Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Kako da saznam koja aplikacija/skript koristi port, npr. 25

[es] :: Linux/UNIX serveri i servisi :: Kako da saznam koja aplikacija/skript koristi port, npr. 25

[ Pregleda: 2698 | Odgovora: 18 ] > FB > Twit

Postavi temu Odgovori

Autor
Pretraga teme: Traži
Markiranje Štampanje RSS

johnnyc

Član broj: 175590
Poruke: 202
*.dynamic.sbb.rs.



Profil

icon Kako da saznam koja aplikacija/skript koristi port, npr. 2527.07.2010. u 10:31 - pre 167 meseci
Pozdrav,

Pomocu netstat komande primetio sam "malo vecu aktivnost" po portu 25.

Da li mozete da me uputite kako da dodjm do informacije koji programi/skripte pokusavaju da se povezu putem tog porta?


Hvala unapred!
 
Odgovor na temu

Tyler Durden
Tyler Durden
Beograd

Član broj: 4312
Poruke: 3379
*.verat.net.



+1365 Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2527.07.2010. u 10:40 - pre 167 meseci
Imaš -p flag za netstat komandu, mislim da to tražiš.
Beneath civilization's fragile crust, cold chaos churns...
 
Odgovor na temu

Radovan__III
Radovan__III
Beograd

Član broj: 15669
Poruke: 1245
*.dynamic.isp.telekom.rs.



+26 Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2527.07.2010. u 10:41 - pre 167 meseci
Code:
25     TCP         Simple Mail Transfer Protocol (SMTP)—used for e-mail routing between mail servers


Sta koristis za slanje mail-a
Aj sad svi u biblioteku da nesto pojedemo i popijemo ...
--------------------------------
Knjigovodstvo
 
Odgovor na temu

johnnyc

Član broj: 175590
Poruke: 202
*.dynamic.sbb.rs.



Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2527.07.2010. u 11:17 - pre 167 meseci
Citat:
Sta koristis za slanje mail-a



qmail


ono sto mi javlja na netstat -pantu je
Code:

tcp        0      0 xxx.xxx.xxx.xxx:25        yyy.yyy.yyy.yyy:14901      ESTABLISHED 3972/rblsmtpd
tcp        0      0 xxx.xxx.xxx.xxx:25        zzz.zzz.zzz.zzz:33345      ESTABLISHED 3974/rblsmtpd
 
Odgovor na temu

johnnyc

Član broj: 175590
Poruke: 202
*.dynamic.sbb.rs.



Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2527.07.2010. u 11:24 - pre 167 meseci
... dok na netstat -p dobijam izmedjuostalog i

Code:

tcp        0      0 xxx.xxx.xxx.xxx:smtp      tressx.alpha.ec-c:52737 TIME_WAIT   -
 
Odgovor na temu

johnnyc

Član broj: 175590
Poruke: 202
*.dynamic.sbb.rs.



Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2527.07.2010. u 21:00 - pre 167 meseci
Ne znam da li sam bio jasan sa pitanjem...


Ono sto bih zeleo je da "uperim prst" u neki fajl tipa /usr/sbin/nesto i da kazem da on radi "nesto" sa portom 25.
 
Odgovor na temu

Jbyn4e

Član broj: 422
Poruke: 6049
*.ptt.rs.



+257 Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2527.07.2010. u 22:30 - pre 167 meseci
Sa netstat ces videti samo koji proces (daemon) radi na portu 25, npr:
Citat:
netstat -pantu|grep 25
...
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 2643/master
...

Ovo 2643 je pid procesa, pa mozes da vidis komandu kojom je pokrenut:
Citat:

ps axu|grep 2643
root 2643 0.0 0.0 20120 1472 ? Ss 10:52 0:00 /usr/lib/postfix/master


Tebi je to potpuno nebitno, obzirom da imas informaciju da ti neko sa yyy.yyy.yyy.yyy i zzz.zzz.zzz.zzz ima konekciju sa smtp portom - znaci ono sto ti treba da gledas je log fajl mail servera, npr. /var/log/mail. Tamo ti sve pise sta ti se desava.
Kad sve ostalo zakaže, pročitaj uputstvo...
 
Odgovor na temu

johnnyc

Član broj: 175590
Poruke: 202
*.dynamic.sbb.rs.



Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2528.07.2010. u 07:15 - pre 167 meseci
Aha, ok!

Evo ovako, u tom logu sam nasao nesto kao sto je :

Code:

Jul 28 04:03:21 myServer qmail-queue-handlers[23717]: Handlers Filter before-queue for qmail started ...
Jul 28 04:03:21 myServer qmail-queue-handlers[23717]: [email protected]
Jul 28 04:03:21 myServer qmail-queue-handlers[23717]: [email protected]
Jul 28 04:03:21 myServer qmail-queue-handlers[23717]: hook_dir = '/usr/local/psa/handlers/before-queue'
Jul 28 04:03:21 myServer qmail-queue-handlers[23717]: call_handlers: call executable = '/usr/local/psa/handlers/info/10-spf-yhmLUd/executable'
Jul 28 04:03:21 myServer spf filter[23721]: Starting spf filter... 
Jul 28 04:03:21 myServer qmail-queue-handlers[23717]: handlers_stderr: SKIP
Jul 28 04:03:21 myServer qmail-queue-handlers[23717]: call_handlers: SKIP during call '/usr/local/psa/handlers/info/10-spf-yhmLUd/executable' handler
Jul 28 04:03:21 myServer qmail-queue-handlers[23717]: recipient[3] = '[email protected]'
Jul 28 04:03:21 myServer qmail-queue-handlers[23717]: handlers dir = '/usr/local/psa/handlers/before-queue/recipient/[email protected]'
Jul 28 04:03:21 myServer qmail-queue-handlers[23719]: Handlers Filter before-queue for qmail started ...
Jul 28 04:03:21 myServer qmail-queue-handlers[23719]: [email protected]
Jul 28 04:03:21 myServer qmail-queue-handlers[23719]: [email protected]
Jul 28 04:03:21 myServer qmail-queue-handlers[23719]: hook_dir = '/usr/local/psa/handlers/before-queue'
Jul 28 04:03:21 myServer qmail-queue-handlers[23719]: call_handlers: call executable = '/usr/local/psa/handlers/info/10-spf-yhmLUd/executable'
Jul 28 04:03:21 myServer spf filter[23723]: Starting spf filter... 
Jul 28 04:03:21 myServer qmail-queue-handlers[23719]: handlers_stderr: SKIP
Jul 28 04:03:21 myServer qmail-queue-handlers[23719]: call_handlers: SKIP during call '/usr/local/psa/handlers/info/10-spf-yhmLUd/executable' handler
Jul 28 04:03:21 myServer qmail-queue-handlers[23719]: recipient[3] = '[email protected]'
Jul 28 04:03:21 myServer qmail-queue-handlers[23719]: handlers dir = '/usr/local/psa/handlers/before-queue/recipient/[email protected]'
Jul 28 04:03:21 myServer qmail-queue-handlers[23717]: starter: submitter[23722] exited normally
Jul 28 04:03:21 myServer qmail: 1280286201.940245 new msg 16435460
Jul 28 04:03:21 myServer qmail: 1280286201.940993 info msg 16435460: bytes 246 from <[email protected]> qp 23722 uid 0
Jul 28 04:03:21 myServer qmail: 1280286201.954338 starting delivery 870: msg 16435460 to remote [email protected]
Jul 28 04:03:21 myServer qmail: 1280286201.954419 status: local 0/10 remote 1/20
Jul 28 04:03:21 myServer qmail-queue-handlers[23719]: starter: submitter[23724] exited normally
Jul 28 04:03:21 myServer qmail-remote-handlers[23727]: Handlers Filter before-remote for qmail started ...
Jul 28 04:03:21 myServer qmail: 1280286201.955620 new msg 16435462
Jul 28 04:03:21 myServer qmail: 1280286201.955692 info msg 16435462: bytes 241 from <[email protected]> qp 23724 uid 0
Jul 28 04:03:21 myServer qmail-remote-handlers[23727]: [email protected]
Jul 28 04:03:21 myServer qmail-remote-handlers[23727]: [email protected]
Jul 28 04:03:21 myServer qmail-remote-handlers[23727]: hook_dir = '/usr/local/psa/handlers/before-remote'
Jul 28 04:03:21 myServer qmail-remote-handlers[23727]: recipient[3] = '[email protected]'
Jul 28 04:03:21 myServer qmail-remote-handlers[23727]: handlers dir = '/usr/local/psa/handlers/before-remote/recipient/[email protected]'
Jul 28 04:03:21 myServer qmail-remote-handlers[23727]: call_handlers: call executable = '/usr/local/psa/handlers/info/10-dd51-domainkeys-qiKwws/executable'
Jul 28 04:03:21 myServer dk_sign[23728]: Auth_ID: [myServer.co.rs] Signed: [Yes] Header List: [Yes] 
Jul 28 04:03:21 myServer qmail-remote-handlers[23727]: handlers_stderr: PASS
Jul 28 04:03:21 myServer qmail-remote-handlers[23727]: call_handlers: PASS during call '/usr/local/psa/handlers/info/10-dd51-domainkeys-qiKwws/executable' handler
Jul 28 04:03:22 myServer qmail: 1280286202.107018 starting delivery 871: msg 16435462 to remote [email protected]
Jul 28 04:03:22 myServer qmail: 1280286202.107068 status: local 0/10 remote 2/20
Jul 28 04:03:22 myServer qmail-remote-handlers[23733]: Handlers Filter before-remote for qmail started ...
Jul 28 04:03:22 myServer qmail-remote-handlers[23733]: [email protected]
Jul 28 04:03:22 myServer qmail-remote-handlers[23733]: [email protected]
Jul 28 04:03:22 myServer qmail-remote-handlers[23733]: hook_dir = '/usr/local/psa/handlers/before-remote'
Jul 28 04:03:22 myServer qmail-remote-handlers[23733]: recipient[3] = '[email protected]'
Jul 28 04:03:22 myServer qmail-remote-handlers[23733]: handlers dir = '/usr/local/psa/handlers/before-remote/recipient/[email protected]'
Jul 28 04:03:22 myServer qmail-remote-handlers[23733]: call_handlers: call executable = '/usr/local/psa/handlers/info/10-dd51-domainkeys-qiKwws/executable'
Jul 28 04:03:22 myServer dk_sign[23734]: Auth_ID: [myServer.co.rs] Signed: [Yes] Header List: [Yes] 
Jul 28 04:03:22 myServer qmail-remote-handlers[23733]: handlers_stderr: PASS
Jul 28 04:03:22 myServer qmail-remote-handlers[23733]: call_handlers: PASS during call '/usr/local/psa/handlers/info/10-dd51-domainkeys-qiKwws/executable' handler
Jul 28 04:03:22 myServer qmail: 1280286202.234639 delivery 871: failure: Sorry,_I_couldn't_find_any_host_named_linx.org._(#5.1.2)/
Jul 28 04:03:22 myServer qmail: 1280286202.346847 status: local 0/10 remote 1/20
Jul 28 04:03:22 myServer qmail-queue-handlers[23735]: Handlers Filter before-queue for qmail started ...
Jul 28 04:03:22 myServer qmail-queue-handlers[23735]: from=
Jul 28 04:03:22 myServer qmail-queue-handlers[23735]: [email protected]
Jul 28 04:03:22 myServer qmail-queue-handlers[23735]: hook_dir = '/usr/local/psa/handlers/before-queue'
Jul 28 04:03:22 myServer qmail-queue-handlers[23735]: call_handlers: call executable = '/usr/local/psa/handlers/info/10-spf-yhmLUd/executable'
Jul 28 04:03:22 myServer spf filter[23736]: Starting spf filter... 
Jul 28 04:03:22 myServer qmail-queue-handlers[23735]: handlers_stderr: SKIP
Jul 28 04:03:22 myServer qmail-queue-handlers[23735]: call_handlers: SKIP during call '/usr/local/psa/handlers/info/10-spf-yhmLUd/executable' handler
Jul 28 04:03:22 myServer qmail-queue-handlers[23735]: recipient[3] = '[email protected]'
Jul 28 04:03:22 myServer qmail-queue-handlers[23735]: handlers dir = '/usr/local/psa/handlers/before-queue/recipient/[email protected]'



Sa ovim logom mogu jedino da saznam da li su slani emailovi i na koje adrese?

Da li mozes jos malo da mi pomognes oko ovoga?


I jos nesto... ono sto mene buni je to sto su mi se neki mejlovi vratili, i to bas sa adrese [email protected] i slicne, koje se i spominju u ovom logu. Naravno, ja nisam slao mejlove na te adrese, tako da samo mogu da predpostavljam da "nesto" salje mejlove na te adrese.

Inace, server nije open relay.





[Ovu poruku je menjao johnnyc dana 28.07.2010. u 08:32 GMT+1]

[Ovu poruku je menjao johnnyc dana 28.07.2010. u 08:34 GMT+1]

[Ovu poruku je menjao johnnyc dana 28.07.2010. u 08:40 GMT+1]
 
Odgovor na temu

Jbyn4e

Član broj: 422
Poruke: 6049
*.ptt.rs.



+257 Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2528.07.2010. u 11:59 - pre 167 meseci
Moguca je sledeca situacija:

neko sa laznim headerom from salje mail kao da je sa tog yahoo, a nije, na tvoj root. Tvoj root vraca odgovor yahoo-u (jer misli da od njega dolazi po mail adresi) da nece da primi mail (npr), a onda yahoo tebi vraca odgovor da ta adresa ni ne postoji.

Nadam se da si shvatio - nije nuzno da ti nesto salje mailove iz tvoje mreze, vec je to normalno (eh koliko se meni vrati mailova da user ne postoji.... a nisam ih nikad slao).
Kad sve ostalo zakaže, pročitaj uputstvo...
 
Odgovor na temu

johnnyc

Član broj: 175590
Poruke: 202
*.dynamic.sbb.rs.



Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2528.07.2010. u 13:49 - pre 167 meseci
Da, razumem o cemu govoris, i to bi bila divna situacija.

Ali, mene brine ovo: sa komapdom netstat -na, dobijam (izmedju ostalog) i:

Code:

tcp        0      0 xxx.xxx.xxx.xxx:25        173.134.yyy.yyy:50366    ESTABLISHED


Zar ovde nije uspostavljena konekcija izmedju 173.134.yyy.yyy i mene? Ili je i uspostavljena, ali se tu cela nasa komunikacija zavrsava?


I isto tako, ta email adresa koja se tu spominje (u jednom od mojih predhodnih mejlova, [email protected]), ona se spominje bukvalno svakodnevno, u bukvalno isto vreme. A precesljao sam ceo sistem, nisam je nigde nasao.


I jos jedna stvar - tcpdump:

Code:

[root@myserver ~]# tcpdump port 25
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
20:54:33.842388 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: S 3343584823:3343584823(0) win 8192 <mss 1360,nop,wscale 2,nop,nop,sackOK>
20:54:33.842431 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: S 583530268:583530268(0) ack 3343584824 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7>
20:54:33.904660 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 1 win 16660
20:54:34.036073 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: P 1:90(89) ack 1 win 46
20:54:34.304356 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 90 win 16637
20:54:34.304433 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: P 90:110(20) ack 1 win 46
20:54:34.568451 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 110 win 16632
37 packets captured
74 packets received by filter
0 packets dropped by kernel
[root@myserver ~]# 



Da li nam tu nesto govori o komunikaciji izmedju mene i drugih servera?

I jos jedna stvar:

Code:

[root@myserver log]# lsof -i -n -P | grep rblsmtpd
rblsmtpd  31732     root    0u  IPv4 857609       TCP xxx.xxx.xxx.xxx:25->93.130.55.54:44523 (ESTABLISHED)
rblsmtpd  31732     root    1u  IPv4 857609       TCP xxx.xxx.xxx.xxx:25->93.130.55.54:44523 (ESTABLISHED)
rblsmtpd  31732     root    2u  IPv4 857609       TCP xxx.xxx.xxx.xxx:25->93.130.55.54:44523 (ESTABLISHED)
rblsmtpd  31733     root    0u  IPv4 857651       TCP xxx.xxx.xxx.xxx:25->190.9.11.103:40692 (ESTABLISHED)
rblsmtpd  31733     root    1u  IPv4 857651       TCP xxx.xxx.xxx.xxx:25->190.9.11.103:40692 (ESTABLISHED)
rblsmtpd  31733     root    2u  IPv4 857651       TCP xxx.xxx.xxx.xxx:25->190.9.11.103:40692 (ESTABLISHED)
[root@myserver log]# 



I skoro uvek imam ovakav (tj. slican) rezultat na lsof...


Veliko hvala unapred na odgovorima i pomoci!

[Ovu poruku je menjao johnnyc dana 28.07.2010. u 15:02 GMT+1]

[Ovu poruku je menjao johnnyc dana 28.07.2010. u 15:16 GMT+1]
 
Odgovor na temu

Jbyn4e

Član broj: 422
Poruke: 6049
*.ptt.rs.



+257 Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2528.07.2010. u 15:06 - pre 167 meseci
Jedino sto mi pada na pamet je neki cron job ako se desava u isto vreme, koji salje neki izvestaj na default adresu koju nisi promenio sa nekim servisom koji si instalirao.
Ne koristim qmail, tako da mi je mail log fajl malo nepregledan, pa ne znam sta treba da gledam.

Inace sto se tice komunikacije - da, da bi poslao mail, moras da imas "established"...

Sto se tice rblsmtpd, da ti taj servis ne kontaktira ove ip-jeve prilikom provere da li je nesto na rbl listi? Stvarno ne znam sta sve imas podeseno na racunaru i sta sve moze da bude...
Kad sve ostalo zakaže, pročitaj uputstvo...
 
Odgovor na temu

johnnyc

Član broj: 175590
Poruke: 202
*.dynamic.sbb.rs.



Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2528.07.2010. u 15:20 - pre 167 meseci
S obzirom da server nije open relay (provereno), da li to "established" znaci da se taj neki skript uspesno ulogovao na smtp i da radi radnju, ili je samo uspostavio komunikaciju i da oni "pregovaraju" oko logovanja?
 
Odgovor na temu

Tyler Durden
Tyler Durden
Beograd

Član broj: 4312
Poruke: 3379
*.verat.net.



+1365 Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2528.07.2010. u 15:36 - pre 167 meseci
Znaci da oni vec razmjenjuju neke podatke/mailove ili pokusavaju to da urade, odnosno ovaj 173.134.yyy.yyy pokusava nesto da isporuci tvom mail serveru.
Jel tebi taj server sluzi samo za slanje mailova ili i za primanje?
Beneath civilization's fragile crust, cold chaos churns...
 
Odgovor na temu

johnnyc

Član broj: 175590
Poruke: 202
*.dynamic.sbb.rs.



Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2528.07.2010. u 15:54 - pre 167 meseci
Sluzi mi i za jedno i za drugo. Ne mogu da ih iskljucim niti da ih blokiram sa iptables.
 
Odgovor na temu

Tyler Durden
Tyler Durden
Beograd

Član broj: 4312
Poruke: 3379
*.adsl.verat.net.



+1365 Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2528.07.2010. u 18:51 - pre 167 meseci
Ali ja nisam bas najbolje skapirao sta tebe muci...?
Ove nepoznate IP adrese? To su raznorazni drugi mail serveri i spameri koji komuniciraju sa tvojim serverom i to nije nista neuobicajeno ili strasno.
Beneath civilization's fragile crust, cold chaos churns...
 
Odgovor na temu

johnnyc

Član broj: 175590
Poruke: 202
*.dynamic.sbb.rs.



Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2528.07.2010. u 19:06 - pre 167 meseci
Da, muci me to da li imam "nesto" na serveru, sto moze da radi spam, ili flood ili slicno.

Zato sam pogledao sta se desava na masini, i primetio da imam "prilican broj" aktivnosti na portu 25.

Pa sam zeleo da saznam ko to poziva moj qmail, da bude toliko aktivan.



Bilo bi jako lepo da su to samo neuspesni pokusaji, ali moram da imam neke "dokaze" za to.


Verovatno imam razloge zbog kojih mogu da sumnjam, cim se ovoliko raspitujem i cim ovoliko kopam na sve strane i trazim informacije
:-)
 
Odgovor na temu

Tyler Durden
Tyler Durden
Beograd

Član broj: 4312
Poruke: 3379
*.adsl.verat.net.



+1365 Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2528.07.2010. u 19:40 - pre 167 meseci
Onda to, da li spamujes ili neko spamuje tebe, treba najprije da iskopas po logovima.
Nisam nikad koristio qmail tako da ne znam bas "format" logova, ali sve je to generalno isto.
Pogledaj da li imas mnogo isporucene poste na tvoje lokalne adrese sa nekih blesavih adresa tipa [email protected]. To je garant spam.
Takodje treba da pogledas i obratno - da li tvoji lokalni nalozi salju sumnjive kolicine poste na npr. .ru domene i sl.

Malo je nezgodno ovako napamet, ali sve se sigurno moze vidjeti iz logova i ovo gore ti je neka generalna smjernica. Vjerovatno postoje skripte po netu koje mogu fino da ti isparsiraju log fajlove kako bi ti bilo preglednije i citkije, kao sto za Postfix npr. ima pflogsumm.
Beneath civilization's fragile crust, cold chaos churns...
 
Odgovor na temu

tarla

Član broj: 15527
Poruke: 1648



+42 Profil

icon Re: Kako da saznam koja aplikacija/skript koristi port, npr. 2528.07.2010. u 20:48 - pre 167 meseci
Pogledaj i mail queue na svom serveru, pogledaj header-e poruka u njemu, odakle ide, odakle je došla... Očisti queue pa vidi koliko brzo se puni, zašto se puni, da li je neki mailbox prepun...

Može biti da ti neki user ima jednostavan pass, pa spameri šalju preko njegovor naloga. Tipa [email protected] ima lozinku sara....


 
Odgovor na temu

[es] :: Linux/UNIX serveri i servisi :: Kako da saznam koja aplikacija/skript koristi port, npr. 25

[ Pregleda: 2698 | Odgovora: 18 ] > FB > Twit

Postavi temu Odgovori

Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.