2
Offene Ports auf W2k3 - Dienste?
Ein Portscan zeigt mir an, dass folgende Ports auf dem W2k3-Server offen sind...
Hallo !
Da unser W2k3-Server zur Zeit sehr oft selbständig rebootet, hab ich mal einen Portscan mit Nmap von einer Linux-Kiste aus gemacht. Folgendes kam dabei heraus:
PORT STATE SERVICE
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1041/tcp open unknown
1042/tcp open unknown
1043/tcp open unknown
3389/tcp open ms-term-serv
8138/tcp open unknown
PORT STATE SERVICE
123/udp open|filtered ntp
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
445/udp open|filtered microsoft-ds
500/udp open|filtered isakmp
1025/udp open|filtered blackjack
1026/udp open|filtered unknown
1037/udp open|filtered unknown
2147/udp open|filtered unknown
4500/udp open|filtered sae-urn
So, die meisten Ports und Dienste sind mir bekannt, es läuft ein WTS und ein WSUS. Welcher Dienst aber auf den Ports 1025. 1026, 1037, 1041, 1042, 1043, 2147, 4500 (NAT-Trav.?) und 8138 läuft, ist mir ein Rätsel.
Der Server steht in einem LAN und es besteht kein direkter Zugriff vom Internet aus auf den Server.
Hat hier jmd. evtl. einen Tip ?
Danke schonmal.
Grüssle, Stefan
Da unser W2k3-Server zur Zeit sehr oft selbständig rebootet, hab ich mal einen Portscan mit Nmap von einer Linux-Kiste aus gemacht. Folgendes kam dabei heraus:
PORT STATE SERVICE
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1041/tcp open unknown
1042/tcp open unknown
1043/tcp open unknown
3389/tcp open ms-term-serv
8138/tcp open unknown
PORT STATE SERVICE
123/udp open|filtered ntp
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
445/udp open|filtered microsoft-ds
500/udp open|filtered isakmp
1025/udp open|filtered blackjack
1026/udp open|filtered unknown
1037/udp open|filtered unknown
2147/udp open|filtered unknown
4500/udp open|filtered sae-urn
So, die meisten Ports und Dienste sind mir bekannt, es läuft ein WTS und ein WSUS. Welcher Dienst aber auf den Ports 1025. 1026, 1037, 1041, 1042, 1043, 2147, 4500 (NAT-Trav.?) und 8138 läuft, ist mir ein Rätsel.
Der Server steht in einem LAN und es besteht kein direkter Zugriff vom Internet aus auf den Server.
Hat hier jmd. evtl. einen Tip ?
Danke schonmal.
Grüssle, Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 31809
Url: https://administrator.de/contentid/31809
Printed on: April 26, 2024 at 19:04 o'clock
2 Comments
Latest comment
ja, hab ich fuer dich:
port 1025 tcp/udp - blackjack - network blackjack
wird aber auch benutzt von: Remote Storm, ABCHlp, Lala, W32.Spybot, W32.Dasher, W32.Kiman, W32.Keco
port 1026 tcp/udp - cap - Calendar Access Protocol
port 1037 tcp/udp - ams - AMS
port 1041 tcp/udp - danf-ak2 - AK2 Product
port 1042 tcp/udp - afrog - Subnet Roaming
wird aber auch benutzt von BLA.Trojan ueber tcp
port 1043 tcp/udp - boinc-client - BOINC Client Control
port 2147 tcp/udp - lv-auth - Live Vault Authentication
port 4500 tcp/udp - ipsec-nat-t - IPsec NAT Transversal
port 8138 tcp/udp - # - nicht zugewiesen
saludos
gnarff
port 1025 tcp/udp - blackjack - network blackjack
wird aber auch benutzt von: Remote Storm, ABCHlp, Lala, W32.Spybot, W32.Dasher, W32.Kiman, W32.Keco
port 1026 tcp/udp - cap - Calendar Access Protocol
port 1037 tcp/udp - ams - AMS
port 1041 tcp/udp - danf-ak2 - AK2 Product
port 1042 tcp/udp - afrog - Subnet Roaming
wird aber auch benutzt von BLA.Trojan ueber tcp
port 1043 tcp/udp - boinc-client - BOINC Client Control
port 2147 tcp/udp - lv-auth - Live Vault Authentication
port 4500 tcp/udp - ipsec-nat-t - IPsec NAT Transversal
port 8138 tcp/udp - # - nicht zugewiesen
saludos
gnarff
1) Verwende den Befehl netstat ?ao
Netstat zeigt die die bestehenden Verbindungen an.
Mit ?a wird alles angezeigt, auch offene Ports, TCP und UDP
Mit ?o wird die PID Prozess ID angezeigt. (ein wenig Geduld bitte)
Im Taskmanager unter Prozesse, Ansicht, Spaltenauswählen, PID aktivieren.
Ungewöhnliche Prozesse bei Google suchen.
2) Empfehlenswert ist auch der Process Explorer von www.sysinternals.com. Sieht ähnlich aus wie der Taskmanager, zeigt aber mehr Informationen an.
3) Nach jedem Systemabsturz steht im Event log ein Eintrag von ?System Error?. Im Event Viewer unter Ansicht einfach danach filtern.
Gruß Rafiki
Netstat zeigt die die bestehenden Verbindungen an.
Mit ?a wird alles angezeigt, auch offene Ports, TCP und UDP
Mit ?o wird die PID Prozess ID angezeigt. (ein wenig Geduld bitte)
Im Taskmanager unter Prozesse, Ansicht, Spaltenauswählen, PID aktivieren.
Ungewöhnliche Prozesse bei Google suchen.
2) Empfehlenswert ist auch der Process Explorer von www.sysinternals.com. Sieht ähnlich aus wie der Taskmanager, zeigt aber mehr Informationen an.
3) Nach jedem Systemabsturz steht im Event log ein Eintrag von ?System Error?. Im Event Viewer unter Ansicht einfach danach filtern.
Gruß Rafiki