TCP port 1011 offen - wozu ?

[Zoidberg-DU]

Hallo

ich hab mal nen portscan gegen die Fritz!Fon laufen lassen - port 80 und 1011 haben geantwortet.
Hat jemand ne idee, welcher service da drauf läuft ?

Ciao

 

[udosw]

Ist mir auch schon aufgefallen. Google mal nach "Port 1011". Demnach scheint ein bestimmter Trojaner gerne diesen Port zu misbrauchen. Ein offizieller Dienst ist aber anscheinend nicht dafür definiert.

Sehr seltsam ... :shock:

Udo

 

[Elmo]

Öhm, wie habt ihr das bitteschön getestet?!?

Meine Box ist auf Port 1011 dicht! Habt ihr eventuell irgendwelche Dienste in der Firewall frei geschaltet? Oder gar bei "Änderungen der Sicherheitseinstellungen über UPnP gestatten" einen Haken gemacht?!? Wenn ihr euch dann was einfangt, kann sich der Wurm dann selber die Firewall freischalten.... Auch nicht schlecht. von diesem UPnP halte ich eh nix.

Testet mal dort:
http://check.lfd.niedersachsen.de/start.php
Ist auf der Seite des Landesschutzbeauftragten des Landes Niedersachsen. Wird unter anderem auch von Heise empfohlen, um den Rechner zu testen. Und meine Box ist wasserdicht. Ich habe den Test mal durchlaufen lassen....

Aber Achtung! Wenn ihr einen Portscan macht, testet KLEINE Bereiche. Das kann Stunden dauern!!! Und macht bei "Timeout verwenden" einen Haken, sonst antwortet die Box nicht mehr - schlaue Box. Startet den Scan auf einen großen Bereich erst, wenn ihr euch gerade eingewählt habt, nicht, daß die Box mitten im Test die Verbindung nach der 24h-Trennung neu aufbaut und euer Nachfolger, der eure alte IP bekommt, wundert sich dann über den Portscan. :shock:

 

[Zoidberg-DU]

UPnP ist komplett aus

Telnet auf Port 1011 wird auch akzeptiert - aber solange man nicht weiss, was dahinter hängt, kann man halt auch schlecht was draus machen.

1011 ist nicht IANA-reserviert - und das mit dem Trojaner ist glaube ich doch Zufall.

Achso - @Elmo - 1011 ist nur von der LAN Seite aus offen - nicht vom Inet aus

 

[Elmo]

Achso. Ihr redet von innen. Na, das ist ja nicht ganz so wild. Ich habe sowieso noch eine PF auf meiner Windowspartition, damit ich den raus gehenden Verkehr besser im Griff habe.

Also ihr meint, wenn man aus dem LAN an der Box den Port 1011 anspricht, ist der offen? Vielleicht zu Servicezwecken durch AVM, wenn man die Box einschickt?

Ich seh grad: Du hast auch SuSE9.1. Womit hast Du den Portscan denn gemacht? Is da in SuSE was enthalten?

 

[Zoidberg-DU]

Die Suse macht bei mir nur Firewall - den scan hab ich genaugenommen mit Superscan unter Windows gemacht.
Standardtool unter Linux ist dafür sicherlich Nmap.

 

[Elmo]

Ah, alles klar. Danke!

 

[foschi]

noch immer Port 1011 intern offen

Hm,

bei meiner Box (FW 06.03.14)ist auch intern 1011 offen, aber Anfragen per Telnet lösen im IP-Datenstrom keine Antworten aus (zumindest keine die ich sehen kann). Die Frage was genau dort passiert ist ja noch nicht beantwortet; könnte mal jemand von euch mit Telnet-Zugang schauen was auf der Box auf 1011 ist?

 

[widomattern]

- auf Anfragen mit "at" antwortet die FB mit "OK"
- auf Anfragen mit "atd" und "atp" antwortet die FB teilweise mit "ERROR"

 

[haveaniceday]

Der Port 1011 wird von einem Prozess namens "telefon" geöffnet.
Warum dieser Prozess diesen Port offen hat weiss ich nicht.
Der Prozess ist jedoch mit einem anderen verbunden.
( leider geht "netstat -plt" nicht... Damit schau ich normalerweise unter Linux nach)

Zusätzlich bei mir ist noch ssh und telnet offen.

~ # netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:5031 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:1011 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN
tcp 0 0 192.168.178.1:23 192.168.178.99:1187 ESTABLISHED
tcp 0 0 127.0.0.1:1011 127.0.0.1:1029 ESTABLISHED
tcp 0 0 127.0.0.1:1029 127.0.0.1:1011 ESTABLISHED
udp 0 0 0.0.0.0:1024 0.0.0.0:*
udp 0 0 0.0.0.0:1025 0.0.0.0:*
udp 0 0 0.0.0.0:7077 0.0.0.0:*
udp 0 0 0.0.0.0:5031 0.0.0.0:*
udp 0 0 0.0.0.0:53 0.0.0.0:*
udp 0 0 0.0.0.0:5060 0.0.0.0:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ] DGRAM 251 /var/tmp/cm_logic.ctl
~ #

Haveaniceday.


( Nur zur "Vollständigkeit", Port 80 ist der Webserver )

EDIT: 0:28 Habe mal einen "Altbekannten" Modembefehl ausprobiert: AT&V

Output:
AT&v

OK

$Type: F!X_LINUX $Update: Capi $Version: 06.18.52 $Date: Oct 4 2004 $Time: 09:0
9:41
Wednesday 24.11.2004 0:26

Port1 ONHOOK
MSN1: SIP0 MSN2: SIP0 MSN3: 954778
ext. Dialtone; CW off; 310ms Flash; SMS
int. Ringtype; Ring on: 9, all MSN, extern off if notringtime
NotRingStart: ; NotRingEnd:
BC: 0x000010 (Analog); CIPMask: 0xffffffff (All); CLIP LCR
CFoff ->
Charge: 0

Port2 ONHOOK
MSN1: SIP0 MSN2: SIP0 MSN3: 954778
ext. Dialtone; CW off; 310ms Flash; SMS
int. Ringtype; Ring on: 9, all MSN, extern off if notringtime
NotRingStart: ; NotRingEnd:
BC: 0x000010 (Analog); CIPMask: 0xffffffff (All); CLIP LCR
CFoff ->
Charge: 0

TimesyncNr: ; Country: -1; Only2Con; LCRVersion/Data: 3/3
Password: 0000; AlterPasswdTry: 0; Parkcode: 1;
Remote MSN: CID: off
Numbers:
701(OMA ): 05212345 702(XX ): sip:[email protected]
Holidays:
SIP0 Rule: 00*#0*49#*495254#5254#1#0#1##0##1#1und1#
SIP1 Rule: #0*0#*0##1#0#1##0##1#other#
SIP2 Rule: 00*#0*49##1#0#1#49#1#00#1#1und1#
SIP3 Rule: 00*#0*49##1#0#1#49#1#00#1#1und1#
SIP4 Rule: 00*#0*49##1#0#1#49#1#00#1#1und1#
SIP5 Rule: 00*#0*49##1#0#1#49#1#00#1#1und1#
SIP6 Rule: 00*#0*49##1#0#1#49#1#00#1#1und1#
SIP7 Rule: 00*#0*49##1#0#1#49#1#00#1#1und1#
SIP8 Rule: 00*#0*49##1#0#1#49#1#00#1#1und1#
SIP9 Rule: 00*#0*49##1#0#1#49#1#00#1#1und1#
CF at PBX:

 

[pfeffer]

moment... er reagiert auf at mit OK....gleichmal rumprobiert:
atd**2
wählt die Nembenstelle 2, sie klingelt. Hebt man dort ab, klingelt Nebenstelle 1, wird auch dort abgenommen, wird eine Verbindung zwischen Nebenstelle 1 und 2 hergestellt.
Das wählen von Internetrufnummern geht auch Problemlos
atd02115800XX
wählt z.B. eine Nummer von Sipgate. Am anderen Ende klingelt das Telefon. Hebt der so angerufene ab, erhält er ein Tuuut-tuut für "bei der Gegenstelle klingelt das Telefon" und an der Nebenstelle 1 der Fritzbox fängt das Telefon an zu klingeln. Wird auch dort abgenommen, so wird eine normale Sprachverbindung zwischen Nebenstelle 1 und der gewählten Nummer hergestellt.
Jetzt muss man noch etwas herum experimentieren, damit man noch steuern kann, von welcher Nebenstelle aus die Verbindung hergestellt werden soll.
Dann dürfte es nicht mehr schwierig sein, ein (mini-)TAPI-Interface zu programmieren, so dass man aus jeder TAPI-kompatiblen Windowsanwendung heraus telefonieren kann. (Kann ich nicht)
übrigens: wenn man einmal atd eingegeben hat, leuchtet bei mir die LED für "Internet". Schickt man jetzt einen weiteren atd Befhel erhält man "ERROR" als Antwort. Man muss erst noch ein "ath" (=Auflegen) senden, dann geht auch wieder "atd".
Achtung: Es funktioniert bei mir nur, wenn keine Leerzeichen oder sonstiges eingegeben werden. Also z.B. nicht "atd 08001507090", sondern "atd08001507090"

Gruß,
Pfeffer.

 

[rootgar]

yo atd0170xxxusw. geht. handy klingelt.
wenn die fbf jetzt noch ein faxmodem drinn hätte und man einen treiber hätte der via tcp/ip port 1011 eine verbindung auf dem rechner einrichten kann...lanfax... *träum* ja ok wird wohl nicht drinn sein... ;-)
aber vielleicht kann man das wirklich als wahlhilfe nutzen!
für mich nicht soo interessant, aber vielleicht für andere nützlich.

Mfg,
[NAV]Rootgar

 

[rollo]

Bei der WLAN scheint der Port nicht offen zu sein, kann bei mir nichts entdecken.

jo