Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 25 subscribers
  • Views 12618 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Backdoor in Astaro UTM V9?

tomsmith_01
Hallo,

Port 21 ist offen für alle Zugriffe, obwohl kein FTP Proxy oder NAT Regel aktiv ist. Macht man einen Scan z.B.: nmap, bekommt man zurück der Port 21 ist filtered, soweit ok, sobald man aber einen telnet von ausserhalb auf Port 21 absetzt, bekommt man dies:

Escape character is '^]'.

[:$] very secure astaro

Ist es ein Backdoor? Was meint ihr? Welche Ports sind noch offen, welche wir noch nicht kennen? Das Vertrauen ist nun mal weg.

Danke für ihr Feedback.

Gruss, Tom

PS.: habe eine fw rule eingerichtet, from any (FTP) to WAN adress, dann nochmals von extern telnet ip 21 und:
Escape character is '^]'.
[:@]


This thread was automatically locked due to age.
Parents
  • 0
    Hast Du schon mal mit netstat nach einem listener und mit iptables auf eine Regel auf Port 21 geprüft? 






    Früher sorgte Paranoia [,wenigstens noch] für interessante Geschichten, heute ist sie der Grund für .*weigerung.
Reply
  • 0
    Hast Du schon mal mit netstat nach einem listener und mit iptables auf eine Regel auf Port 21 geprüft? 






    Früher sorgte Paranoia [,wenigstens noch] für interessante Geschichten, heute ist sie der Grund für .*weigerung.
Children
  • 0 in reply to K.N.
    i am able to Telnet to various ports reported as being open from outside 
    when infact there are no NAT rules or Firewall rules that would open these ports.


    Discovered open port 18080/tcp on my external interface
    Discovered open port 5432/tcp on  my external interface
    Discovered open port 9865/tcp on  my external interface
    Discovered open port 9009/tcp on  my external interface
    Discovered open port 3840/tcp on  my external interface
    Discovered open port 4472/tcp on   my external interface

    i can telnet to each of these ports
    Trying nnn.nnn.nnn.nn..3840
    Connected to nnn.nnn.nnn.nn
    Escape character is '^]'.


    i was able to see the following banners on some of the ports


    Generated by tinyproxy version 1.8.1.



     


    501 Not Implemented

    Not Implemented


     to / not supported.


    When i sniff the packets using TCPdump on the external interface i can see that it is the firewall only that is acknowledging the Telnet connection ie it doesnt DNAT or pass the packet on. 

    16:55:18.900430 IP nnn.nnn.nnn.nn.55402 > nnn.nnn.nnn.nn.4472: Flags [F.], seq 20, ack 2, win 46, options [nop,nop,TS val 1354537809 ecr 174469309], length 0

    if anyone can shine some light on this would be greatly appreciated

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?