servizio ipp attivo sul server

nightfly · 22-01-2008, 20:07

Salve a tutti, questa sera facendo il solito nmap di routine sul server della mia rete ho notato il servizio ipp attivo sulla porta 630 tcp. La cosa strana è che non ho stampanti condivise e tantomeno il server in questione NON è un printserver. Ora, devo temere di essere stato soggetto ad un exploit oppure potrebbe essere un aggiornamento installato che ha attivato il servizio in automatico? Come faccio ad arrestare l'ipp? Grazie. Ah dimenticavo, qui di seguito trovate l'output dell'nmap nella sua interezza:

Interesting ports on localhost (127.0.0.1):
Not shown: 1694 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
631/tcp open ipp

Gimli[2BV!2B] · 23-01-2008, 21:52

La distribuzione, si deve specificare la distribuzione... poi si potrà ipotizzare una soluzione.

nightfly · 24-01-2008, 13:39

Quote:

Originariamente inviato da Gimli[2BV!2B]

La distribuzione, si deve specificare la distribuzione... poi si potrà ipotizzare una soluzione.

Kubuntu gutsy

Gimli[2BV!2B] · 24-01-2008, 21:05

Nelle derivate di Debian credo che sia installato e attivo di default, oppure viene installato a causa di qualche dipendenza con un pacchetto molto comune.

Per intervenire "comodamente" sui servizi attivi all'avvio puoi installare ed utilizzare rcconf (non aspettarti uno spettacolo strabiliante, ma di solito funziona...):

Codice:

sudo apt-get install rcconf
sudo update-rcconf-guide
sudo rcconf

Questi tre comandi servono solo la prima volta, nell'ordine: installi, aggiorni le descrizioni dei demoni, apri l'interfaccia ncurses e fai le tue modifiche.
Se per caso il secondo comando non dovesse funzionare non c'è problema.

L'ultima volta che ho usato questo software con una *buntu mi sembra non permettesse di fare molto (credo abbiano spostato troppi init scripts rispetto alla configurazione Debian)... comunque provaci, è un programmino di dimensioni infime.

Io di solito uso quello (su Debian), ho provato anche qualche interfaccia grafica, ma non era di utilizzo così immediato.

Se non sei pratico di interfacce ncurses:

frecce ti sposti
barra spaziatrice attivi/disattivi i demoni (asteriscati = attivi, per intenderci)
con tab salti su Ok e Annulla, che attivi con invio.

Piano B: apri Synaptic cerchi se c'è qualcosa che riguarda la stampa e provi a estirparlo.

Opzione C: qualcuno ti ha fatto davvero uno scherzetto, ma il pc GNU/Linux di un comune mortale non dovrebbe valere lo sbattimento di violarlo...

Ultima spiaggia: se proprio non c'è modo di capire da dove arriva filtra l'accesso alla porta con una regola di iptables.

Facci sapere!

22-01-2008, 20:07	#1
nightfly Senior Member Iscritto dal: Jun 2005 Città: Reggio Calabria Messaggi: 377	servizio ipp attivo sul server Salve a tutti, questa sera facendo il solito nmap di routine sul server della mia rete ho notato il servizio ipp attivo sulla porta 630 tcp. La cosa strana è che non ho stampanti condivise e tantomeno il server in questione NON è un printserver. Ora, devo temere di essere stato soggetto ad un exploit oppure potrebbe essere un aggiornamento installato che ha attivato il servizio in automatico? Come faccio ad arrestare l'ipp? Grazie. Ah dimenticavo, qui di seguito trovate l'output dell'nmap nella sua interezza: Interesting ports on localhost (127.0.0.1): Not shown: 1694 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 631/tcp open ipp __________________ Here Comes The Music Ecstasy

23-01-2008, 21:52	#2
Gimli[2BV!2B] Senior Member Iscritto dal: Feb 2006 Città: Parma Messaggi: 3010	La distribuzione, si deve specificare la distribuzione... poi si potrà ipotizzare una soluzione. __________________ ~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...)

24-01-2008, 21:05	#4
Gimli[2BV!2B] Senior Member Iscritto dal: Feb 2006 Città: Parma Messaggi: 3010	Nelle derivate di Debian credo che sia installato e attivo di default, oppure viene installato a causa di qualche dipendenza con un pacchetto molto comune. Per intervenire "comodamente" sui servizi attivi all'avvio puoi installare ed utilizzare rcconf (non aspettarti uno spettacolo strabiliante, ma di solito funziona...): Codice: sudo apt-get install rcconf sudo update-rcconf-guide sudo rcconf Questi tre comandi servono solo la prima volta, nell'ordine: installi, aggiorni le descrizioni dei demoni, apri l'interfaccia ncurses e fai le tue modifiche. Se per caso il secondo comando non dovesse funzionare non c'è problema. L'ultima volta che ho usato questo software con una buntu mi sembra non permettesse di fare molto (credo abbiano spostato troppi init scripts rispetto alla configurazione Debian)... comunque provaci, è un programmino di dimensioni infime. Io di solito uso quello (su Debian), ho provato anche qualche interfaccia grafica, ma non era di utilizzo così immediato. Se non sei pratico di interfacce ncurses: frecce* ti sposti barra spaziatrice attivi/disattivi i demoni (asteriscati = attivi, per intenderci) con tab salti su Ok e Annulla, che attivi con invio. Piano B: apri Synaptic cerchi se c'è qualcosa che riguarda la stampa e provi a estirparlo. Opzione C: qualcuno ti ha fatto davvero uno scherzetto, ma il pc GNU/Linux di un comune mortale non dovrebbe valere lo sbattimento di violarlo... Ultima spiaggia: se proprio non c'è modo di capire da dove arriva filtra l'accesso alla porta con una regola di iptables. Facci sapere! __________________ ~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...)

Strumenti
Mostra una versione stampabile Invia questa pagina per email