.titleBar { margin-bottom: 5px!important; }

TCP port 1011 offen - wozu ?

Dieses Thema im Forum "FRITZ!Box Fon: Telefonie" wurde erstellt von Zoidberg-DU, 7 Okt. 2004.

  1. Zoidberg-DU

    Zoidberg-DU Neuer User

    Registriert seit:
    17 Sep. 2004
    Beiträge:
    70
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo

    ich hab mal nen portscan gegen die Fritz!Fon laufen lassen - port 80 und 1011 haben geantwortet.
    Hat jemand ne idee, welcher service da drauf läuft ?

    Ciao
     
  2. udosw

    udosw Aktives Mitglied

    Registriert seit:
    20 März 2004
    Beiträge:
    1,114
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Hannover
    Ist mir auch schon aufgefallen. Google mal nach "Port 1011". Demnach scheint ein bestimmter Trojaner gerne diesen Port zu misbrauchen. Ein offizieller Dienst ist aber anscheinend nicht dafür definiert.

    Sehr seltsam ... :shock:

    Udo
     
  3. Elmo

    Elmo Mitglied

    Registriert seit:
    8 Sep. 2004
    Beiträge:
    313
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Hattingen
    Öhm, wie habt ihr das bitteschön getestet?!?

    Meine Box ist auf Port 1011 dicht! Habt ihr eventuell irgendwelche Dienste in der Firewall frei geschaltet? Oder gar bei "Änderungen der Sicherheitseinstellungen über UPnP gestatten" einen Haken gemacht?!? Wenn ihr euch dann was einfangt, kann sich der Wurm dann selber die Firewall freischalten.... Auch nicht schlecht. von diesem UPnP halte ich eh nix.

    Testet mal dort:
    http://check.lfd.niedersachsen.de/start.php
    Ist auf der Seite des Landesschutzbeauftragten des Landes Niedersachsen. Wird unter anderem auch von Heise empfohlen, um den Rechner zu testen. Und meine Box ist wasserdicht. Ich habe den Test mal durchlaufen lassen....

    Aber Achtung! Wenn ihr einen Portscan macht, testet KLEINE Bereiche. Das kann Stunden dauern!!! Und macht bei "Timeout verwenden" einen Haken, sonst antwortet die Box nicht mehr - schlaue Box. ;) Startet den Scan auf einen großen Bereich erst, wenn ihr euch gerade eingewählt habt, nicht, daß die Box mitten im Test die Verbindung nach der 24h-Trennung neu aufbaut und euer Nachfolger, der eure alte IP bekommt, wundert sich dann über den Portscan. :shock:
     
  4. Zoidberg-DU

    Zoidberg-DU Neuer User

    Registriert seit:
    17 Sep. 2004
    Beiträge:
    70
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    UPnP ist komplett aus

    Telnet auf Port 1011 wird auch akzeptiert - aber solange man nicht weiss, was dahinter hängt, kann man halt auch schlecht was draus machen.

    1011 ist nicht IANA-reserviert - und das mit dem Trojaner ist glaube ich doch Zufall.

    Achso - @Elmo - 1011 ist nur von der LAN Seite aus offen - nicht vom Inet aus
     
  5. Elmo

    Elmo Mitglied

    Registriert seit:
    8 Sep. 2004
    Beiträge:
    313
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Hattingen
    Achso. Ihr redet von innen. Na, das ist ja nicht ganz so wild. Ich habe sowieso noch eine PF auf meiner Windowspartition, damit ich den raus gehenden Verkehr besser im Griff habe.

    Also ihr meint, wenn man aus dem LAN an der Box den Port 1011 anspricht, ist der offen? Vielleicht zu Servicezwecken durch AVM, wenn man die Box einschickt?

    Ich seh grad: Du hast auch SuSE9.1. Womit hast Du den Portscan denn gemacht? Is da in SuSE was enthalten?
     
  6. Zoidberg-DU

    Zoidberg-DU Neuer User

    Registriert seit:
    17 Sep. 2004
    Beiträge:
    70
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Die Suse macht bei mir nur Firewall - den scan hab ich genaugenommen mit Superscan unter Windows gemacht.
    Standardtool unter Linux ist dafür sicherlich Nmap.
     
  7. Elmo

    Elmo Mitglied

    Registriert seit:
    8 Sep. 2004
    Beiträge:
    313
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Hattingen
    Ah, alles klar. Danke!
     
  8. foschi

    foschi Guest

    noch immer Port 1011 intern offen

    Hm,

    bei meiner Box (FW 06.03.14)ist auch intern 1011 offen, aber Anfragen per Telnet lösen im IP-Datenstrom keine Antworten aus (zumindest keine die ich sehen kann). Die Frage was genau dort passiert ist ja noch nicht beantwortet; könnte mal jemand von euch mit Telnet-Zugang schauen was auf der Box auf 1011 ist?
     
  9. widovogel

    widovogel Neuer User

    Registriert seit:
    20 Nov. 2004
    Beiträge:
    1
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    - auf Anfragen mit "at" antwortet die FB mit "OK"
    - auf Anfragen mit "atd" und "atp" antwortet die FB teilweise mit "ERROR"
     
  10. haveaniceday

    haveaniceday Aktives Mitglied

    Registriert seit:
    14 Okt. 2004
    Beiträge:
    1,305
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Der Port 1011 wird von einem Prozess namens "telefon" geöffnet.
    Warum dieser Prozess diesen Port offen hat weiss ich nicht.
    Der Prozess ist jedoch mit einem anderen verbunden.
    ( leider geht "netstat -plt" nicht... Damit schau ich normalerweise unter Linux nach)

    Zusätzlich bei mir ist noch ssh und telnet offen.

    ~ # netstat -an
    Active Internet connections (servers and established)
    Proto Recv-Q Send-Q Local Address Foreign Address State
    tcp 0 0 0.0.0.0:5031 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:1011 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
    tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN
    tcp 0 0 192.168.178.1:23 192.168.178.99:1187 ESTABLISHED
    tcp 0 0 127.0.0.1:1011 127.0.0.1:1029 ESTABLISHED
    tcp 0 0 127.0.0.1:1029 127.0.0.1:1011 ESTABLISHED
    udp 0 0 0.0.0.0:1024 0.0.0.0:*
    udp 0 0 0.0.0.0:1025 0.0.0.0:*
    udp 0 0 0.0.0.0:7077 0.0.0.0:*
    udp 0 0 0.0.0.0:5031 0.0.0.0:*
    udp 0 0 0.0.0.0:53 0.0.0.0:*
    udp 0 0 0.0.0.0:5060 0.0.0.0:*
    Active UNIX domain sockets (servers and established)
    Proto RefCnt Flags Type State I-Node Path
    unix 2 [ ] DGRAM 251 /var/tmp/cm_logic.ctl
    ~ #

    Haveaniceday.


    ( Nur zur "Vollständigkeit", Port 80 ist der Webserver )

    EDIT: 0:28 Habe mal einen "Altbekannten" Modembefehl ausprobiert: AT&V

    Output:
    AT&v

    OK

    $Type: F!X_LINUX $Update: Capi $Version: 06.18.52 $Date: Oct 4 2004 $Time: 09:0
    9:41
    Wednesday 24.11.2004 0:26

    Port1 ONHOOK
    MSN1: SIP0 MSN2: SIP0 MSN3: 954778
    ext. Dialtone; CW off; 310ms Flash; SMS
    int. Ringtype; Ring on: 9, all MSN, extern off if notringtime
    NotRingStart: ; NotRingEnd:
    BC: 0x000010 (Analog); CIPMask: 0xffffffff (All); CLIP LCR
    CFoff ->
    Charge: 0

    Port2 ONHOOK
    MSN1: SIP0 MSN2: SIP0 MSN3: 954778
    ext. Dialtone; CW off; 310ms Flash; SMS
    int. Ringtype; Ring on: 9, all MSN, extern off if notringtime
    NotRingStart: ; NotRingEnd:
    BC: 0x000010 (Analog); CIPMask: 0xffffffff (All); CLIP LCR
    CFoff ->
    Charge: 0

    TimesyncNr: ; Country: -1; Only2Con; LCRVersion/Data: 3/3
    Password: 0000; AlterPasswdTry: 0; Parkcode: 1;
    Remote MSN: CID: off
    Numbers:
    701(OMA ): 05212345 702(XX ): sip:haveaniceday@somewhere.net
    Holidays:
    SIP0 Rule: 00*#0*49#*495254#5254#1#0#1##0##1#1und1#
    SIP1 Rule: #0*0#*0##1#0#1##0##1#other#
    SIP2 Rule: 00*#0*49##1#0#1#49#1#00#1#1und1#
    SIP3 Rule: 00*#0*49##1#0#1#49#1#00#1#1und1#
    SIP4 Rule: 00*#0*49##1#0#1#49#1#00#1#1und1#
    SIP5 Rule: 00*#0*49##1#0#1#49#1#00#1#1und1#
    SIP6 Rule: 00*#0*49##1#0#1#49#1#00#1#1und1#
    SIP7 Rule: 00*#0*49##1#0#1#49#1#00#1#1und1#
    SIP8 Rule: 00*#0*49##1#0#1#49#1#00#1#1und1#
    SIP9 Rule: 00*#0*49##1#0#1#49#1#00#1#1und1#
    CF at PBX:
     
  11. pfeffer

    pfeffer Mitglied

    Registriert seit:
    26 Okt. 2004
    Beiträge:
    755
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    moment... er reagiert auf at mit OK....gleichmal rumprobiert:
    atd**2
    wählt die Nembenstelle 2, sie klingelt. Hebt man dort ab, klingelt Nebenstelle 1, wird auch dort abgenommen, wird eine Verbindung zwischen Nebenstelle 1 und 2 hergestellt.
    Das wählen von Internetrufnummern geht auch Problemlos
    atd02115800XX
    wählt z.B. eine Nummer von Sipgate. Am anderen Ende klingelt das Telefon. Hebt der so angerufene ab, erhält er ein Tuuut-tuut für "bei der Gegenstelle klingelt das Telefon" und an der Nebenstelle 1 der Fritzbox fängt das Telefon an zu klingeln. Wird auch dort abgenommen, so wird eine normale Sprachverbindung zwischen Nebenstelle 1 und der gewählten Nummer hergestellt.
    Jetzt muss man noch etwas herum experimentieren, damit man noch steuern kann, von welcher Nebenstelle aus die Verbindung hergestellt werden soll.
    Dann dürfte es nicht mehr schwierig sein, ein (mini-)TAPI-Interface zu programmieren, so dass man aus jeder TAPI-kompatiblen Windowsanwendung heraus telefonieren kann. (Kann ich nicht)
    übrigens: wenn man einmal atd eingegeben hat, leuchtet bei mir die LED für "Internet". Schickt man jetzt einen weiteren atd Befhel erhält man "ERROR" als Antwort. Man muss erst noch ein "ath" (=Auflegen) senden, dann geht auch wieder "atd".
    Achtung: Es funktioniert bei mir nur, wenn keine Leerzeichen oder sonstiges eingegeben werden. Also z.B. nicht "atd 08001507090", sondern "atd08001507090"

    Gruß,
    Pfeffer.
     
  12. rootgar

    rootgar Neuer User

    Registriert seit:
    3 Sep. 2004
    Beiträge:
    47
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    yo atd0170xxxusw. geht. handy klingelt.
    wenn die fbf jetzt noch ein faxmodem drinn hätte und man einen treiber hätte der via tcp/ip port 1011 eine verbindung auf dem rechner einrichten kann...lanfax... *träum* ja ok wird wohl nicht drinn sein... ;-)
    aber vielleicht kann man das wirklich als wahlhilfe nutzen!
    für mich nicht soo interessant, aber vielleicht für andere nützlich.

    Mfg,
    [NAV]Rootgar
     
  13. rollo

    rollo IPPF-Promi

    Registriert seit:
    5 Juli 2004
    Beiträge:
    8,278
    Zustimmungen:
    1
    Punkte für Erfolge:
    38
    Ort:
    JO30SK
    Bei der WLAN scheint der Port nicht offen zu sein, kann bei mir nichts entdecken.

    jo