OVH Community, your new community space.

puerto 21 abierto misteriosamente


rootnovato
17/03/2008, 11:28
Cita Publicado inicialmente por josu
Mejor envíamelo ahora que se supone que tienes el servidor limpio y con el mínimo de servicios activos. La única comprobación que voy a hacer es si a mí también me figura ese puerto como abierto.

Josu.
Tarde porque ya me puse a instalarlo todo ayer después de escribir el mensaje...

De todos modos, ya estoy 100% seguro de que no hay ningún puerto 21 abierto a pesar de lo que dice el scanner que he usado. He hecho pruebas de conexión al 21 desde cuentas SSH de distintos sitios y en ninguno puedo conectar.

Así que doy por concluido el misterio...

De nuevo gracias a todos por la ayuda, y en especial a ti Josu

josu
16/03/2008, 19:10
Mejor envíamelo ahora que se supone que tienes el servidor limpio y con el mínimo de servicios activos. La única comprobación que voy a hacer es si a mí también me figura ese puerto como abierto.

Josu.

rootnovato
16/03/2008, 18:43
bueno... después de todas las verificaciones y todas las pruebas realizadas... no sé de donde sale ese puerto 21 pero creo que voy a pasar del tema, voy a instalar ya el apache, php, etc... y si me vuelven a atacar el servidor ya veremos que hago...

josu: si te parece bien te envío el correo una vez que tenga todo instalado y configurado, y así ya haces el scan con todo en marcha y me dices si te parece que está ok o no.

de verdad, muchas gracias a todos los que me habéis aportado información.

es una verdadera lástima que ovh no ofrezca ningún soporte a este nivel (aunque fuera mínimo para temas de ataques).

saludos a todos!

josu
16/03/2008, 13:03
Cita Publicado inicialmente por rootnovato
Te enviaría la ip por privado como me sugeriste, pero no encuentro por ningún sitio en el foro la opción de enviar mensajes privados, y en tu perfil no me deja enviarte correos (sale un mensaje que dice que tú no permites hacerlo)
Prueba ahora.

davidlig
16/03/2008, 12:49
Pon esto:
Código:
lsof -i tcp:21
Ahí te sale si hay algún proceso usando en ese puerto.

Saludos

rootnovato
16/03/2008, 01:48
Pues estoy cagado de que al montar el servidor otra vez entero y volverme a traer mis webs me lo vuelvan a petar...

Josu, todos los scanners de puertos online (de esa lista y otros) me dicen que sólo puedo escanear mi propia ip, la que me detectan al entrar vamos... así que no he podido probarlos para el servidor.

El scanner que hago yo desde mi equipo es con una herramienta gratuita que se llama SuperScanner4, de la empresa FoundStone (que parece seria). Y también me da como abierto el 21 con otra que probé más antigua...

Te enviaría la ip por privado como me sugeriste, pero no encuentro por ningún sitio en el foro la opción de enviar mensajes privados, y en tu perfil no me deja enviarte correos (sale un mensaje que dice que tú no permites hacerlo)

josu
16/03/2008, 01:33
El 21 que te aparece en el lsof es el File Descriptor, no es el puerto. Según tu servidor no tienes ese puerto abierto, a no ser que tengas un troyano que dudo porque según has dicho el servidor está recién reinstalado.

¿Has probado a hacer el scan de puertos desde otra conexión como te dije? Utiliza si no alguna herramienta de la web que te dí. Puede ser algún equipo intermedio que te esté causando una mala pasada.

Josu.

Raul
15/03/2008, 17:42
Hola

"named" es utilizado por el servidor DNS BIND (si no me equivoco) para la resolución de nombres (dominios). Este utiliza el puerto 53 por defecto y si tienes un servidor web (no creo) usará el puerto 80.

Saludos.

rootnovato
15/03/2008, 16:53
el resultado de netstat -ntlp no parece decir nada del puerto 21 (o al menos yo no le veo relación):

Código:
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             Stat                                 e       PID/Program name
tcp        0      0 0.0.0.0:10000               0.0.0.0:*                   LIST                                 EN      2874/sshd
tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LIST                                 EN      2961/named
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LIST                                 EN      2888/cupsd
tcp        0      0 127.0.0.1:953               0.0.0.0:*                   LIST                                 EN      2961/named
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LIST                                 EN      2910/sendmail: acce
sin embargo, al ejecutar lsof -i | grep LISTEN | grep LISTEN la cosa cambia... y salen varias conexiones a la escucha de las cuales no tengo ni idea de qué hacen ahí y no sé si el FD se corresponde al puerto...

Código:
COMMAND     PID  USER   FD   TYPE DEVICE SIZE NODE NAME

sshd       2874  root    3u  IPv4   4097       TCP *:10000 (LISTEN)
cupsd      2888  root    3u  IPv4   4137       TCP localhost.localdomain:ipp (LISTEN)
sendmail   2910  root    4u  IPv4   4236       TCP localhost.localdomain:smtp (LISTEN)
named      2961 named   21u  IPv4   4379       TCP localhost.localdomain:domain (LISTEN)
named      2961 named   23u  IPv4   4386       TCP localhost.localdomain:rndc (LISTEN)
no tengo ni idea qué es el comando "named" y ese usuario del mismo nombre que aparece en el listado. pero imagino que es algo predeterminado del sistema, porque como decía anteriormente ahora tengo el servidor recién instalado con CentOS base (por no instalarle no le he puesto todavía ni el apache,php,etc...).

josu
15/03/2008, 14:00
Por si acaso realiza un scan desde otra conexión, si me mandas un privado con la IP si quieres lo realizo yo, si no utiliza alguna de las páginas online que existen:

http://es.wikipedia.org/wiki/Esc%C3%A1ner_de_puertos

Desde dentro del servidor ejecuta:

# netstat -ntlp

y mira a ver si aparece que programa tiene abierto el puerto 21.

También puedes usar lsof mira la guía: http://guias.ovh.es/ManualHerramientasBase

Josu.

rootnovato
15/03/2008, 12:47
Cita Publicado inicialmente por josu
* ¿Y no tienes ningún servicio FTP instalado? ¿Cuando haces un FTP al servidor que te aparece?

* ¿Has comprobado que te resuelve bien la IP?

* ¿Ves el puerto abierto desde diferentes lineas?

Josu.
no, como ya he dicho no tengo instalado ningún ftpd.

la ip se resuelve perfectamente, y de hecho hago pruebas con la ip directamente y pasa lo mismo.

no he tenido ocasión de probar el puerto desde otra línea

rootnovato
15/03/2008, 12:45
Cita Publicado inicialmente por Raul
Hola,

Estas seguro de que cuando utilizas las reglas de Iptables, lo dejas guardado?. Recuerda que al reiniciar el servidor, se vuelven a su estado de inicio.
En otras palabras, para salvarlas puedes utilizar "iptables-save" luego de introducir todas las reglas.

Revisa los log's "/var/messages" para ver los movimientos. De ahi puede surgir ip's atacantes y bloquearlas.

Saludos y suerte.
sí, las reglas de iptables están correctamente guardadas.

de hecho tras los ataques sólo me queda reiniciar el servidor (porque se satura al 100%), y si compruebo las reglas con un iptables -L salen todas en su sitio.

el atacante creo que lo tengo identificado, de hecho es muy curioso, la ip corresponde a una máquina del anterior proveedor en el que estaba alojado. un proveedor de UK que me puso muchas pegas para devolverme el dinero (a pesar de que lo único que yo pedía era acogerme a su propia política de "anytime moneyback") cuando empezó a tener caídas constantes.

pero intenté bloquear su ip y tampoco tuve éxito... probé varias reglas, por ejemplo estas:

#bloqueo de ataques
-A INPUT -p tcp -m tcp -s x.x.x.x -j DROP
-A INPUT -p udp -m udp -s x.x.x.x -j DROP

o esta que se supone que debería abarcar cualquier acceso desde la ip del tipo que sea no?:

-A INPUT -s x.x.x.x -j DROP

pero nada... no entiendo por donde co** se mete...

el caso es que después de revisar los logs siempre que dicha ip me conecta al servidor, al minuto o dos minutos, el servidor mysql se va al garete....

esta es la información del access.log:

[10/Mar/2008:02:48:08 +0100] "GET /blog HTTP/1.0" 301 235 "-" "Incutio HttpClient v0.9"

he investigado el useragent "incutio httpclient" y corresponde a una clase HTTP para interactuar entre servidores (con poner el nombre el goolge te sale el primero), y también he leído que algunos bots malignos usan este useragent.

el caso es... que por el tipo de acceso parece más bien que entra por la web no?, pero buscando posibles agujeros, no logro entender por qué mi puerto 21 está respondiendo.

si por ejemplo hago una conexión con el filezilla me da el mensaje:

"Conexión establecida, esperando el mensaje de bienvenida..."

y después se corta la conexión por superar el tiempo de espera (como no hay ftpd que le conteste...).

me parece que si no encuentro solución de aquí a que termine el mes no renovaré el dedicado muy a mi pesar

josu
15/03/2008, 12:22
Cita Publicado inicialmente por rootnovato

es como si hubiese algo con prioridad sobre iptables que hiciera que mi puerto 21 siga abierto (nota: no tengo instalado ningún ftpd).
* ¿Y no tienes ningún servicio FTP instalado? ¿Cuando haces un FTP al servidor que te aparece?

* ¿Has comprobado que te resuelve bien la IP?

* ¿Ves el puerto abierto desde diferentes lineas?

Josu.

Raul
15/03/2008, 05:32
Hola,

Estas seguro de que cuando utilizas las reglas de Iptables, lo dejas guardado?. Recuerda que al reiniciar el servidor, se vuelven a su estado de inicio.
En otras palabras, para salvarlas puedes utilizar "iptables-save" luego de introducir todas las reglas.

Revisa los log's "/var/messages" para ver los movimientos. De ahi puede surgir ip's atacantes y bloquearlas.

Saludos y suerte.

rootnovato
15/03/2008, 00:21
hola!

tengo un dedicado kemsirve y debido a unos ataques que he estado sufriendo y no he conseguido repeler satisfactoriamente me he visto obligado a mover mis webs a otro hosting que tengo para otras cosas...

para así poder centrarme en "securizar" el servidor antes de volver a meter todo en su sitio.

el caso es que como digo en el asunto, tengo el puerto 21 abierto misteriosamente, por mucho que lo tenga bloqueado en iptables (de hecho la regla por defecto que tengo es cerrarlo todo salvo lo que yo digo que abra) el dichoso puerto sigue abierto.

ante la duda de que hubieran usado un exploit en el servidor, lo he reinstalado, esta vez usando centOS (anteriormente usaba debian) para ver si la cosa va mejor.

y cual es mi sorpresa, que el puñetero puerto 21 sigue en sus 13 de estar abierto!!! :confused:

ahora mismo tengo el servidor recién instalado, lo único que he hecho ha sido configurar el iptables con las reglas, actualizar el centOS (yum update) y poco más (ajustes al bash, y cosas sin importancia).

es como si hubiese algo con prioridad sobre iptables que hiciera que mi puerto 21 siga abierto (nota: no tengo instalado ningún ftpd).

¿¿alguien me puede echar un cable??, porque yo ya no sé que mirar :confused: