12 votos

nmap en mi servidor web muestra los puertos TCP 554 y 7070 abiertos

Tengo un servidor web que aloja varios sitios web para mí. Los dos servicios que son accesibles desde el exterior son SSH y Apache2. Estos se ejecutan en un puerto no estándar y estándar, respectivamente. Todos los demás puertos están cerrados explícitamente a través de arno-iptables-firewall. El host está ejecutando Debian Testing.

Me di cuenta de que un escaneo del host usando nmap produjo diferentes resultados desde diferentes PCs. Desde mi portátil en mi red doméstica (detrás de un BT Homehub), obtengo lo siguiente:

Not shown: 996 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
554/tcp  open  rtsp
7070/tcp open  realserver
9000/tcp open  cslistener

mientras que al escanear desde un servidor con sede en Estados Unidos con nmap 5.00 y un equipo Linux en Noruega con nmap 5.21 obtengo lo siguiente:

Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
9000/tcp open  cslistener

por lo que esperanza es mi red interna o el ISP el que está jugando, pero no puedo estar seguro.

Dirigir una netstat -l | grep 7070 no produce nada. Lo mismo ocurre con el puerto 554.

¿Alguien puede explicar las peculiaridades que estoy viendo?

0 votos

Si ambos resultados son de las exploraciones realizadas al mismo tiempo.

3 votos

¿Por casualidad utilizas un Apple airport extreme o Apple time capsule en tu red doméstica?

0 votos

Tengo un NAS de Buffalo que ejecuta un servicio compatible con DLNA, creo.

11voto

nickgrim Puntos 2702

Yo me inclinaría a culpar a tu ISP o a algo entre tú y tu servidor por esto. Si quieres asegurarte de que esos puertos están realmente cerrados, puedes intentar escuchar en esos puertos y si lo consigues, entonces es seguro asumir que no hay nada escuchando. Esto es lo que estoy haciendo en mi máquina (que tiene Apache en el puerto 80, y nada en el puerto 81):

$ sudo netcat -p 80 -l --wait 1    # Apache on port 80
Error: Couldn't setup listening socket (err=-3)
$ sudo netcat -p 81 -l --wait 1    # Nothing on port 81
(Ctrl-C)

EDIT: Y para estar seguros de que esto realmente ha funcionado, telnet a ella desde otra caja y comprueba que netcat está recibiendo lo que usted envía (probablemente querrá aumentar el --wait tiempo de espera).

0 votos

Esto ha demostrado que el problema no está en el servidor - ¡un escaneo de otro host mostraba los mismos puertos abiertos cuando no lo estaban!

0 votos

Aunque esto no respondía a la pregunta directa, te he dado un upvote ya que era una gran forma de afirmar si los puertos se utilizaban o no. Gracias por tu aportación.

7voto

lunistorvalds Puntos 201

Probablemente la culpa la tenga tu router. Me preguntaba si esto era un problema por estar en un host OpenVZ, y encontré este artículo: ¿Los puertos 21, 554 y 7070 están abiertos o cerrados? La respuesta es sí.

Esto tiene sentido para mí, ya que actualmente estoy en un router FiOS Actiontec cutre. Cualquier combinación de pruebas de nmap y netcat en el contenedor y el nodo anfitrión confirma que esos puertos no están realmente abiertos.

1 votos

+1 para router FiOS Actiontec de mala calidad . Conozco las claves privadas de su caja (también las de otros, gracias a Pequeña caja negra ).

0 votos

Me cambié antes de perder FiOS, pero ahora uso un router más seguro con mi "router" inalámbrico en modo AP. Cualquiera que lea este artículo debería revisar ese proyecto enlazado. Buen blog también :)

0 votos

Sólo un aviso: este sigue siendo el caso de Apple Airport Extreme en este momento. Lo descubrí por las malas mientras probaba la configuración del cortafuegos para una instancia de Amazon ec2 desde mi red doméstica.

6voto

Josh Puntos 388

Varios routers diferentes (Verizon FiOS, BT Home Hub, Apple Airport Extreme, ...) muestran puertos 554 y 7070 como abierto para todas las IPs por alguna razón.

Hackerific " ¡Puertos TCP falsos positivos!

2 votos

+1 por el excelente enlace de Hackerific.

1voto

jwaddell Puntos 106

Lo más probable es que sea algo en la línea, esos 2 puertos (554/7070) son para Realplayers RealServers.

http://service.real.com/firewall/adminfw.html

0 votos

Estoy de acuerdo contigo. Gracias. ¡He hecho lo que Nickgrim sugirió y se demostró que todavía podía abrir el puerto (suponiendo que ningún rootkit reemplazó el netcat, netstat y otros binarios relacionados para engañarme!)

0 votos

Por cierto, ¿cómo puedo demostrar que esto es así?

0 votos

@atc: telnet a su recién escuchado netcat y comprueba que recibe lo que le escribes.

0voto

Estoy de acuerdo con nickgrim. También puedes probar con escaneos locales de nmap desde la propia caja

Compara la salida de estos:

nmap 127.0.0.1

nmap 1.2.3.4

Donde 1.2.3.4 es su ip pública

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: