Nmap indica che "telepathstart" e "telepathattack" sono in ascolto sulle porte 5010 e 5011 del mio box Linux. Cosa sono questi?

9

Ho una casella Linux sulla mia rete che, secondo Nmap, contiene due servizi chiamati telepathstart e telepathattack in ascolto sulle porte 5010 e 5011.

Dalla stessa casella, sto ricevendo richieste in entrata al mio computer sulla porta 113, che il mio firewall sta bloccando.

Questa pagina elenca entrambi questi servizi in ascolto su queste porte come Solo e OOTLT, è questo preciso ? Dovrei essere preoccupato?

Il nome di telepathattack è ciò che mi ha dato motivo di preoccupazione, qualcuno ha sentito parlare di questo? Che cosa fa?

Grazie

    
posta JMK 03.04.2012 - 13:59
fonte

3 risposte

14

I riferimenti su quella pagina stanno spiegando che Solo è noto per usare la porta TCP 5010, che è ufficialmente riservata per il protocollo TelepathStart, e idem per TCP 5011. Se guardi attraverso quell'elenco vedrai che molti usi di malware porte che sono riservate per altri servizi.

TelepathStart e TelepathAttack sono elencati correttamente con IANA come utilizzando tali porte, quindi mi aspetterei che fossero benigni. Analizziamo cosa funziona su quelle porte. IANA :

  • Porte: 5010/5011
  • Nomi servizio: telelpathstart / telelpathattack
  • Descrizioni: TelepathStart / TelepathAttack
  • Cessionario: Helmuth Breitenfellner

Suppongo che l'indirizzo email del contatto fosse hbreitenf @ vnet .ibm.com al momento.

Una ricerca su Google per [helmuth breitenfellner telepath] ci porta a scoprire che Helmuth Breitenfellner è stato realizzato il codice della piattaforma di messaggistica (TelePath) di IBM FlowMark (un sistema di gestione del flusso di lavoro ) su AIX RS6000.

Sandy Kemsley scrive che FlowMark era successivamente rimarchiato come flusso di lavoro MQSeries e ora è WebSphere MQ Flusso di lavoro.

La tua casella è in esecuzione WebSphere MQ Workflow?

Se no, allora ecco tre pensieri:

  • Oggi è un buon giorno per eseguire alcune scansioni di malware.
  • Potresti voler attirare un po 'le opzioni di nmap e vedere quanta sicurezza ha il rilevamento dei servizi riguardo all'ascolto su quelle porte. Forse usa --version-intensity 9 , ad esempio.
  • Puoi anche provare il vecchio trucco sysadmin di bloccarlo e vedere quali sono le interruzioni.
risposta data 03.04.2012 - 15:13
fonte
3

NMAP potrebbe non essere corretto nella supposizione di quale servizio è in esecuzione. L'ho visto scambiato più volte.

Vorrei controllare le seguenti cose:

Eseguire il seguente comando per verificare il processo delle porte di ascolto.

netstat -tulpn

Ecco un esempio di output:

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:7337          0.0.0.0:*               LISTEN      863/postgres    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1670/sshd       
tcp6       0      0 ::1:7337                :::*                    LISTEN      863/postgres    
tcp6       0      0 :::22                   :::*                    LISTEN      1670/sshd       
udp        0      0 0.0.0.0:68              0.0.0.0:*                           551/dhclient3 

Qui puoi vedere che la porta 863 è postgres e 1670 è sshd.

Vorrei anche eseguire questi comandi solo per essere sicuro:

lsof -i #Also lists listening programs 
nmap -sV <host ip> #nmap version detection
grep 5010 /etc/services #linux's port to service name mapping 

Ecco un esempio di output quando ho grepped per la porta 22

ssh     22/tcp              # SSH Remote Login Protocol
ssh     22/udp
imap3       220/tcp             # Interactive Mail Access
imap3       220/udp             # Protocol v3
xmpp-client 5222/tcp    jabber-client   # Jabber Client Connection
xmpp-client 5222/udp    jabber-client
bpjava-msvc 13722/tcp           # BP Java MSVC Protocol
bpjava-msvc 13722/udp
wnn6        22273/tcp           # wnn6
wnn6        22273/udp
xtell       4224/tcp            # xtell server
    
risposta data 11.07.2012 - 09:18
fonte
3

È impossibile per noi dire quale programma è senza guardare il tuo computer. Per farlo da soli, esegui questo:

sudo netstat -ntpl | grep -e ":5010" -e ":5011" 

Il programma che stai cercando verrà elencato come campo di estrema destra nell'output.

Nota sulla sicurezza: non digitare mai ciecamente un comando che hai letto su Internet. Come sempre assicurati di averlo capito prima

    
risposta data 13.07.2012 - 08:01
fonte

Leggi altre domande sui tag