porte in ascolto

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Ottobre 2002 ml@sikurezza.org
Soggetto: porte in ascolto
Mittente: Massimo Ferrario
Data: 30 Oct 2002 18:10:30 -0000

Salve a tutti.

Ho scritto una piccola utility (un programmino perl che usa l'output si 
netstat e lsof) che effettua il monitoraggio delle porte che risultano "in 
ascolto" su un server linux. Questo elenco viene innanzitutto vien filtrato 
dalle porte che mi aspetto siano aperte (porta 80 ecc). Se salta fuori 
qualche porta che non mi aspetto aperta viene generato un e-mail che mi 
segnala il fatto, oltre a riportare il nome del programma che sta 
utilizzando quella porta.

Il programma non e' niente di particolarmente intelligente, ma al momento 
pare funzionare: quello che mi preoccupa è quello che mi viene segnalato 
ogni tanto!
Guardate ad esempio questo output:
=============
Porta 2165 udp:
COMMAND   PID USER   FD   TYPE   DEVICE SIZE NODE NAME
tcpd    12901 root    4u  IPv4 33071043       UDP *:2165

Porta 2164 udp:
COMMAND    PID USER   FD   TYPE   DEVICE SIZE NODE NAME
sendmail 12898 root    4u  IPv4 33071041       UDP *:2164
=============

Sinceramente non mi spiego perchè sendmail sia in ascolto su una porta UDP: 
qualcuno di voi mi saprebbe aiutare?

Grazie a tutti, e buon lavoro

Massimo Ferrario

PS
Giusto per mettervi in guardia, vi descrivo il background che mi ha 
condotto a scrivere il suddetto programmino:

Qualche giorno ad un mio cliente è stato "consegnato" un server in housing 
presso l'IDC (Internet Data Center) di Telecom Italia.
Sul server è stata installata dal personale di Telecom la versione 7.1 di 
RedHat linux SENZA però applicare nessuna delle numerose patch disponibili 
per il sistema operativo. Per migliorare le cose, i signori hanno per prima 
cosa abilitato apache + mod_ssl, aperto il firewall di front-end in modo 
che il server fosse accessibile al pubblico. Solo dopo una decina di giorni 
è stata abilitato l'accesso SSH al server con il quale abbiamo potuto 
applicare le patch al sistema operativo ... solo che a quel punto il server 
era gia' stato infettato dal worm Slapper!

Adesso siamo in attesa che Telecom reinstalli il sistema operativo (ci 
reinstalleranno ancora la 7.1 senza patch). Questa volta però abbiamo dato 
precise istruzioni sull'ordine di apertura dei firewall: prima apriranno le 
porte della VPN per permetterci di applicare le patch, e solo al nostro OK 
apriranno il firewall verso i "cattivi"!

Inutile dire che ora in mio cliente vuole sapere con esattezza cosa succede 
sulla sua macchina.

Ma vi prego, l'ho messo solo per avvisarvi nel caso vi troviate nella mia 
situazione: non iniziamo una tiritera su come lavora male la ditta X o Y!
Massimo Ferrario - Inforeti srl
via Pellizzo 39 - Padova - 049 8079040


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: porte in ascolto, Luca Berra
- Re: porte in ascolto, Francesco Trentini
- Re: porte in ascolto, Igor Falcomata'

Data:
- precedente: Re: TRAFFICO HTTP, Zen
- successivo: Script per testare la sicurezza di IIS, daniele
- indice

Argomento:
- precedente: Tavola rotonda sulla scuola e la cultura OpenSource (fwd), Stefano Chiccarelli
- successivo: Re: porte in ascolto, Igor Falcomata'
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005