---

Hvad er det der gør at port 195 er åben:
195/tcp open dn6-nlm-aud

hvor lukker jeg den?

finn

redhat 7.1 intl

---

CykelSmeden wrote:

> Hvad er det der gør at port 195 er åben:
> 195/tcp open dn6-nlm-aud

Svaert at sige uden mere information - hvad siger 'netstat -antp'? lsof?

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
cat complaints > /dev/null
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

"Rasmus Bøg Hansen" <moffe47@hotmail.com> wrote in message
news:alpuve$3lt$2@carlsberg.amagerkollegiet.dk...
> CykelSmeden wrote:
>
> > Hvad er det der gør at port 195 er åben:
> > 195/tcp open dn6-nlm-aud
>
> Svaert at sige uden mere information - hvad siger 'netstat -antp'? lsof?

Tak!

tcp 0 0 0.0.0.0:195 0.0.0.0:* LISTEN
884/httpd

jeg ved ikke om det altid har været tilfældet, men det gælder alle 3
maskiner

finn

---

CykelSmeden wrote:

>> > Hvad er det der gør at port 195 er åben:

> tcp 0 0 0.0.0.0:195 0.0.0.0:* LISTEN
> 884/httpd

Det er vist ikke noget httpd plejer at goere - heller ikke paa RedHat 7.1.
Mon ikke du har faaet konfigureret den til det med Listen el. lign. - eller
maaske et indlaest modul?

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
\ / ASCII ribbon campaign
X against HTML mail
/ \
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

"Rasmus Bøg Hansen" <moffe47@hotmail.com> wrote in message
news:alq1dm$5f3$2@carlsberg.amagerkollegiet.dk...
> CykelSmeden wrote:
>
> >> > Hvad er det der gør at port 195 er åben:
>
> > tcp 0 0 0.0.0.0:195 0.0.0.0:*
LISTEN
> > 884/httpd
>
> Det er vist ikke noget httpd plejer at goere - heller ikke paa RedHat 7.1.
> Mon ikke du har faaet konfigureret den til det med Listen el. lign. -
eller
> maaske et indlaest modul?
>
> /Rasmus

Nej jeg har gennemtravlet httpd.conf, på alle maskiner og greppet efter 195
i de fleste conf-dir, så det er det der gør mig nervøs.
finn

---

CykelSmeden wrote:
> > >> > Hvad er det der gør at port 195 er åben:
> > > tcp 0 0 0.0.0.0:195 0.0.0.0:*
> LISTEN
> > > 884/httpd
> Nej jeg har gennemtravlet httpd.conf, på alle maskiner og greppet efter 195
> i de fleste conf-dir, så det er det der gør mig nervøs.

Er det den rigtige httpd?

Det kan man få et hint om ved at fyre nedenstående kommandoer:
ls -l /proc/884
cat /proc/884/cmdline
ps -ef | grep '[h]ttpd'
which httpd
ls -l `which httpd`
locate httpd | grep '/httpd$'

--
Lars Kongshøj
Registrer dig som linux-bruger:
http://counter.li.org/enter-person.php

---

Lars Kongshøj wrote:
> CykelSmeden wrote:
>>>>>> Hvad er det der gør at port 195 er åben:
>>>> tcp 0 0 0.0.0.0:195 0.0.0.0:* LISTEN
>>>> 884/httpd
>> Nej jeg har gennemtravlet httpd.conf, på alle maskiner og greppet
>> efter 195 i de fleste conf-dir, så det er det der gør mig nervøs.
>
> Er det den rigtige httpd?
>
> Det kan man få et hint om ved at fyre ...

Tak!
jeg hat prøvet at telnette, men får kun et echo af det jeg taster (måske
rammer jeg bare ikke det udløsende ;( )

Jeg har forsøgt at gennemskue kommandoerne, men anyhow:
[root@WebSrv /root]# ls -l /proc/884 (jeg antager det er noget med kørende
proc.)
totalt 0
-r--r--r-- 1 root root 0 sep 12 18:09 cmdline
lrwxrwxrwx 1 root root 0 sep 12 18:09 cwd -> /
-r-------- 1 root root 0 sep 12 18:09 environ
lrwxrwxrwx 1 root root 0 sep 12 18:09 exe ->
/usr/sbin/httpd
dr-x------ 2 root root 0 sep 12 18:09 fd
-r--r--r-- 1 root root 0 sep 12 18:09 maps
-rw------- 1 root root 0 sep 12 18:09 mem
lrwxrwxrwx 1 root root 0 sep 12 18:09 root -> /
-r--r--r-- 1 root root 0 sep 12 18:09 stat
-r--r--r-- 1 root root 0 sep 12 18:09 statm
-r--r--r-- 1 root root 0 sep 12 18:09 status

[root@WebSrv /root]# cat /proc/884/cmdline (sort snak
/usr/sbin/httpd-DHAVE_PROXY-DHAVE_ACCESS-DHAVE_ACTIONS-DHAVE_ALIAS-DHAVE_ASI
S-DHAVE_AUTH-DHAVE_AUTH_ANON-DHAVE_AUTH_DB-DHAVE_AUTH_DBM-DHAVE_AUTOINDEX-DH
AVE_BANDWIDTH-DHAVE_CERN_META-DHAVE_CGI-DHAVE_SSL-DHAVE_DIGEST-DHAVE_DIR-DHA
VE_ENV-DHAVE_EXAMPLE-DHAVE_EXPIRES-DHAVE_HEADERS-DHAVE_IMAP-DHAVE_INCLUDE-DH
AVE_INFO-DHAVE_LOG_AGENT-DHAVE_LOG_CONFIG-DHAVE_LOG_REFERER-DHAVE_MIME-DHAVE
_MIME_MAGIC-DHAVE_MMAP_STATIC-DHAVE_NEGOTIATION-DHAVE_PUT-DHAVE_REWRITE-DHAV
E_SETENVIF-DHAVE_SPELING-DHAVE_STATUS-DHAVE_THROTTLE-DHAVE_UNIQUE_ID-DHAVE_U
SERDIR-DHAVE_USERTRACK-DHAVE_VHOST_ALIAS-DHAVE_DAV-DHAVE_PERL-DHAVE_PHP4[roo
t@WebSrv /root]#

[root@WebSrv /root]# ps -ef | grep '[h]ttpd'
root 884 1 0 Sep10 ? 00:00:02
/usr/sbin/httpd -DHAVE_PROXY -DH
apache 4194 884 0 04:02 ? 00:00:00
/usr/sbin/httpd -DHAVE_PROXY -DH
----plus 12 mere med samme path - startet jvf belastning af wwwserver

[root@WebSrv /root]# which httpd
/usr/sbin/httpd

[root@WebSrv /root]# ls -l `which httpd` -smart !
-rwxr-xr-x 1 root root 282774 jun 19 18:28 /usr/sbin/httpd

[root@WebSrv /root]# locate httpd | grep '/httpd$'
/usr/sbin/httpd (den binære)
/usr/local/apache/httpd (dette er stien til alle mine wwwserver-roots )
/var/log/httpd
/var/cache/httpd
/var/lock/subsys/httpd (semafor?)
/etc/rc.d/init.d/httpd (start-stop)
/etc/httpd (stien til conffiler)

Håber du har en god kommentar!
hilsen finn

---

CykelSmeden fra Aalborg wrote:

> Lars Kongshøj wrote:
> > CykelSmeden wrote:
> >>>>>> Hvad er det der gør at port 195 er åben:
> > Er det den rigtige httpd?
> jeg hat prøvet at telnette, men får kun et echo af det jeg taster (måske
> rammer jeg bare ikke det udløsende ;( )

Det lyder i hvert fald ikke som http-protokollen!

> [root@WebSrv /root]# ls -l `which httpd` -smart !
> -rwxr-xr-x 1 root root 282774 jun 19 18:28 /usr/sbin/httpd

Har du opgraderet din httpd 19. juni? Har du mulighed for at tjekke om
det er den httpd, du mener at have installeret?

--
Lars Kongshøj
Registrer dig som linux-bruger:
http://counter.li.org/enter-person.php

---

CykelSmeden wrote:
> > >> > Hvad er det der gør at port 195 er åben:
> Nej jeg har gennemtravlet httpd.conf, på alle maskiner og greppet efter 195
> i de fleste conf-dir, så det er det der gør mig nervøs.

Prøv også at telnette til port 195 og se hvad der sker. Skriv evt. 'get
/', hvis der tilsyneladende ikke sker noget.

--
Lars Kongshøj
Registrer dig som linux-bruger:
http://counter.li.org/enter-person.php

---

Lars Kongshøj wrote:
> CykelSmeden wrote:
>>>>>> Hvad er det der gør at port 195 er åben:
>>>> tcp 0 0 0.0.0.0:195 0.0.0.0:* LISTEN
>>>> 884/httpd
>> Nej jeg har gennemtravlet httpd.conf, på alle maskiner og greppet
>> efter 195 i de fleste conf-dir, så det er det der gør mig nervøs.
>
> Er det den rigtige httpd?
>
> Det kan man få et hint om ved at fyre ...

Tak!
jeg hat prøvet at telnette, men får kun et echo af det jeg taster (måske
rammer jeg bare ikke det udløsende ;( )

Jeg har forsøgt at gennemskue kommandoerne, men anyhow:
[root@WebSrv /root]# ls -l /proc/884 (jeg antager det er noget med kørende
proc.)
totalt 0
-r--r--r-- 1 root root 0 sep 12 18:09 cmdline
lrwxrwxrwx 1 root root 0 sep 12 18:09 cwd -> /
-r-------- 1 root root 0 sep 12 18:09 environ
lrwxrwxrwx 1 root root 0 sep 12 18:09 exe ->
/usr/sbin/httpd
dr-x------ 2 root root 0 sep 12 18:09 fd
-r--r--r-- 1 root root 0 sep 12 18:09 maps
-rw------- 1 root root 0 sep 12 18:09 mem
lrwxrwxrwx 1 root root 0 sep 12 18:09 root -> /
-r--r--r-- 1 root root 0 sep 12 18:09 stat
-r--r--r-- 1 root root 0 sep 12 18:09 statm
-r--r--r-- 1 root root 0 sep 12 18:09 status

[root@WebSrv /root]# cat /proc/884/cmdline (sort snak
/usr/sbin/httpd-DHAVE_PROXY-DHAVE_ACCESS-DHAVE_ACTIONS-DHAVE_ALIAS-DHAVE_ASI
S-DHAVE_AUTH-DHAVE_AUTH_ANON-DHAVE_AUTH_DB-DHAVE_AUTH_DBM-DHAVE_AUTOINDEX-DH
AVE_BANDWIDTH-DHAVE_CERN_META-DHAVE_CGI-DHAVE_SSL-DHAVE_DIGEST-DHAVE_DIR-DHA
VE_ENV-DHAVE_EXAMPLE-DHAVE_EXPIRES-DHAVE_HEADERS-DHAVE_IMAP-DHAVE_INCLUDE-DH
AVE_INFO-DHAVE_LOG_AGENT-DHAVE_LOG_CONFIG-DHAVE_LOG_REFERER-DHAVE_MIME-DHAVE
_MIME_MAGIC-DHAVE_MMAP_STATIC-DHAVE_NEGOTIATION-DHAVE_PUT-DHAVE_REWRITE-DHAV
E_SETENVIF-DHAVE_SPELING-DHAVE_STATUS-DHAVE_THROTTLE-DHAVE_UNIQUE_ID-DHAVE_U
SERDIR-DHAVE_USERTRACK-DHAVE_VHOST_ALIAS-DHAVE_DAV-DHAVE_PERL-DHAVE_PHP4[roo
t@WebSrv /root]#

[root@WebSrv /root]# ps -ef | grep '[h]ttpd'
root 884 1 0 Sep10 ? 00:00:02
/usr/sbin/httpd -DHAVE_PROXY -DH
apache 4194 884 0 04:02 ? 00:00:00
/usr/sbin/httpd -DHAVE_PROXY -DH
----plus 12 mere med samme path - startet jvf belastning af wwwserver

[root@WebSrv /root]# which httpd
/usr/sbin/httpd

[root@WebSrv /root]# ls -l `which httpd` -smart !
-rwxr-xr-x 1 root root 282774 jun 19 18:28 /usr/sbin/httpd

[root@WebSrv /root]# locate httpd | grep '/httpd$'
/usr/sbin/httpd (den binære)
/usr/local/apache/httpd (dette er stien til alle mine wwwserver-roots )
/var/log/httpd
/var/cache/httpd
/var/lock/subsys/httpd (semafor?)
/etc/rc.d/init.d/httpd (start-stop)
/etc/httpd (stien til conffiler)

Håber du har en god kommentar!
hilsen finn

---

CykelSmeden fra Aalborg wrote:

> [root@WebSrv /root]# ls -l `which httpd` -smart !
> -rwxr-xr-x 1 root root 282774 jun 19 18:28 /usr/sbin/httpd

Som nævnt andetsteds: Er den installeret/geninstalleret d. 19. juni? Hvad
siger 'rpm -V apache'?

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
42.3454% of statistics are completely made up
- Matt Benneke
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote:
> CykelSmeden fra Aalborg wrote:
>
>> [root@WebSrv /root]# ls -l `which httpd` -smart !
>> -rwxr-xr-x 1 root root 282774 jun 19 18:28
>> /usr/sbin/httpd
>
> Som nævnt andetsteds: Er den installeret/geninstalleret d. 19. juni?
> Hvad siger 'rpm -V apache'?
>
Undskyld, det spørgsmål havde jeg ikke set men:

Nej helt sikkert ikke, men for en 4 dage siden.
det andet er mere underligt:
[root@WebSrv /root]# rpm -V apache
S.5....T c /etc/httpd/conf/httpd.conf

og den anden endnu værre:
[root@service /root]# rpm -V apache
S.5....T c /etc/httpd/conf/access.conf
S.5....T c /etc/httpd/conf/httpd.conf
........T c /etc/httpd/conf/magic
S.5....T c /etc/httpd/conf/srm.conf
.....L... /etc/httpd/modules
S.5....T c /etc/logrotate.d/apache
S.5....T c /etc/rc.d/init.d/httpd
........T /usr/bin/dbmmanage
.....
++++++++ca 20 filer
.....
S.5....T d /usr/share/man/man8/suexec.8.gz
.......G. /var/cache/httpd
........T c /var/www/html/index.html
........T /var/www/html/poweredby.png

---

CykelSmeden fra Aalborg wrote:
> Rasmus Bøg Hansen wrote:
> > Som nævnt andetsteds: Er den installeret/geninstalleret d. 19. juni?
> > Hvad siger 'rpm -V apache'?
> Nej helt sikkert ikke, men for en 4 dage siden.

Hvor har du apache-pakken fra og hvilken version er det?

--
Lars Kongshøj
Registrer dig som linux-bruger:
http://counter.li.org/enter-person.php

---

Lars Kongshøj wrote:
> CykelSmeden fra Aalborg wrote:
>> Rasmus Bøg Hansen wrote:
>>> Som nævnt andetsteds: Er den installeret/geninstalleret d. 19. juni?
>>> Hvad siger 'rpm -V apache'? Nej helt sikkert ikke, men for en 4
>>> dage siden.
>
> Hvor har du apache-pakken fra og hvilken version er det?
[root@service /root]# /usr/sbin/httpd -v
Server version: Apache/1.3.22 (Unix) (Red-Hat/Linux)
Server built: Jun 19 2002 12:27:54

hentet med up2date

finn

---

CykelSmeden fra Aalborg wrote:
> [root@service /root]# /usr/sbin/httpd -v
> Server version: Apache/1.3.22 (Unix) (Red-Hat/Linux)
> Server built: Jun 19 2002 12:27:54

Du skal være opmærksom på at den nuværende apache-version er 1.3.26, og
at denne blev frigivet pga. sikkerhedshuller i de tidligere versioner.
Det er dog muligt at den pakke, du har hentet er patchet så den også er
sikker.

--
Lars Kongshøj
Registrer dig som linux-bruger:
http://counter.li.org/enter-person.php

---

On Fri, 13 Sep 2002 01:11:41 +0200, Lars Kongshøj
<lars_kongshoj@hotmail.com> wrote:

>Det er dog muligt at den pakke, du har hentet er patchet så den også er
>sikker.

Hvis man har up2date't under RedHat, tyder alt på at man har fået en
patchet udgave af Apache 1.3.22, der er sikker imod det hul.

--
- Peter Brodersen

---

CykelSmeden fra Aalborg wrote:

>> Hvad siger 'rpm -V apache'?
>>
> Undskyld, det spørgsmål havde jeg ikke set men:

Det var heller ikke stillet tidligere

> [root@service /root]# rpm -V apache
> S.5....T c /etc/httpd/conf/access.conf
> S.5....T c /etc/httpd/conf/httpd.conf
> .......T c /etc/httpd/conf/magic
> S.5....T c /etc/httpd/conf/srm.conf
> ....L... /etc/httpd/modules
> S.5....T c /etc/logrotate.d/apache
> S.5....T c /etc/rc.d/init.d/httpd

Intet unaturligt i at konfigurationsfilerne er ændret.

> .......T /usr/bin/dbmmanage
>
> ++++++++ca 20 filer

Kan httpd være en af disse? Er den ændret?

> ....
> S.5....T d /usr/share/man/man8/suexec.8.gz
> ......G. /var/cache/httpd
> .......T c /var/www/html/index.html
> .......T /var/www/html/poweredby.png

Heller ikke noget galt i at disse er ændret.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Military Justice is to Justice, what Military Music is to Music.
-- Groucho Marx
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote:
> CykelSmeden fra Aalborg wrote:
>
>>> Hvad siger 'rpm -V apache'?
>>> Undskyld, det spørgsmål havde jeg ikke set men:
>
> Det var heller ikke stillet tidligere
>
>> [root@service /root]# rpm -V apache
>> S.5....T c /etc/httpd/conf/access.conf
>
> Heller ikke noget galt i at disse er ændret.

Hov, jeg kendte ikke -V optionen, og fokuserede på >> S.5....T som jeg
syntes så underlig ud.

Jeg forsøgte iøvrigt at lægge en
-A input -s 0/0 -d 0/0 195 -p all -y -j REJECT
i ipchains for at lukke porten indtil jeg ved hvad som foregår.
den virkede på den ene maskine men ikke den anden


> /Rasmus

---

CykelSmeden fra Aalborg <outlook@acnord.SLET.dk> scribbled:

[Snip]

> Jeg forsøgte iøvrigt at lægge en
> -A input -s 0/0 -d 0/0 195 -p all -y -j REJECT
> i ipchains for at lukke porten indtil jeg ved hvad som foregår.
> den virkede på den ene maskine men ikke den anden

Har du ikke en firewall regel til at droppe alt der ikke bliver specifikt
tilladt? Det lyder lidt farligt, når man ikke har styr på éns services ...

--
PeKaJe