/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
port 195
Fra : CykelSmeden


Dato : 12-09-02 12:27


Hvad er det der gør at port 195 er åben:
195/tcp open dn6-nlm-aud

hvor lukker jeg den?

finn

redhat 7.1 intl



 
 
Rasmus Bøg Hansen (12-09-2002)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 12-09-02 12:49

CykelSmeden wrote:

> Hvad er det der gør at port 195 er åben:
> 195/tcp open dn6-nlm-aud

Svaert at sige uden mere information - hvad siger 'netstat -antp'? lsof?

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
cat complaints > /dev/null
----------------------------------[ moffe at amagerkollegiet dot dk ] --

CykelSmeden (12-09-2002)
Kommentar
Fra : CykelSmeden


Dato : 12-09-02 12:49

"Rasmus Bøg Hansen" <moffe47@hotmail.com> wrote in message
news:alpuve$3lt$2@carlsberg.amagerkollegiet.dk...
> CykelSmeden wrote:
>
> > Hvad er det der gør at port 195 er åben:
> > 195/tcp open dn6-nlm-aud
>
> Svaert at sige uden mere information - hvad siger 'netstat -antp'? lsof?

Tak!

tcp 0 0 0.0.0.0:195 0.0.0.0:* LISTEN
884/httpd

jeg ved ikke om det altid har været tilfældet, men det gælder alle 3
maskiner

finn



Rasmus Bøg Hansen (12-09-2002)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 12-09-02 13:31

CykelSmeden wrote:

>> > Hvad er det der gør at port 195 er åben:

> tcp 0 0 0.0.0.0:195 0.0.0.0:* LISTEN
> 884/httpd

Det er vist ikke noget httpd plejer at goere - heller ikke paa RedHat 7.1.
Mon ikke du har faaet konfigureret den til det med Listen el. lign. - eller
maaske et indlaest modul?

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
\ / ASCII ribbon campaign
X against HTML mail
/ \
----------------------------------[ moffe at amagerkollegiet dot dk ] --

CykelSmeden (12-09-2002)
Kommentar
Fra : CykelSmeden


Dato : 12-09-02 13:22


"Rasmus Bøg Hansen" <moffe47@hotmail.com> wrote in message
news:alq1dm$5f3$2@carlsberg.amagerkollegiet.dk...
> CykelSmeden wrote:
>
> >> > Hvad er det der gør at port 195 er åben:
>
> > tcp 0 0 0.0.0.0:195 0.0.0.0:*
LISTEN
> > 884/httpd
>
> Det er vist ikke noget httpd plejer at goere - heller ikke paa RedHat 7.1.
> Mon ikke du har faaet konfigureret den til det med Listen el. lign. -
eller
> maaske et indlaest modul?
>
> /Rasmus

Nej jeg har gennemtravlet httpd.conf, på alle maskiner og greppet efter 195
i de fleste conf-dir, så det er det der gør mig nervøs.
finn



Lars Kongshøj (12-09-2002)
Kommentar
Fra : Lars Kongshøj


Dato : 12-09-02 14:02

CykelSmeden wrote:
> > >> > Hvad er det der gør at port 195 er åben:
> > > tcp 0 0 0.0.0.0:195 0.0.0.0:*
> LISTEN
> > > 884/httpd
> Nej jeg har gennemtravlet httpd.conf, på alle maskiner og greppet efter 195
> i de fleste conf-dir, så det er det der gør mig nervøs.

Er det den rigtige httpd?

Det kan man få et hint om ved at fyre nedenstående kommandoer:
ls -l /proc/884
cat /proc/884/cmdline
ps -ef | grep '[h]ttpd'
which httpd
ls -l `which httpd`
locate httpd | grep '/httpd$'

--
Lars Kongshøj
Registrer dig som linux-bruger:
http://counter.li.org/enter-person.php

CykelSmeden fra Aalb~ (12-09-2002)
Kommentar
Fra : CykelSmeden fra Aalb~


Dato : 12-09-02 17:37

Lars Kongshøj wrote:
> CykelSmeden wrote:
>>>>>> Hvad er det der gør at port 195 er åben:
>>>> tcp 0 0 0.0.0.0:195 0.0.0.0:* LISTEN
>>>> 884/httpd
>> Nej jeg har gennemtravlet httpd.conf, på alle maskiner og greppet
>> efter 195 i de fleste conf-dir, så det er det der gør mig nervøs.
>
> Er det den rigtige httpd?
>
> Det kan man få et hint om ved at fyre ...

Tak!
jeg hat prøvet at telnette, men får kun et echo af det jeg taster (måske
rammer jeg bare ikke det udløsende ;( )

Jeg har forsøgt at gennemskue kommandoerne, men anyhow:
[root@WebSrv /root]# ls -l /proc/884 (jeg antager det er noget med kørende
proc.)
totalt 0
-r--r--r-- 1 root root 0 sep 12 18:09 cmdline
lrwxrwxrwx 1 root root 0 sep 12 18:09 cwd -> /
-r-------- 1 root root 0 sep 12 18:09 environ
lrwxrwxrwx 1 root root 0 sep 12 18:09 exe ->
/usr/sbin/httpd
dr-x------ 2 root root 0 sep 12 18:09 fd
-r--r--r-- 1 root root 0 sep 12 18:09 maps
-rw------- 1 root root 0 sep 12 18:09 mem
lrwxrwxrwx 1 root root 0 sep 12 18:09 root -> /
-r--r--r-- 1 root root 0 sep 12 18:09 stat
-r--r--r-- 1 root root 0 sep 12 18:09 statm
-r--r--r-- 1 root root 0 sep 12 18:09 status

[root@WebSrv /root]# cat /proc/884/cmdline (sort snak
/usr/sbin/httpd-DHAVE_PROXY-DHAVE_ACCESS-DHAVE_ACTIONS-DHAVE_ALIAS-DHAVE_ASI
S-DHAVE_AUTH-DHAVE_AUTH_ANON-DHAVE_AUTH_DB-DHAVE_AUTH_DBM-DHAVE_AUTOINDEX-DH
AVE_BANDWIDTH-DHAVE_CERN_META-DHAVE_CGI-DHAVE_SSL-DHAVE_DIGEST-DHAVE_DIR-DHA
VE_ENV-DHAVE_EXAMPLE-DHAVE_EXPIRES-DHAVE_HEADERS-DHAVE_IMAP-DHAVE_INCLUDE-DH
AVE_INFO-DHAVE_LOG_AGENT-DHAVE_LOG_CONFIG-DHAVE_LOG_REFERER-DHAVE_MIME-DHAVE
_MIME_MAGIC-DHAVE_MMAP_STATIC-DHAVE_NEGOTIATION-DHAVE_PUT-DHAVE_REWRITE-DHAV
E_SETENVIF-DHAVE_SPELING-DHAVE_STATUS-DHAVE_THROTTLE-DHAVE_UNIQUE_ID-DHAVE_U
SERDIR-DHAVE_USERTRACK-DHAVE_VHOST_ALIAS-DHAVE_DAV-DHAVE_PERL-DHAVE_PHP4[roo
t@WebSrv /root]#

[root@WebSrv /root]# ps -ef | grep '[h]ttpd'
root 884 1 0 Sep10 ? 00:00:02
/usr/sbin/httpd -DHAVE_PROXY -DH
apache 4194 884 0 04:02 ? 00:00:00
/usr/sbin/httpd -DHAVE_PROXY -DH
----plus 12 mere med samme path - startet jvf belastning af wwwserver

[root@WebSrv /root]# which httpd
/usr/sbin/httpd

[root@WebSrv /root]# ls -l `which httpd` -smart !
-rwxr-xr-x 1 root root 282774 jun 19 18:28 /usr/sbin/httpd

[root@WebSrv /root]# locate httpd | grep '/httpd$'
/usr/sbin/httpd (den binære)
/usr/local/apache/httpd (dette er stien til alle mine wwwserver-roots )
/var/log/httpd
/var/cache/httpd
/var/lock/subsys/httpd (semafor?)
/etc/rc.d/init.d/httpd (start-stop)
/etc/httpd (stien til conffiler)

Håber du har en god kommentar!
hilsen finn






Lars Kongshøj (12-09-2002)
Kommentar
Fra : Lars Kongshøj


Dato : 12-09-02 18:20

CykelSmeden fra Aalborg wrote:

> Lars Kongshøj wrote:
> > CykelSmeden wrote:
> >>>>>> Hvad er det der gør at port 195 er åben:
> > Er det den rigtige httpd?
> jeg hat prøvet at telnette, men får kun et echo af det jeg taster (måske
> rammer jeg bare ikke det udløsende ;( )

Det lyder i hvert fald ikke som http-protokollen!

> [root@WebSrv /root]# ls -l `which httpd` -smart !
> -rwxr-xr-x 1 root root 282774 jun 19 18:28 /usr/sbin/httpd

Har du opgraderet din httpd 19. juni? Har du mulighed for at tjekke om
det er den httpd, du mener at have installeret?

--
Lars Kongshøj
Registrer dig som linux-bruger:
http://counter.li.org/enter-person.php

Lars Kongshøj (12-09-2002)
Kommentar
Fra : Lars Kongshøj


Dato : 12-09-02 14:11

CykelSmeden wrote:
> > >> > Hvad er det der gør at port 195 er åben:
> Nej jeg har gennemtravlet httpd.conf, på alle maskiner og greppet efter 195
> i de fleste conf-dir, så det er det der gør mig nervøs.

Prøv også at telnette til port 195 og se hvad der sker. Skriv evt. 'get
/', hvis der tilsyneladende ikke sker noget.

--
Lars Kongshøj
Registrer dig som linux-bruger:
http://counter.li.org/enter-person.php

CykelSmeden fra Aalb~ (12-09-2002)
Kommentar
Fra : CykelSmeden fra Aalb~


Dato : 12-09-02 20:54

Lars Kongshøj wrote:
> CykelSmeden wrote:
>>>>>> Hvad er det der gør at port 195 er åben:
>>>> tcp 0 0 0.0.0.0:195 0.0.0.0:* LISTEN
>>>> 884/httpd
>> Nej jeg har gennemtravlet httpd.conf, på alle maskiner og greppet
>> efter 195 i de fleste conf-dir, så det er det der gør mig nervøs.
>
> Er det den rigtige httpd?
>
> Det kan man få et hint om ved at fyre ...

Tak!
jeg hat prøvet at telnette, men får kun et echo af det jeg taster (måske
rammer jeg bare ikke det udløsende ;( )

Jeg har forsøgt at gennemskue kommandoerne, men anyhow:
[root@WebSrv /root]# ls -l /proc/884 (jeg antager det er noget med kørende
proc.)
totalt 0
-r--r--r-- 1 root root 0 sep 12 18:09 cmdline
lrwxrwxrwx 1 root root 0 sep 12 18:09 cwd -> /
-r-------- 1 root root 0 sep 12 18:09 environ
lrwxrwxrwx 1 root root 0 sep 12 18:09 exe ->
/usr/sbin/httpd
dr-x------ 2 root root 0 sep 12 18:09 fd
-r--r--r-- 1 root root 0 sep 12 18:09 maps
-rw------- 1 root root 0 sep 12 18:09 mem
lrwxrwxrwx 1 root root 0 sep 12 18:09 root -> /
-r--r--r-- 1 root root 0 sep 12 18:09 stat
-r--r--r-- 1 root root 0 sep 12 18:09 statm
-r--r--r-- 1 root root 0 sep 12 18:09 status

[root@WebSrv /root]# cat /proc/884/cmdline (sort snak
/usr/sbin/httpd-DHAVE_PROXY-DHAVE_ACCESS-DHAVE_ACTIONS-DHAVE_ALIAS-DHAVE_ASI
S-DHAVE_AUTH-DHAVE_AUTH_ANON-DHAVE_AUTH_DB-DHAVE_AUTH_DBM-DHAVE_AUTOINDEX-DH
AVE_BANDWIDTH-DHAVE_CERN_META-DHAVE_CGI-DHAVE_SSL-DHAVE_DIGEST-DHAVE_DIR-DHA
VE_ENV-DHAVE_EXAMPLE-DHAVE_EXPIRES-DHAVE_HEADERS-DHAVE_IMAP-DHAVE_INCLUDE-DH
AVE_INFO-DHAVE_LOG_AGENT-DHAVE_LOG_CONFIG-DHAVE_LOG_REFERER-DHAVE_MIME-DHAVE
_MIME_MAGIC-DHAVE_MMAP_STATIC-DHAVE_NEGOTIATION-DHAVE_PUT-DHAVE_REWRITE-DHAV
E_SETENVIF-DHAVE_SPELING-DHAVE_STATUS-DHAVE_THROTTLE-DHAVE_UNIQUE_ID-DHAVE_U
SERDIR-DHAVE_USERTRACK-DHAVE_VHOST_ALIAS-DHAVE_DAV-DHAVE_PERL-DHAVE_PHP4[roo
t@WebSrv /root]#

[root@WebSrv /root]# ps -ef | grep '[h]ttpd'
root 884 1 0 Sep10 ? 00:00:02
/usr/sbin/httpd -DHAVE_PROXY -DH
apache 4194 884 0 04:02 ? 00:00:00
/usr/sbin/httpd -DHAVE_PROXY -DH
----plus 12 mere med samme path - startet jvf belastning af wwwserver

[root@WebSrv /root]# which httpd
/usr/sbin/httpd

[root@WebSrv /root]# ls -l `which httpd` -smart !
-rwxr-xr-x 1 root root 282774 jun 19 18:28 /usr/sbin/httpd

[root@WebSrv /root]# locate httpd | grep '/httpd$'
/usr/sbin/httpd (den binære)
/usr/local/apache/httpd (dette er stien til alle mine wwwserver-roots )
/var/log/httpd
/var/cache/httpd
/var/lock/subsys/httpd (semafor?)
/etc/rc.d/init.d/httpd (start-stop)
/etc/httpd (stien til conffiler)

Håber du har en god kommentar!
hilsen finn





Rasmus Bøg Hansen (12-09-2002)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 12-09-02 21:17

CykelSmeden fra Aalborg wrote:

> [root@WebSrv /root]# ls -l `which httpd` -smart !
> -rwxr-xr-x 1 root root 282774 jun 19 18:28 /usr/sbin/httpd

Som nævnt andetsteds: Er den installeret/geninstalleret d. 19. juni? Hvad
siger 'rpm -V apache'?

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
42.3454% of statistics are completely made up
- Matt Benneke
----------------------------------[ moffe at amagerkollegiet dot dk ] --

CykelSmeden fra Aalb~ (12-09-2002)
Kommentar
Fra : CykelSmeden fra Aalb~


Dato : 12-09-02 21:42

Rasmus Bøg Hansen wrote:
> CykelSmeden fra Aalborg wrote:
>
>> [root@WebSrv /root]# ls -l `which httpd` -smart !
>> -rwxr-xr-x 1 root root 282774 jun 19 18:28
>> /usr/sbin/httpd
>
> Som nævnt andetsteds: Er den installeret/geninstalleret d. 19. juni?
> Hvad siger 'rpm -V apache'?
>
Undskyld, det spørgsmål havde jeg ikke set men:

Nej helt sikkert ikke, men for en 4 dage siden.
det andet er mere underligt:
[root@WebSrv /root]# rpm -V apache
S.5....T c /etc/httpd/conf/httpd.conf

og den anden endnu værre:
[root@service /root]# rpm -V apache
S.5....T c /etc/httpd/conf/access.conf
S.5....T c /etc/httpd/conf/httpd.conf
........T c /etc/httpd/conf/magic
S.5....T c /etc/httpd/conf/srm.conf
.....L... /etc/httpd/modules
S.5....T c /etc/logrotate.d/apache
S.5....T c /etc/rc.d/init.d/httpd
........T /usr/bin/dbmmanage
.....
++++++++ca 20 filer
.....
S.5....T d /usr/share/man/man8/suexec.8.gz
.......G. /var/cache/httpd
........T c /var/www/html/index.html
........T /var/www/html/poweredby.png




Lars Kongshøj (12-09-2002)
Kommentar
Fra : Lars Kongshøj


Dato : 12-09-02 22:51

CykelSmeden fra Aalborg wrote:
> Rasmus Bøg Hansen wrote:
> > Som nævnt andetsteds: Er den installeret/geninstalleret d. 19. juni?
> > Hvad siger 'rpm -V apache'?
> Nej helt sikkert ikke, men for en 4 dage siden.

Hvor har du apache-pakken fra og hvilken version er det?

--
Lars Kongshøj
Registrer dig som linux-bruger:
http://counter.li.org/enter-person.php

CykelSmeden fra Aalb~ (13-09-2002)
Kommentar
Fra : CykelSmeden fra Aalb~


Dato : 13-09-02 00:04

Lars Kongshøj wrote:
> CykelSmeden fra Aalborg wrote:
>> Rasmus Bøg Hansen wrote:
>>> Som nævnt andetsteds: Er den installeret/geninstalleret d. 19. juni?
>>> Hvad siger 'rpm -V apache'? Nej helt sikkert ikke, men for en 4
>>> dage siden.
>
> Hvor har du apache-pakken fra og hvilken version er det?
[root@service /root]# /usr/sbin/httpd -v
Server version: Apache/1.3.22 (Unix) (Red-Hat/Linux)
Server built: Jun 19 2002 12:27:54

hentet med up2date

finn





Lars Kongshøj (13-09-2002)
Kommentar
Fra : Lars Kongshøj


Dato : 13-09-02 00:12

CykelSmeden fra Aalborg wrote:
> [root@service /root]# /usr/sbin/httpd -v
> Server version: Apache/1.3.22 (Unix) (Red-Hat/Linux)
> Server built: Jun 19 2002 12:27:54

Du skal være opmærksom på at den nuværende apache-version er 1.3.26, og
at denne blev frigivet pga. sikkerhedshuller i de tidligere versioner.
Det er dog muligt at den pakke, du har hentet er patchet så den også er
sikker.

--
Lars Kongshøj
Registrer dig som linux-bruger:
http://counter.li.org/enter-person.php

Peter Brodersen (13-09-2002)
Kommentar
Fra : Peter Brodersen


Dato : 13-09-02 00:59

On Fri, 13 Sep 2002 01:11:41 +0200, Lars Kongshøj
<lars_kongshoj@hotmail.com> wrote:

>Det er dog muligt at den pakke, du har hentet er patchet så den også er
>sikker.

Hvis man har up2date't under RedHat, tyder alt på at man har fået en
patchet udgave af Apache 1.3.22, der er sikker imod det hul.

--
- Peter Brodersen

Rasmus Bøg Hansen (13-09-2002)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 13-09-02 00:01

CykelSmeden fra Aalborg wrote:

>> Hvad siger 'rpm -V apache'?
>>
> Undskyld, det spørgsmål havde jeg ikke set men:

Det var heller ikke stillet tidligere

> [root@service /root]# rpm -V apache
> S.5....T c /etc/httpd/conf/access.conf
> S.5....T c /etc/httpd/conf/httpd.conf
> .......T c /etc/httpd/conf/magic
> S.5....T c /etc/httpd/conf/srm.conf
> ....L... /etc/httpd/modules
> S.5....T c /etc/logrotate.d/apache
> S.5....T c /etc/rc.d/init.d/httpd

Intet unaturligt i at konfigurationsfilerne er ændret.

> .......T /usr/bin/dbmmanage
>
> ++++++++ca 20 filer

Kan httpd være en af disse? Er den ændret?

> ....
> S.5....T d /usr/share/man/man8/suexec.8.gz
> ......G. /var/cache/httpd
> .......T c /var/www/html/index.html
> .......T /var/www/html/poweredby.png

Heller ikke noget galt i at disse er ændret.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Military Justice is to Justice, what Military Music is to Music.
-- Groucho Marx
----------------------------------[ moffe at amagerkollegiet dot dk ] --

CykelSmeden fra Aalb~ (13-09-2002)
Kommentar
Fra : CykelSmeden fra Aalb~


Dato : 13-09-02 00:49

Rasmus Bøg Hansen wrote:
> CykelSmeden fra Aalborg wrote:
>
>>> Hvad siger 'rpm -V apache'?
>>> Undskyld, det spørgsmål havde jeg ikke set men:
>
> Det var heller ikke stillet tidligere
>
>> [root@service /root]# rpm -V apache
>> S.5....T c /etc/httpd/conf/access.conf
>
> Heller ikke noget galt i at disse er ændret.

Hov, jeg kendte ikke -V optionen, og fokuserede på >> S.5....T som jeg
syntes så underlig ud.

Jeg forsøgte iøvrigt at lægge en
-A input -s 0/0 -d 0/0 195 -p all -y -j REJECT
i ipchains for at lukke porten indtil jeg ved hvad som foregår.
den virkede på den ene maskine men ikke den anden


> /Rasmus



Peter Jensen (13-09-2002)
Kommentar
Fra : Peter Jensen


Dato : 13-09-02 07:52

CykelSmeden fra Aalborg <outlook@acnord.SLET.dk> scribbled:

[Snip]

> Jeg forsøgte iøvrigt at lægge en
> -A input -s 0/0 -d 0/0 195 -p all -y -j REJECT
> i ipchains for at lukke porten indtil jeg ved hvad som foregår.
> den virkede på den ene maskine men ikke den anden

Har du ikke en firewall regel til at droppe alt der ikke bliver specifikt
tilladt? Det lyder lidt farligt, når man ikke har styr på éns services ...

--
PeKaJe



Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408877
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste