From: gyilmaz (gyilmaz@marketweb.net.tr)
Date: Fri 09 Aug 2002 - 10:05:31 EEST
Merhabalar,
Acilen sisteminizi yenilemeniz gerekiyor hocam bence. 54320. portta bir
back orifice calisiyor.(umarim siz yuklememissinizdir boyle bir seyi)
Uzaktaki kullaniciya sisteminizi teslim etmekle pek bir farki yok bunun.
filtered gorunuyor ne yapildi bilmiyorum.Saldirgan sistemi promicous mode
almis olabilir.Ya yeniden kurun sistemi (ki en guvenlisi Burak hocamin
dedigi gibi :)) ya da http://www.nwinternet.com/~pchelp/bo/bo.html
adresine bilgi icin bir bakin.
Bu port sonda oldugu icin ilk once gormedim.Portlarin gorevlerini
yazarken en sonda rastlayinca yukaridaki yaziyi basa aldim.Isterseniz
diger portlarinizla ilgili bilgileri asagida okuyabilirsiniz.
Kolay gelsin.
-----------------------------------------------------------
Acik olan herhangi bir portu iptables ile kapatmak zorunda degilsiniz.
O portu acan program isinize yaramiyorsa kapatabilirsiniz.Bunun icin
/etc/services ise yaramaz. O dosya sadece bilinen port numaralarini
listeler ve ornegin netstat ciktisinda size portun numarasi yerine adinin
cikmasini saglar.
Port State Service
1/tcp open tcpmux
tcpmux servisi acilmis.Bunu kapatmakla bir sey kaybetmezsiniz.tcpmux
servisleri standart olmayan kendisine bilinen bir port atanmamis
servislerdir.Bir program bu porta baglanir ve baglanacagi servisi adini
bildirir.
11/tcp open systat
systat "ps" ciktisini gosterir. Bunuda istemezsiniz.
15/tcp filtered netstat
netstat varolan port durumlarini gosterir.Bunuda inetd den kapatsaniz iyi
olur.
> 21/tcp filtered ftp
> 22/tcp open ssh
> 25/tcp open smtp
> 80/tcp open http
111/tcp open sunrpc
rpc ile ilgili herhangi bir yazilim kullanmiyorsaniz (nfs gibi) sunrpc yi
kapatsaniz iyi olur.Pek guvenli degil
540/tcp open uucp
bir modem ya da seri kablo uzerinden veri transferi yapmiyorsaniz bu
portunda geregi yok.Zaten hic kullanilmiyor.
635/tcp open unknown
Bu port nedir belli degil dediginiz gibi.Ama mountd ile ilgili bir sey
olabilir. rpc var fazlaca.
1080/tcp open socks
socks bir tunelleme servisidir.Eger firewall un arkasinda internete cikan
bu servisi kullanan makinalariniz yoksa kapatin.
> 6667/tcp filtered irc
> 12345/tcp filtered NetBus
> 12346/tcp filtered NetBus
> 31337/tcp filtered Elite
Netbus portunu kapatmaniz iyi olacakdir.Bu port acilmadigi surece
hernangi bir netbus benzeri program bu porta bakamaz.
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
54320/tcp filtered bo2k
Yukaridaki sometimes-rpc portlari yine rpc ile ilgili ve herbirinin
kendine gore islevleri var, users,stat,quota seklinde. Bunlarda
yukaridaki sunrpc ye bagli sonucda.Kapatmaniz iyi olur bence.
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------