Nmap indica que "telepathstart" y "telepathattack" están escuchando en los puertos 5010 y 5011 de mi caja de Linux. ¿Que son estos?

9

Tengo un cuadro de Linux en mi red que, según Nmap, contiene dos servicios llamados telepathstart y telepathattack que escuchan en los puertos 5010 y 5011.

Desde el mismo cuadro, estoy recibiendo solicitudes de entrada a mi computadora en el puerto 113, que mi firewall está bloqueando.

Esta página enumera los dos servicios que escuchan en estos puertos como Solo y OOTLT. ? ¿Debería preocuparme?

El nombre de telepathattack es lo que me preocupó, ¿alguien ha oído hablar de esto? ¿Qué hace?

Gracias

    
pregunta JMK 03.04.2012 - 13:59
fuente

3 respuestas

14

Las referencias en esa página explican que Solo se sabe que usa el puerto TCP 5010, que está oficialmente reservado para el protocolo TelepathStart, y lo mismo para TCP 5011. Si miras a través de esa lista, verás que muchos usos de malware Puertos que están reservados para otros servicios.

TelepathStart y TelepathAttack se incluyen correctamente en la lista con la IANA que usa esos puertos, por lo que espero que sean benignos. Vamos a investigar qué se ejecuta en esos puertos. IANA escrituras :

  • Puertos: 5010/5011
  • Nombres de servicio: telelpathstart / telelpathattack
  • Descripciones: TelepathStart / TelepathAttack
  • Asignado: Helmuth Breitenfellner

Supongo que la dirección de correo electrónico del contacto era hbreitenf @ vnet .ibm.com en ese momento.

Una búsqueda en Google de [helmuth breitenfellner telepath] nos lleva a descubrir que Helmuth Breitenfellner portó El código de la plataforma de mensajería (TelePath) de IBM FlowMark (un sistema de gestión de flujo de trabajo ) para AIX RS6000.

Sandy Kemsley escribe que FlowMark era posteriormente se le cambió el nombre a MQSeries Workflow y ahora es WebSphere MQ Workflow.

¿Su caja está ejecutando WebSphere MQ Workflow?

Si no, entonces aquí hay tres pensamientos:

  • Hoy es un buen día para ejecutar algunos análisis de malware.
  • Es posible que desee empujar un poco las opciones de nmap, y ver cuánta confianza tiene su detección de servicio sobre lo que está escuchando en esos puertos. Tal vez use --version-intensity 9 , por ejemplo.
  • También puedes probar el viejo truco de sysadmin de bloquearlo y ver qué se rompe.
respondido por el Graham Hill 03.04.2012 - 15:13
fuente
3

Es posible que NMAP no sea correcto al adivinar qué servicio se está ejecutando. Lo he visto equivocado varias veces.

Revisaría las siguientes cosas:

Ejecute el siguiente comando para verificar el proceso de los puertos de escucha.

netstat -tulpn

Aquí hay un ejemplo de salida:

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:7337          0.0.0.0:*               LISTEN      863/postgres    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1670/sshd       
tcp6       0      0 ::1:7337                :::*                    LISTEN      863/postgres    
tcp6       0      0 :::22                   :::*                    LISTEN      1670/sshd       
udp        0      0 0.0.0.0:68              0.0.0.0:*                           551/dhclient3 

Aquí puede ver que el puerto 863 es postgres y 1670 es sshd.

También ejecutaría estos comandos solo para asegurarme:

lsof -i #Also lists listening programs 
nmap -sV <host ip> #nmap version detection
grep 5010 /etc/services #linux's port to service name mapping 

Aquí está la salida de ejemplo cuando hice grep para el puerto 22

ssh     22/tcp              # SSH Remote Login Protocol
ssh     22/udp
imap3       220/tcp             # Interactive Mail Access
imap3       220/udp             # Protocol v3
xmpp-client 5222/tcp    jabber-client   # Jabber Client Connection
xmpp-client 5222/udp    jabber-client
bpjava-msvc 13722/tcp           # BP Java MSVC Protocol
bpjava-msvc 13722/udp
wnn6        22273/tcp           # wnn6
wnn6        22273/udp
xtell       4224/tcp            # xtell server
    
respondido por el Chris Dale 11.07.2012 - 09:18
fuente
3

Es imposible para nosotros decir qué programa es sin mirar su computadora. Para hacerlo usted mismo, ejecute esto:

sudo netstat -ntpl | grep -e ":5010" -e ":5011" 

El programa que está buscando aparecerá como el campo del extremo derecho en la salida.

Nota de seguridad: nunca escriba ciegamente un comando que lea en Internet. Como siempre, asegúrese de entenderlo primero.

    
respondido por el tylerl 13.07.2012 - 08:01
fuente

Lea otras preguntas en las etiquetas