In dieser Anleitung werden verschiedene Methoden vorgestellt, offene Netzwerkports festzustellen und zu analysieren. In der Standardinstallation sind einige Ports geöffnet, die jedoch nicht auf externen Netzwerkinterfaces lauschen. Diese Ports werden angezeigt, wenn man offene Ports auf dem eigenen Rechner untersucht, sind jedoch aus dem Netzwerk nicht sichtbar. Aussagekräftige Portscans sind daher von einem zweiten Rechner aus einfacher.
Einer der ersten Analyse-Schritte des Netzwerkstatus ist das Programm netstat im Terminal [1]:
netstat -tulpen
Mit der Option a
statt l
werden nicht nur offene Sockets, sondern auch alle bestehenden Verbindungen angezeigt, was ein wenig unübersichtlich werden kann.
Da unter Linux intern fast alle Dinge als Datei dargestellt werden, so etwa auch das Netzwerk, kann man auch bestehende Netzwerkverbindungen durch die Anzeige offener Dateien, die das Netzwerk benötigt, analysieren.
lsof > odat
lsof erzeugt eine (sehr lange) Liste der offenen Dateien, die hier in die Datei odat geschrieben wird. Diese kann man dann mit einem Texteditor [2] auf Netzwerkverbindungen untersuchen. Eine solche wäre z.B.:
xchat 8134 dm 8u IPv4 13568 TCP 192.168.254.2:46771->zelazny.freenode.net:ircd (ESTABLISHED)
Alternativ kann man die offenen Internet-Verbindungen auch so anzeigen lassen:
lsof -i # bzw. für mehr Angaben aufgrund von Diensten, die mit Root-Rechten laufen: sudo lsof -i
Einen Dienst mit dem Status unbekannt sollte man sich immer genauer anschauen - z.B.:
PORT STATE SERVICE 906/tcp open unknown
Dieser Dienst ist in diesem Fall auch nicht der Datei /etc/services eingetragen. Die Analyse erfolgt im Terminal:
sudo fuser 906/tcp
findet heraus, welche Prozess-ID (PID) der Prozess gerade hat (z.B. 906/tcp: 4122
). Diese PID kann man nun weiter untersuchen:
ps -fp 4122
Ausgabe:
UID PID PPID C STIME TTY TIME CMD user 4122 1 0 Oct29 ? 00:00:00 /usr/sbin/famd -T 0
Weitere Informationen zu einem unbekannten Prozess findet man über den Befehl man:
man -k famd
Dieser sucht nach Anleitungsseiten zu dem gefundenen Programm. Diese kann man sich dann mit:
man PROGRAMMNAME
anzeigen lassen.
In diesem Fall ist es der "file alteration monitor" (fam). Was macht dieser Dienst? Statt das Dateisystem auf Änderungen zu überprüfen, wird der FAM-Daemon vom Kernel über Änderungen informiert und kann dann wiederum die Anwendungen informieren. Dieser Dienst wurde früher automatisch installiert, inzwischen ist er durch ein anderes Verfahren ersetzt worden.
Angry IP Scanner ist ein klassischer Portscanner mit einer einfachen grafischen Oberfläche. Das englischsprachige Programm basiert auf Java und kann daher plattformübergreifend unter Linux, Windows und Mac OS X eingesetzt werden (teilweise existieren auch native Versionen).
All diese Analysemethoden können bei kompromittierten Systemen versagen. Oftmals werden dort Diagnosetools mit veränderten Versionen überschrieben. Kritische offene Ports können in diesem Fall von den manipulierten Werkzeugen verschwiegen werden. Hiergegen hilft der Portscan von einem externen System aus. Es kann allerdings sein, dass nur auf Anfragen von einer bestimmte IP-Adresse aus reagiert wird, dann versagt auch diese Methode. Gut getarnte Rootkits werden eigentlich nie gefunden, außer man hat Glück und der Kernel ist intakt (bzw. man hat einen neuen aufgespielt), dann kann man in /proc/net/ etwas finden (z.B. mit "cat /proc/net/tcp
"). Die Ausgaben sind hexadezimal und man muss einen Taschenrechner zu Hilfe nehmen.
Diese Revision wurde am 26. Oktober 2014 22:10 von Kerlbürste_Suessholz erstellt.