Sicherheitsproblem, offene Ports: 7547, 23, 80, 53, 67, 137, 138, 500, 520, 1701

Deutsch (German) Netzwerk
1

Hallo, ich glaube dass meine opensuse 11.3 „am leiden“ ist…

Angaben ueber mein computer:
Prozessor (CPU): AMD Athlon™ 64 X2 Dual Core Processor 4200+Geschwindigkeit:2 200,00 Mhz Kerne:2

Kernel:Linux 2.6.34.7-0.7-desktop x86_64, Distribution:openSUSE 11.3 (x86_64)KDE:4.4.4 (KDE 4.4.4) “release 3”

Problemschilderung:

Benutze einen nagelneuen Centro Piccolo Router (Cayman DSL) von Swisscom der aber etwas schaebig ist, da man bei diesem Router-Modell Port 80 http und Port 23 Telnet nicht schliessen kann, wobei ich Port 80, 23 wie erlaeutert und 443 in Inbound und Outbound fuer „any“ in diesem Router offen halte.

Benutze Tor Proxy und Polipo und habe in Vidalia ein Haekchen auf use only Ports 443 & 80, wobei Zenmap auch Ports 8118, 9050, 9051 auch offen zeigt.

Nun habe ich ploetzlich auf Zenmap folgende ports bei meinem Router offen:

7547 tcp tcp wrapped open
23 tcp telnet open
80 tcp http open

53 udp domain open
67 udp dhcps open-filtered
137 udp netbios -ns open-filtered
138 udp netbios-dgm open-filtered
500 udp isakmp open-filtered
520 udp route open-filtered
1701 udp L2TP open-filtered

seitdem dies geschehen ist, ist port 8123 tcp zudem zusaetzlich ploetzlich offen

Bisher war bei meiner Open-SuSE Firewall immer „keine zone zugewiesen“ fuer dsl und eth.
Interne Zone Externe Zone DMZ = kein Netzwerkverkehr erlaubt. Vor Interne Zone Geschuetzt.
Alle Ports von der Open-SuSE firewall geschlossen.

Sshd ist in Systemdienste und Runlevel geschlossen fuer alle Runlevels.

In Lokale Sicherheit - > Sicherheits Ueberblick ist ueberall ein gruenes Haekchen, ausser auf:

DHCP-Daemon in einer chroot-Umgebung ausführen :Unbekannt
DHCP-Daemon als dhcp-Benutzer ausführen :
Unbekannt

klamAV kann verdaechtigerweise nichts finden
chkrootkit findet nichts

rkhunter findet folgendes:

Checking system commands…

Performing ‘strings’ command checks
Checking ‘strings’ command OK ]

Performing ‘shared libraries’ checks
Checking for preloading variables None found ]
Checking for preloaded libraries None found ]
Checking LD_LIBRARY_PATH variable Not found ]

Performing file properties checks
Checking for prerequisites Warning ]
/usr/bin/awk OK ]
/usr/bin/basename OK ]
/usr/bin/chattr OK ]
/usr/bin/chroot OK ]
/usr/bin/csh OK ]
/usr/bin/curl OK ]
/usr/bin/cut OK ]
/usr/bin/diff OK ]
/usr/bin/dirname OK ]
/usr/bin/du OK ]
/usr/bin/ed OK ]
/usr/bin/egrep OK ]
/usr/bin/env OK ]
/usr/bin/fgrep OK ]
/usr/bin/file OK ]
/usr/bin/find OK ]
/usr/bin/grep OK ]
/usr/bin/groups OK ]
/usr/bin/head OK ]
/usr/bin/id OK ]
/usr/bin/killall OK ]
/usr/bin/last OK ]
/usr/bin/lastlog OK ]
/usr/bin/ldd Warning ]
/usr/bin/less OK ]
/usr/bin/lsattr OK ]
/usr/bin/lsof OK ]
/usr/bin/lynx OK ]
/usr/bin/mail OK ]
/usr/bin/md5sum OK ]
/usr/bin/newgrp OK ]
/usr/bin/passwd OK ]
/usr/bin/perl OK ]
/usr/bin/pgrep OK ]
/usr/bin/pstree OK ]
/usr/bin/readlink OK ]
/usr/bin/rkhunter OK ]
/usr/bin/runcon OK ]
/usr/bin/sed OK ]
/usr/bin/sh OK ]
/usr/bin/sha1sum OK ]
/usr/bin/sha224sum OK ]
/usr/bin/sha256sum OK ]
/usr/bin/sha384sum OK ]
/usr/bin/sha512sum OK ]
/usr/bin/size OK ]
/usr/bin/sort OK ]
/usr/bin/stat OK ]
/usr/bin/strace OK ]
/usr/bin/strings OK ]
/usr/bin/sudo OK ]
/usr/bin/tail OK ]
/usr/bin/test OK ]
/usr/bin/top OK ]
/usr/bin/touch OK ]
/usr/bin/tr OK ]
/usr/bin/uniq OK ]
/usr/bin/users OK ]
/usr/bin/vmstat OK ]
/usr/bin/w OK ]
/usr/bin/watch OK ]
/usr/bin/wc OK ]
/usr/bin/wget OK ]
/usr/bin/whatis OK ]
/usr/bin/whereis OK ]
/usr/bin/which OK ]
/usr/bin/who OK ]
/usr/bin/whoami OK ]
/usr/bin/gawk OK ]
/usr/bin/tcsh OK ]
/usr/bin/mailx OK ]
/sbin/checkproc OK ]
/sbin/chkconfig Warning ]
/sbin/depmod OK ]
/sbin/fsck OK ]
/sbin/ifconfig OK ]
/sbin/ifdown OK ]
/sbin/ifstatus OK ]
/sbin/ifup Warning ]
/sbin/init OK ]
/sbin/insmod OK ]
/sbin/ip OK ]
/sbin/lsmod OK ]
/sbin/modinfo OK ]
/sbin/modprobe OK ]
/sbin/nologin OK ]
/sbin/rmmod OK ]
/sbin/route OK ]
/sbin/rsyslogd OK ]
/sbin/runlevel OK ]
/sbin/sulogin OK ]
/sbin/sysctl OK ]
/usr/sbin/cron OK ]
/usr/sbin/groupadd OK ]
/usr/sbin/groupdel OK ]
/usr/sbin/groupmod OK ]
/usr/sbin/grpck OK ]
/usr/sbin/pwck OK ]
/usr/sbin/tcpd OK ]
/usr/sbin/useradd OK ]
/usr/sbin/userdel OK ]
/usr/sbin/usermod OK ]
/usr/sbin/vipw OK ]
/usr/sbin/xinetd OK ]
/bin/awk OK ]
/bin/basename OK ]
/bin/bash OK ]
/bin/cat OK ]
/bin/chmod OK ]
/bin/chown OK ]
/bin/cp OK ]
/bin/csh OK ]
/bin/date OK ]
/bin/df OK ]
/bin/dmesg OK ]

was folgt in dieser Liste scheint OK

[Press <ENTER> to continue]

Checking for rootkits…

Performing check of known rootkit files and directories

Leider musste ich mein Text kuerzen damit dieser gepostet werden konnte, keine trojaner usw wurden entdeckt

Performing additional rootkit checks
Suckit Rookit additional checks OK ]
Checking for possible rootkit files and directories None found ]

Checking for possible rootkit strings                     None found ]

Performing malware checks
Checking running processes for suspicious files None found ]
Checking for login backdoors None found ]
Checking for suspicious directories None found ]
Checking for sniffer log files None found ]
Performing trojan specific checks
Checking for enabled xinetd services None found ]

Performing Linux specific checks
Checking loaded kernel modules OK ]
Checking kernel module names OK ]

[Press <ENTER> to continue]

Checking the network…

Performing checks on the network ports
Checking for backdoor ports None found ]

Performing checks on the network interfaces
Checking for promiscuous interfaces None found ]

Checking the local host…

Performing system boot checks
Checking for local host name Found ]
Checking for system startup files Found ]
Checking system startup files for malware None found ]

Performing group and account checks
Checking for passwd file Found ]
Checking for root equivalent (UID 0) accounts None found ]
Checking for passwordless accounts None found ]
Checking for passwd file changes None found ]
Checking for group file changes None found ]
Checking root account shell history files OK ]

Performing system configuration file checks
Checking for SSH configuration file Found ]
Checking if SSH root access is allowed Warning ]
Checking if SSH protocol v1 is allowed Warning ]
Checking for running syslog daemon Found ]
Checking for syslog configuration file Found ]
Checking if syslog remote logging is allowed Not allowed ]

Performing filesystem checks
Checking /dev for suspicious file types Warning ]
Checking for hidden files and directories Warning ]

[Press <ENTER> to continue]

Checking application versions…

Checking version of GnuPG                                 OK ]
Checking version of OpenSSL                               Warning ]
Checking version of Procmail MTA                          OK ]
Checking version of OpenSSH                               OK ]

System checks summary

File properties checks…
Required commands check failed
Files checked: 150
Suspect files: 3

Rootkit checks…
Rootkits checked : 245
Possible rootkits: 0

Applications checks…
Applications checked: 4
Suspect applications: 1

The system checks took: 1392 minutes and 59 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Werde versuchen zusaetzlich zu TOR, das Masquerading einzuschalten und NAT auf dem Router wenn Tor gerade mal ausgeschaltet werden muss um Flash-contents zu visualisieren fuer ports 80 und 443.

Weiss jemand was man da so verbessern kann und was mit meinem Sytem los ist?

Kann Apparmor oder ein anderes Programm weiterhelfen und was muesste man da so alles machen?

Vielen Dank fuer Eure Weiterhilfe! :slight_smile:

2

Von wo guckst Du mit Zenmap? Und was für Maschinen laufen noch hinter dem Router? Hast Du irgendwelche speziellen Sicherheitsanforderungen oder reden wir von einem stinknormalen Heimnetz hinter einem DSL-Router?

Falls Du Sorgen hast, dass Deine Rechner von außen zugänglich sind, würde ich einen Test von außen durchführen. Im Netz gibt es haufenweise online-Tools dafür.

Gruß
Uwe

3

Hallo Buckesfeld

Jaa, eigentlich ist mein thread etwas falsch platziert da ich mit Absicht gar kein Netzwerk betreibe.

Wie gesagt, geht da nur ein Rechner aufs mal ins Internet, da ich nicht ueber genuegend Fachkentnisse verfuege was xinetd anbetrifft usw bleibt dieser Service bei mir deaktiviert.

Soweit ich weiss treten bei mir schon diese Port-Probleme mit einer normalen ifup Verbindung ins Internet ohne Netzwerk auf.

Alle diese Ports auf meinem Router: 7547, 53, 67, 137, 138, 500, 520, 1701; - …die hab ich selbst nicht aufgemacht, sie sind auch nur offen angezeigt wenn ich mit Zenmap scanne; die Ports sind bzw in der Router Konfiguration zu.

Habe bisher immer von meinem Homerechner aus den Router gescannt und bin zu diesen letzteren Resultaten gekommen.

Vielen Dank fuer den Tipp! Habe jetzt auch ein heise online - IT-News, c’t, iX, Technology Review, Telepolis „UNIX und Router Scan“ durchzogen; folgende Ports werden als offen gemeldet:

22ssh, 53dns, 80http, 443 https

…Komischerweise ist bei diesem „heise.de“ Scan Port 22ssh offen anstatt des von Zenmap indizierten offenen Ports 23telnet. Port 53dns scheint auch merkwuerdigerweise offen.

Dann heissts auch dass mein System auf ICMP Pakete antwortet wobei dies zu veraendern nicht moeglich scheint, habe soweit keinen Knopf dafuer gefunden, merci Swisscom

Wollte auch noch sagen – bin womoeglich ins Fettnaepfchen getreten, wusste nicht an welchem Ort ich diesen Thread posten sollte, uebrigens hatte ich allergroesste Probleme den vorherigen „post“
aus Open-Office-Writer zu kopieren und dann ins Forum hinzu zu fuegen, da die Fenster momentan haengengeblieben sind oder blockiert haben.

Hab so das gefuehl dass sich da bei mir ein raffiniertes Ereigniss der „Trojanitischen Sorte“ „into the dark“ zusammengebaut hat.

Koennte man denn anhand der rkhunter Resultate etwas nachweisen?

Wie kann ich denn sonst noch den SSH-Zugang verhindern ausser den sshd daemon in Systemdienste und Runlevel fuer alle runlevel zu deaktivieren?

4
  • Dagalbert,

ich glaube, Du solltest Dich erstmal entspannen :slight_smile:

Wenn Du innerhalb Deines Netzes scannst, siehst Du immer massenweise offene Ports etc. Das heißt aber doch nix, Du willst Dein Netz von außen schützen. Also der Heise-Ansatz, nämlich von außen scannen. Das zeigt Dir, dass Dein Netz ziemlich dicht ist.

Wenn Du keinen der Dienste, deren Ports offen sind, brauchst, also keinen Webserver, keinen DNS-Server betreibst und auch nicht per SSH auf Rechner im Netz oder den Router selbst zugreifen möchtest, solltest Du diese Ports auf dem Router abschalten (soweit möglich).

Das war es dann aber auch schon.

Jede weitere Absicherung auf Deinem PC halte ich für überflüssig.

Falls Du das dennoch machen möchtest (z.B. weil Dein PC ein Laptop ist und Du ihn auch regelmäßig an irgendwelchen WLAN-Hotspots in der Wildnis betreibst), solltest Du ganz einfach per Yast die SuSEFirewall2 aktivieren und so konfigurieren, dass keine Zugänge von außen möglich sind. Auch dafür reicht Yast.

Du sagst selbst, dass Du Dich mit dem Thema nicht auskennst. Insofern kannst Du gar keine sinnvolle Firewallkonfiuration betreiben, weil Du nur auf Meldungen des Scanners reagierst, ohne diese Meldungen selbst bewerten zu können. Zum Thema Firewall hier schon oft zitiert, aber immer wieder gut zu lesen, Lutz Donnerhackes Firewall-FAQ:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Gruß
Uwe