решено: кем-то прослушивается порт 46218 (что запроцесс?)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модераторы: SLEDopit, Модераторы разделов

Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian

решено: кем-то прослушивается порт 46218

Сообщение McSim »

Доброго всем времени!
Сегодня ради интереса посмотрел, что за порты случаются на внутреннем (локальном) сервере и немного не понял, откуда взялся порт 46218 и что за приложение его слушает:

Код: Выделить всё

FILES ~ # ss -laptn
State      Recv-Q Send-Q                                                                    Local Address:Port                                                                      Peer Address:Port
LISTEN     0      64                                                                                    *:46218                                                                                *:*
LISTEN     0      50                                                                                    *:139                                                                                  *:*      users:(("smbd",30161,28))
LISTEN     0      128                                                                                   *:111                                                                                  *:*      users:(("rpcbind",968,8))
LISTEN     0      128                                                                                   *:22                                                                                   *:*      users:(("sshd",7128,3))
LISTEN     0      128                                                                                   *:631                                                                                  *:*      users:(("cupsd",5109,6))
ESTAB      0      0                                                                              10.0.0.2:139                                                                           10.0.0.9:2956   users:(("smbd",11712,29))
ESTAB      0      0                                                                              10.0.0.2:139                                                                           10.0.0.9:1598   users:(("smbd",25113,29))
ESTAB      0      0                                                                              10.0.0.2:139                                                                           10.0.0.9:2380   users:(("smbd",24991,29))
ESTAB      0      0                                                                              10.0.0.2:139                                                                          10.0.1.59:1289   users:(("smbd",19288,29))
ESTAB      0      0                                                                              10.0.0.2:22                                                                           10.0.0.20:63310  users:(("sshd",1557,3))
ESTAB      0      296                                                                            10.0.0.2:22                                                                           10.0.0.20:55728  users:(("sshd",12673,3))
ESTAB      0      0                                                                              10.0.0.2:53279                                                                         10.0.0.4:445    users:(("winbindd",8158,21))
ESTAB      0      0                                                                              10.0.0.2:60444                                                                         10.0.0.4:389    users:(("winbindd",8158,18))
ESTAB      0      0                                                                              10.0.0.2:139                                                                           10.0.0.9:3772   users:(("smbd",4541,29))
ESTAB      0      0                                                                              10.0.0.2:139                                                                          10.0.0.20:49299  users:(("smbd",12357,29))
ESTAB      0      0                                                                              10.0.0.2:139                                                                           10.0.0.9:3926   users:(("smbd",32573,29))
ESTAB      0      0                                                                              10.0.0.2:139                                                                           10.0.0.9:3066   users:(("smbd",28228,29))
ESTAB      0      0                                                                              10.0.0.2:36646                                                                         10.0.0.4:49156  users:(("winbindd",8158,24))
ESTAB      0      0                                                                              10.0.0.2:139                                                                           10.0.0.9:3989   users:(("smbd",16188,29))
FILES ~ #

подскажите, как определить, что за программа работает на данном порту?
Спасибо

tcpdump вроде не показывает никакой активности на порту:

Код: Выделить всё

FILES ~ # tcpdump -vvv -n host 10.0.0.2 and port 46218
tcpdump: listening on bond0, link-type EN10MB (Ethernet), capture size 65535 bytes

непонятно.... :(
Спасибо сказали:
Аватара пользователя
sgfault
Сообщения: 586
Статус: -

Re: решено: кем-то прослушивается порт 46218

Сообщение sgfault »

Может так?

Код: Выделить всё

# lsof -Pn -itcp:46218

Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu

Re: решено: кем-то прослушивается порт 46218

Сообщение serzh-z »

И "netstat -np" тоже не показывает имя процесса?

Вообще, скорее какой-нибудь временный порт, открытый службой RPC или BitTorrent-клиентом.
Спасибо сказали:
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian

Re: решено: кем-то прослушивается порт 46218

Сообщение McSim »

Спасибо за ответы!
lsof молчит

Код: Выделить всё

FILES ~ # lsof -Pn -itcp:46218
FILES ~ # lsof -i -n -P
COMMAND    PID USER   FD   TYPE   DEVICE SIZE/OFF NODE NAME
rpcbind    968 root    6u  IPv4     5227      0t0  UDP *:111
rpcbind    968 root    7u  IPv4     5230      0t0  UDP *:708
rpcbind    968 root    8u  IPv4     5231      0t0  TCP *:111 (LISTEN)
sshd      1557 root    3u  IPv4 10006106      0t0  TCP 10.0.0.2:22->10.0.0.20:63310 (ESTABLISHED)
smbd      4541 root   29u  IPv4 10023717      0t0  TCP 10.0.0.2:139->10.0.0.9:3772 (ESTABLISHED)
cupsd     5109 root    6u  IPv4 10297069      0t0  TCP *:631 (LISTEN)
sshd      7128 root    3u  IPv4    17290      0t0  TCP *:22 (LISTEN)
winbindd  8158 root   18u  IPv4 10315434      0t0  TCP 10.0.0.2:52232->10.0.0.4:389 (ESTABLISHED)
winbindd  8158 root   21u  IPv4 10006145      0t0  TCP 10.0.0.2:53279->10.0.0.4:445 (ESTABLISHED)
winbindd  8158 root   24u  IPv4 10006207      0t0  TCP 10.0.0.2:36646->10.0.0.4:49156 (ESTABLISHED)
smbd     11712 root   29u  IPv4  9605100      0t0  TCP 10.0.0.2:139->10.0.0.9:2956 (ESTABLISHED)
smbd     12357 root   29u  IPv4  9616888      0t0  TCP 10.0.0.2:139->10.0.0.20:49299 (ESTABLISHED)
sshd     12673 root    3u  IPv4  9621091      0t0  TCP 10.0.0.2:22->10.0.0.20:55728 (ESTABLISHED)
smbd     16188 root   29u  IPv4  9682565      0t0  TCP 10.0.0.2:139->10.0.0.9:3989 (ESTABLISHED)
smbd     19288 root   29u  IPv4 10243878      0t0  TCP 10.0.0.2:139->10.0.1.59:1289 (ESTABLISHED)
smbd     24991 root   29u  IPv4 10303213      0t0  TCP 10.0.0.2:139->10.0.0.9:2380 (ESTABLISHED)
smbd     25113 root   29u  IPv4  9843105      0t0  TCP 10.0.0.2:139->10.0.0.9:1598 (ESTABLISHED)
smbd     28228 root   29u  IPv4  9395286      0t0  TCP 10.0.0.2:139->10.0.0.9:3066 (ESTABLISHED)
nmbd     30158 root    9u  IPv4  6709541      0t0  UDP *:137
nmbd     30158 root   10u  IPv4  6709542      0t0  UDP *:138
nmbd     30158 root   11u  IPv4  6709544      0t0  UDP 10.0.0.2:137
nmbd     30158 root   12u  IPv4  6709545      0t0  UDP 10.0.255.255:137
nmbd     30158 root   13u  IPv4  6709546      0t0  UDP 10.0.0.2:138
nmbd     30158 root   14u  IPv4  6709547      0t0  UDP 10.0.255.255:138
smbd     30161 root   28u  IPv4  6707779      0t0  TCP *:139 (LISTEN)
smbd     32573 root   29u  IPv4  9414550      0t0  TCP 10.0.0.2:139->10.0.0.9:3926 (ESTABLISHED)

netstat тоже

Код: Выделить всё

FILES ~ # netstat -nap | grep 462
tcp        0      0 0.0.0.0:46218           0.0.0.0:*               LISTEN      -
FILES ~ #

даже если телнетом цепляюсь, то lsof все равно молчит:

Код: Выделить всё

gw ~ # telnet files 46218
Trying 10.0.0.2...
Connected to files.SAG.local.
Escape character is '^]'.

Код: Выделить всё

FILES ~ # lsof -Pn -itcp:46218
FILES ~ #

Вообще, скорее какой-нибудь временный порт, открытый службой RPC или BitTorrent-клиентом.

По поводу RPC - хорошая идея. Тут NFS работает... Хотя перезапуск этих служб не помогает:

Код: Выделить всё

FILES ~ # service rpcbind restart
Stopping rpcbind daemon....
Starting rpcbind daemon....
FILES ~ # netstat -nap | grep 462
tcp        0      0 0.0.0.0:46218           0.0.0.0:*               LISTEN      -
FILES ~ # service nfs-common restart
Stopping NFS common utilities: gssd idmapd.
Starting NFS common utilities: idmapd gssd.
FILES ~ # netstat -nap | grep 462
tcp        0      0 0.0.0.0:46218           0.0.0.0:*               LISTEN      -
Спасибо сказали:
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian

Re: решено: кем-то прослушивается порт 46218

Сообщение McSim »

запустил tcpdump,

Код: Выделить всё

FILES ~ # tcpdump -vvv -n port 46218 -w /tmp/tcpdump &> /dev/null  &
[1] 26984

посмотрю, будет ли какая-то активность по порту....
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu

Re: решено: кем-то прослушивается порт 46218

Сообщение serzh-z »

Похоже на внутриядерный NFS: http://ubuntuforums.org/showthread.php?t=923345
Спасибо сказали:
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian

Re: решено: кем-то прослушивается порт 46218

Сообщение McSim »

serzh-z писал(а):
11.02.2012 17:38
Похоже на внутриядерный NFS: http://ubuntuforums.org/showthread.php?t=923345

думаю, что не совсем оно... На данной машине только NFS клиент работает, да и rpcinfo показывает что только 111 порт занят:

Код: Выделить всё

FILES ~ # rpcinfo -p
   program vers proto   port  service
    100000    4   tcp    111  portmapper
    100000    3   tcp    111  portmapper
    100000    2   tcp    111  portmapper
    100000    4   udp    111  portmapper
    100000    3   udp    111  portmapper
    100000    2   udp    111  portmapper


Спасибо сказали:
mailman137
Сообщения: 492
ОС: Debian-based mixed

Re: решено: кем-то прослушивается порт 46218

Сообщение mailman137 »

Сегодня ради интереса посмотрел, что за порты случаются
на внутреннем (локальном) сервере и немного не понял, откуда
взялся порт 46218 и что за приложение его слушает

Вы на это только что обратили внимание (то есть раньше такого не
наблюдали)?
Выполните для очистки совести (моей):

Код: Выделить всё

unhide sys

Найдите также возможность (не создавая особых неудобств для пользователей
Вашей ЛВС) поочередно поостанавливать демонов, наблюдая при этом состояние
проблемного порта; вплоть до запрета их запуска после перезагрузки.
Думаю, это не окажется сильно неудобным и длительным делом в целях
нахождения истины.
На всякий случай можете еще цепануться к серверу на этот самый порт netcat'ом
(с другой машины) и посмотреть через lsof на сервере, будет ли это отображаться.
Уж не говоря о том, чтобы попробовать ввести при таком подключении пару команд.
Я, может, и параноик; но вряд ли Вам с удовольствием пойдет Ваше админское пиво,
покуда Вы с этим не разберетесь.
Спасибо сказали:
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian

Re: решено: кем-то прослушивается порт 46218

Сообщение McSim »

mailman137 писал(а):
12.02.2012 19:41
Вы на это только что обратили внимание (то есть раньше такого не
наблюдали)?
раньше не обращал внимания. Случайно так взбрело посмотреть :)
mailman137 писал(а):
12.02.2012 19:41
Выполните для очистки совести (моей):

Код: Выделить всё

unhide sys

За unhide - спасибо :)
что-то он обраружил, вот только что - непонятно, а самое главное как от этого избавиться...

Код: Выделить всё

FILES ~ # unhide sys
Unhide 20100201
http://www.security-projects.com/?Unhide


[*]Searching for Hidden processes through kill(..,0) scanning

[*]Searching for Hidden processes through  comparison of results of system calls

[*]Searching for Hidden processes through getpriority() scanning

[*]Searching for Hidden processes through getpgid() scanning

[*]Searching for Hidden processes through getsid() scanning

[*]Searching for Hidden processes through sched_getaffinity() scanning

[*]Searching for Hidden processes through sched_getparam() scanning

[*]Searching for Hidden processes through sched_getscheduler() scanning

[*]Searching for Hidden processes through sched_rr_get_interval() scanning

[*]Searching for Hidden processes through sysinfo() scanning

HIDDEN Processes Found: 1

mailman137 писал(а):
12.02.2012 19:41
Найдите также возможность (не создавая особых неудобств для пользователей
Вашей ЛВС) поочередно поостанавливать демонов, наблюдая при этом состояние
проблемного порта; вплоть до запрета их запуска после перезагрузки.
Думаю, это не окажется сильно неудобным и длительным делом в целях
нахождения истины.
На всякий случай можете еще цепануться к серверу на этот самый порт netcat'ом
(с другой машины) и посмотреть через lsof на сервере, будет ли это отображаться.
Уж не говоря о том, чтобы попробовать ввести при таком подключении пару команд.
Я, может, и параноик; но вряд ли Вам с удовольствием пойдет Ваше админское пиво,
покуда Вы с этим не разберетесь.

в общем цепляние, ни телнетом, ни неткатом не показывают какой-либо актвности через lsof, зато при суточном наблюдении tcpdump обнаружена активность - взаимодействие с сервером NFS:

Код: Выделить всё

FILES ~ # tcpdump  -n -v -r /tmp/tcpdump
reading from file /tmp/tcpdump, link-type EN10MB (Ethernet)
07:00:02.260956 IP (tos 0x0, ttl 64, id 31473, offset 0, flags [DF], proto TCP (6), length 60)
    10.0.0.6.35671 > 10.0.0.2.46218: Flags [S], cksum 0x22b9 (correct), seq 3093508580, win 12039, options [mss 4013,sackOK,TS val 1661160213 ecr 0,nop,wscale 4], length 0
07:00:02.261045 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 60)
    10.0.0.2.46218 > 10.0.0.6.35671: Flags [S.], cksum 0x1436 (incorrect -> 0x79cf), seq 3546681927, ack 3093508581, win 12003, options [mss 4013,sackOK,TS val 1711758661 ecr 1661160213,nop,wscale 6], length 0
07:00:02.261185 IP (tos 0x0, ttl 64, id 31474, offset 0, flags [DF], proto TCP (6), length 52)
    10.0.0.6.35671 > 10.0.0.2.46218: Flags [.], cksum 0xde85 (correct), ack 1, win 753, options [nop,nop,TS val 1661160213 ecr 1711758661], length 0
07:00:02.269823 IP (tos 0x0, ttl 64, id 31475, offset 0, flags [DF], proto TCP (6), length 1460)
    10.0.0.6.35671 > 10.0.0.2.46218: Flags [P.], cksum 0xb9ef (correct), seq 1:1409, ack 1, win 753, options [nop,nop,TS val 1661160216 ecr 1711758661], length 1408
07:00:02.269849 IP (tos 0x0, ttl 64, id 20237, offset 0, flags [DF], proto TCP (6), length 52)
    10.0.0.2.46218 > 10.0.0.6.35671: Flags [.], cksum 0x142e (incorrect -> 0xdb09), ack 1409, win 232, options [nop,nop,TS val 1711758663 ecr 1661160216], length 0
07:00:02.269912 IP (tos 0x0, ttl 64, id 20238, offset 0, flags [DF], proto TCP (6), length 52)
    10.0.0.2.46218 > 10.0.0.6.35671: Flags [F.], cksum 0x142e (incorrect -> 0xdb08), seq 1, ack 1409, win 232, options [nop,nop,TS val 1711758663 ecr 1661160216], length 0
07:00:02.270018 IP (tos 0x0, ttl 64, id 31476, offset 0, flags [DF], proto TCP (6), length 52)
    10.0.0.6.35671 > 10.0.0.2.46218: Flags [F.], cksum 0xd8fe (correct), seq 1409, ack 2, win 753, options [nop,nop,TS val 1661160216 ecr 1711758663], length 0
07:00:02.270044 IP (tos 0x0, ttl 64, id 20239, offset 0, flags [DF], proto TCP (6), length 52)
    10.0.0.2.46218 > 10.0.0.6.35671: Flags [.], cksum 0x142e (incorrect -> 0xdb07), ack 1410, win 232, options [nop,nop,TS val 1711758663 ecr 1661160216], length 0
07:00:02.272770 IP (tos 0x0, ttl 64, id 49526, offset 0, flags [DF], proto TCP (6), length 60)
    10.0.0.6.58874 > 10.0.0.2.46218: Flags [S], cksum 0x1f2f (correct), seq 146639470, win 12039, options [mss 4013,sackOK,TS val 1661160216 ecr 0,nop,wscale 4], length 0
07:00:02.272814 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 60)
    10.0.0.2.46218 > 10.0.0.6.58874: Flags [S.], cksum 0x1436 (incorrect -> 0xbfb2), seq 3542468887, ack 146639471, win 12003, options [mss 4013,sackOK,TS val 1711758664 ecr 1661160216,nop,wscale 6], length 0
07:00:02.272912 IP (tos 0x0, ttl 64, id 49527, offset 0, flags [DF], proto TCP (6), length 52)
    10.0.0.6.58874 > 10.0.0.2.46218: Flags [.], cksum 0x2469 (correct), ack 1, win 753, options [nop,nop,TS val 1661160216 ecr 1711758664], length 0
07:00:02.274514 IP (tos 0x0, ttl 64, id 49528, offset 0, flags [DF], proto TCP (6), length 1460)
    10.0.0.6.58874 > 10.0.0.2.46218: Flags [P.], cksum 0xef2c (correct), seq 1:1409, ack 1, win 753, options [nop,nop,TS val 1661160217 ecr 1711758664], length 1408
07:00:02.274548 IP (tos 0x0, ttl 64, id 37968, offset 0, flags [DF], proto TCP (6), length 52)
    10.0.0.2.46218 > 10.0.0.6.58874: Flags [.], cksum 0x142e (incorrect -> 0x20f1), ack 1409, win 232, options [nop,nop,TS val 1711758664 ecr 1661160217], length 0
07:00:02.274624 IP (tos 0x0, ttl 64, id 37969, offset 0, flags [DF], proto TCP (6), length 52)
    10.0.0.2.46218 > 10.0.0.6.58874: Flags [F.], cksum 0x142e (incorrect -> 0x20f0), seq 1, ack 1409, win 232, options [nop,nop,TS val 1711758664 ecr 1661160217], length 0
07:00:02.274762 IP (tos 0x0, ttl 64, id 49529, offset 0, flags [DF], proto TCP (6), length 52)
    10.0.0.6.58874 > 10.0.0.2.46218: Flags [F.], cksum 0x1ee6 (correct), seq 1409, ack 2, win 753, options [nop,nop,TS val 1661160217 ecr 1711758664], length 0
07:00:02.274779 IP (tos 0x0, ttl 64, id 37970, offset 0, flags [DF], proto TCP (6), length 52)
    10.0.0.2.46218 > 10.0.0.6.58874: Flags [.], cksum 0x142e (incorrect -> 0x20ef), ack 1410, win 232, options [nop,nop,TS val 1711758664 ecr 1661160217], length 0

Так что, видимо это ядерный nfs все же...
Спасибо сказали:
mailman137
Сообщения: 492
ОС: Debian-based mixed

Re: решено: кем-то прослушивается порт 46218

Сообщение mailman137 »

Обоснуйте:
взаимодействие с сервером NFS

.
Что за хост 10.0.0.6?
Нужно ли другим хостам подобное взаимодействие?
Закройте INPUT/OUTPUT на 46218 через iptables/netfilter.
раньше не обращал внимания. Случайно так взбрело посмотреть

что-то он обраружил, вот только что - непонятно, а самое главное как
от этого избавиться...

Это грустно. Он обнаружил скрытый процесс, и пусть это даже его или
мой глюк, таких штук в системе быть не должно.
Вы меня очень уж здорово-то не слушайте, поскольку некоторые чудеса
возникают при стечении определенных обстоятельств и во вполне здоровой
системе.
Только вот никогда не стоит быть уверенным в том, что порт, открытый
в системе незнамо кем/чем, не является:

Код: Выделить всё

sh-4.1# nmap -vv -sV --version-all -p46218 192.168.1.2 |grep 46218
Discovered open port 46218/tcp on 192.168.1.2
46218/tcp open  backdoor No-auth shell (**BACKDOOR**)
Спасибо сказали:
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian

Re: решено: кем-то прослушивается порт 46218

Сообщение McSim »

mailman137 писал(а):
14.02.2012 00:36
Обоснуйте:
взаимодействие с сервером NFS

.
Что за хост 10.0.0.6?
Нужно ли другим хостам подобное взаимодействие?
Закройте INPUT/OUTPUT на 46218 через iptables/netfilter.
обоснование только то, что хост 10.0.0.6 - это есть NFS сервер. А так же, я думаю, что если бы там сидел какой-нить руткит, то tcpdump бы показал более активную статистику на порту, причем бы не только с хостом 10.0.0.6, имхо
mailman137 писал(а):
14.02.2012 00:36
Это грустно. Он обнаружил скрытый процесс, и пусть это даже его или
мой глюк, таких штук в системе быть не должно.
Вы меня очень уж здорово-то не слушайте, поскольку некоторые чудеса
возникают при стечении определенных обстоятельств и во вполне здоровой
системе.
Только вот никогда не стоит быть уверенным в том, что порт, открытый
в системе незнамо кем/чем, не является:

Код: Выделить всё

sh-4.1# nmap -vv -sV --version-all -p46218 192.168.1.2 |grep 46218
Discovered open port 46218/tcp on 192.168.1.2
46218/tcp open  backdoor No-auth shell (**BACKDOOR**)

в общем, настроил по инструкшену
http://wiki.debian.org/SecuringNFS
на использование статических портов.
Ребутнул сервер, порт 46218/tcp пока не светится.
(аптайм, ёклмн, обнулился.... :bye2: )
================================================
порты без NFS монтирования:

Код: Выделить всё

FILES ~ # ss -nap
State       Recv-Q Send-Q                                              Local Address:Port                                                Peer Address:Port
LISTEN      0      50                                                              *:139                                                            *:*      users:(("smbd",1436,28))
LISTEN      0      128                                                             *:22                                                             *:*      users:(("sshd",1412,3))
LISTEN      0      128                                                             *:631                                                            *:*      users:(("cupsd",1397,6))
TIME-WAIT   0      0                                                        10.0.0.2:37521                                                 10.0.0.203:9100
...

примонтировал NFS:

Код: Выделить всё

FILES ~ # ss -nap
State       Recv-Q Send-Q                                              Local Address:Port                                                Peer Address:Port
LISTEN      0      50                                                              *:139                                                            *:*      users:(("smbd",1436,28))
LISTEN      0      128                                                             *:22                                                             *:*      users:(("sshd",1412,3))
LISTEN      0      128                                                             *:631                                                            *:*      users:(("cupsd",1397,6))
LISTEN      0      64                                                              *:32764                                                          *:*
...

как видно,

Код: Выделить всё

LISTEN      0      64                                                              *:32764                                                          *:*

тоже не отображается имя процесса.
Можно сделать вывод, что все же это был и есть ядерный NFS...
Спасибо сказали:
mailman137
Сообщения: 492
ОС: Debian-based mixed

Re: решено: кем-то прослушивается порт 46218

Сообщение mailman137 »

Sorry, невнимательно читал Ваши посты.
Получается, У Вас проблемный (якобы) сервер - клиентская сторона
для NFS сервера на другой машине. Просто я подключенного состояния
как-то нигде не увидел.

Код: Выделить всё

sh-4.1# lsof -i
COMMAND    PID  USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
rpcbind    725  root    6u  IPv4   4381      0t0  UDP *:sunrpc
rpcbind    725  root    7u  IPv4   4417      0t0  UDP *:780
rpcbind    725  root    9u  IPv4   4418      0t0  TCP *:sunrpc (LISTEN)
rpcbind    725  root   10u  IPv6   4419      0t0  UDP *:sunrpc
rpcbind    725  root   11u  IPv6   4420      0t0  UDP *:780
rpcbind    725  root   12u  IPv6   4421      0t0  TCP *:sunrpc (LISTEN)
rpc.statd  774 statd    5r  IPv4   5739      0t0  UDP localhost:950
rpc.statd  774 statd    8u  IPv4   5806      0t0  UDP *:32765
rpc.statd  774 statd    9u  IPv4   5809      0t0  TCP *:32765 (LISTEN)
rpc.statd  774 statd   10r  IPv6   5812      0t0  UDP *:32765
rpc.statd  774 statd   11u  IPv6   5815      0t0  TCP *:32765 (LISTEN)
rpc.mount 1182  root    6u  IPv4   6617      0t0  UDP *:32767
rpc.mount 1182  root    7u  IPv4   6620      0t0  TCP *:32767 (LISTEN)
sh-4.1# ss -nap
State      Recv-Q Send-Q                Local Address:Port                  Peer Address:Port
LISTEN     0      64                                *:2049                             *:*
LISTEN     0      64                                *:55338                            *:*
LISTEN     0      128                              :::111                             :::*      users:(("rpcbind",725,12))
LISTEN     0      128                               *:111                              *:*      users:(("rpcbind",725,9))
LISTEN     0      64                               :::42393                           :::*
LISTEN     0      128                              :::32765                           :::*      users:(("rpc.statd",774,11))
LISTEN     0      128                               *:32765                            *:*      users:(("rpc.statd",774,9))
LISTEN     0      128                               *:32767                            *:*      users:(("rpc.mountd",1182,7))
ESTAB      0      0                       192.168.1.2:2049                   192.168.1.3:840
sh-4.1# ssh user3@192.168.1.3
user3@192.168.1.3's password:
Linux station3 2.6.32-5-686 #1 SMP Mon Jan 16 16:04:25 UTC 2012 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Tue Feb 14 23:50:54 2012 from 192.168.1.2
user3@station3:~$ df
Файловая система     1K-блоков      Исп  Доступно  Исп% смонтирована на
/dev/sda2             15622684    604952  15017732   4% /
tmpfs                  1426948         0   1426948   0% /lib/init/rw
udev                   1422508       188   1422320   1% /dev
tmpfs                  1426948         0   1426948   0% /dev/shm
192.168.1.2:/home/nfs
                      14996208  13263600   1732608  89% /home/share
user3@station3:~$ su -
Пароль:
root@station3:~# lsof -i
COMMAND    PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
portmap    798 daemon    4u  IPv4   3483      0t0  UDP localhost:sunrpc
portmap    798 daemon    5u  IPv4   3494      0t0  TCP localhost:sunrpc (LISTEN)
rpc.statd  994  statd    5r  IPv4   3771      0t0  UDP *:746
rpc.statd  994  statd    7u  IPv4   3794      0t0  UDP *:32765
rpc.statd  994  statd    8u  IPv4   3797      0t0  TCP *:32765 (LISTEN)
sshd      1066   root    3u  IPv4   3993      0t0  TCP *:ssh (LISTEN)
sshd      1066   root    4u  IPv6   3995      0t0  TCP *:ssh (LISTEN)
sshd      1160   root    3r  IPv4   4564      0t0  TCP station3.localdomain:ssh->192.168.1.2:33724 (ESTABLISHED)
sshd      1163  user3    3u  IPv4   4564      0t0  TCP station3.localdomain:ssh->192.168.1.2:33724 (ESTABLISHED)
root@station3:~# ss -ap
State      Recv-Q Send-Q              Local Address:Port                  Peer Address:Port
LISTEN     0      128                     127.0.0.1:sunrpc                           *:*        users:(("portmap",798,5))
LISTEN     0      128                            :::ssh                             :::*        users:(("sshd",1066,4))
LISTEN     0      128                             *:ssh                              *:*        users:(("sshd",1066,3))
LISTEN     0      128                             *:32765                            *:*        users:(("rpc.statd",994,8))
LISTEN     0      64                              *:56326                            *:*
ESTAB      0      0                     192.168.1.3:ssh                    192.168.1.2:33724    users:(("sshd",1160,3),("sshd",1163,3))
ESTAB      0      0                     192.168.1.3:840                    192.168.1.2:nfs
root@station3:~# nmap -sV -vv --version-all -p56326 192.168.1.3

Starting Nmap 5.00 ( http://nmap.org ) at 2012-02-15 00:43 MSK
NSE: Loaded 3 scripts for scanning.
Initiating SYN Stealth Scan at 00:43
Scanning station3.localdomain (192.168.1.3) [1 port]
Discovered open port 56326/tcp on 192.168.1.3
Completed SYN Stealth Scan at 00:43, 0.03s elapsed (1 total ports)
Initiating Service scan at 00:43
Scanning 1 service on station3.localdomain (192.168.1.3)
Completed Service scan at 00:43, 6.01s elapsed (1 service on 1 host)
NSE: Script scanning 192.168.1.3.
NSE: Script Scanning completed.
Host station3.localdomain (192.168.1.3) is up (0.000089s latency).
Scanned at 2012-02-15 00:43:52 MSK for 6s
Interesting ports on station3.localdomain (192.168.1.3):
PORT      STATE SERVICE VERSION
56326/tcp open  rpcbind

Read data files from: /usr/share/nmap
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.24 seconds
           Raw packets sent: 1 (44B) | Rcvd: 2 (88B)
root@station3:~#
Спасибо сказали: