Nmap indica que "telepathstart" y "telepathattack" están escuchando en los puertos 5010 y 5011 de mi caja de Linux. ¿Que son estos?

Las referencias en esa página explican que Solo se sabe que usa el puerto TCP 5010, que está oficialmente reservado para el protocolo TelepathStart, y lo mismo para TCP 5011. Si miras a través de esa lista, verás que muchos usos de malware Puertos que están reservados para otros servicios.

TelepathStart y TelepathAttack se incluyen correctamente en la lista con la IANA que usa esos puertos, por lo que espero que sean benignos. Vamos a investigar qué se ejecuta en esos puertos. IANA escrituras :

• Puertos: 5010/5011
• Nombres de servicio: telelpathstart / telelpathattack
• Descripciones: TelepathStart / TelepathAttack
• Asignado: Helmuth Breitenfellner

Supongo que la dirección de correo electrónico del contacto era hbreitenf @ vnet .ibm.com en ese momento.

Una búsqueda en Google de [helmuth breitenfellner telepath] nos lleva a descubrir que Helmuth Breitenfellner portó El código de la plataforma de mensajería (TelePath) de IBM FlowMark (un sistema de gestión de flujo de trabajo ) para AIX RS6000.

Sandy Kemsley escribe que FlowMark era posteriormente se le cambió el nombre a MQSeries Workflow y ahora es WebSphere MQ Workflow.

¿Su caja está ejecutando WebSphere MQ Workflow?

Si no, entonces aquí hay tres pensamientos:

• Hoy es un buen día para ejecutar algunos análisis de malware.
• Es posible que desee empujar un poco las opciones de nmap, y ver cuánta confianza tiene su detección de servicio sobre lo que está escuchando en esos puertos. Tal vez use --version-intensity 9 , por ejemplo.
• También puedes probar el viejo truco de sysadmin de bloquearlo y ver qué se rompe.

Es posible que NMAP no sea correcto al adivinar qué servicio se está ejecutando. Lo he visto equivocado varias veces.

Revisaría las siguientes cosas:

Ejecute el siguiente comando para verificar el proceso de los puertos de escucha.

netstat -tulpn

Aquí hay un ejemplo de salida:

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:7337          0.0.0.0:*               LISTEN      863/postgres    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1670/sshd       
tcp6       0      0 ::1:7337                :::*                    LISTEN      863/postgres    
tcp6       0      0 :::22                   :::*                    LISTEN      1670/sshd       
udp        0      0 0.0.0.0:68              0.0.0.0:*                           551/dhclient3 

Aquí puede ver que el puerto 863 es postgres y 1670 es sshd.

También ejecutaría estos comandos solo para asegurarme:

lsof -i #Also lists listening programs 
nmap -sV <host ip> #nmap version detection
grep 5010 /etc/services #linux's port to service name mapping 

Aquí está la salida de ejemplo cuando hice grep para el puerto 22

ssh     22/tcp              # SSH Remote Login Protocol
ssh     22/udp
imap3       220/tcp             # Interactive Mail Access
imap3       220/udp             # Protocol v3
xmpp-client 5222/tcp    jabber-client   # Jabber Client Connection
xmpp-client 5222/udp    jabber-client
bpjava-msvc 13722/tcp           # BP Java MSVC Protocol
bpjava-msvc 13722/udp
wnn6        22273/tcp           # wnn6
wnn6        22273/udp
xtell       4224/tcp            # xtell server

Es imposible para nosotros decir qué programa es sin mirar su computadora. Para hacerlo usted mismo, ejecute esto:

sudo netstat -ntpl | grep -e ":5010" -e ":5011" 

El programa que está buscando aparecerá como el campo del extremo derecho en la salida.

^{Nota de seguridad: nunca escriba ciegamente un comando que lea en Internet. Como siempre, asegúrese de entenderlo primero.}