestaande uit source IP adres, source port, destination IP adres en destination port. Bij http/https is, tenzij anders aangegeven in de URL, de destination port altijd 80 of 443. De enige overblijvende variabele is dus de source port.
20-08-2016, 18:33 door Erik van Straten
Door borka: Ik stel even hier mijn vraag. Via NMAP kwam ik er achter dat er steeds vreemde poorten werden geopend in de poortreeks die normaal gesproken nooit gebruikt worden. Via IANA port registratie gekeken wie deze poorten gebruik maar dat zegt mij nog niets, ik heb de poorten middels een firewall rule geblokkeerd voor in en outbound maar merkte op dat er dan weer andere poorten werden geopend soort kat en muis.

De volgende poorten werden steeds geopend:

51674
46626
34536
47310
42690
54940
58852

Al deze poorten heb ik nu geblokkeerd want ik weet niet wat deze poorten doen en of ze misbruikt worden om data te stelen. Mijn Linux is geheel up to date, gebruik host intrusion en IDS alsmede psad, Snort en Suricata zijn up to date, de rules zijn up to date dus waarom worden deze poorten gebruikt en door welke instanties eventueel.
Mogelijk gaat het bij jou om een bekende issue in nmap versies 6.40 - 6.47, zie o.a. [1].

[1] https://stackoverflow.com/questions/28506699/nmap-shows-random-open-ports-on-localhost-for-a-fraction-of-a-second
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.