nmap normal?

Diskussionen zur Bedienung von KeyHelp.
Post Reply
otto58
Posts: 11
Joined: Thu 29. Jul 2021, 13:20

nmap normal?

Post by otto58 »

Hallo,

vor kurzem ist mir aufgefallen, dass ich in htop mehrere Zeilen folgender Art habe, die auch die CPU belasten.

Code: Select all

 ./nmap -T4 --defeat-rst-ratelimit --reason -PN -sS -p0-65535 -sC -sV -oN /dev/shm/nmap/n0_0b5befbe-xxxx-yyyy-9c86-ced567865927.log gefolgt von 7 bis 8 öffentlichen IPs 
Macht das Keyhelp und ist das ok? Ich habe noch andere Sachen auf dem Keyhelp VPS laufen, so dass ich Bedenken habe, dass da etwas aus dem Ruder läuft.

Gruß Otto
User avatar
mhagge
Community Moderator
Posts: 487
Joined: Wed 8. Aug 2018, 15:19

Re: nmap normal?

Post by mhagge »

Nein, Keyhelp macht das nicht.

nmap ist ein Tool um Netzwerke zu analysieren, offene Ports zu scannen etc.pp ( https://de.wikipedia.org/wiki/Nmap )

Wenn Du nichts dergleichen selber gestartet hast und auch kein Tool im Einsatz hast, was das starten könnte (das wäre durchaus denkbar, dass andere Tools das im Hintergrund nutzen - im Wikipedia-Artikel wird ja auch Nessus erwähnt) würde ich mir sorgen machen, dann besteht die Möglichkeit, dass der Server gehackt wurde und dazu genutzt wird, Angriffe auf andere Systeme zu fahren
otto58
Posts: 11
Joined: Thu 29. Jul 2021, 13:20

Re: nmap normal?

Post by otto58 »

Vielen Dank,

das Dumme ist nur, dass alles im Verzeichnis /dev/shm/nmap scheinbar keyhelp gehört.

Code: Select all

root@vmd:/dev/shm# ls -lh
total 0
drwxr-xr-x 4 root root 880 Dec 28 11:03 nmap
root@vmd:/dev/shm# cd nmap
root@vmd:/dev/shm/nmap# ls -lh
total 28M
-rw-r--r-- 1 root    root       0 Dec 28 01:40 n0_0b5befbe-xxxx-yyyy-9c86-ced567865927.log
........................................................................................
-rw-r--r-- 1 root    root       0 Dec 28 01:39 n0_ee658830-yyyy-yyyy-a1e0-353aa8d5bcda.log
-rwxr-xr-x 1 keyhelp keyhelp  17M Dec 21 03:53 nmap
-rw-r--r-- 1 keyhelp keyhelp  11K Dec 21 03:53 nmap.dtd
-rw-r--r-- 1 keyhelp keyhelp 1.1M Dec 21 03:53 nmap-mac-prefixes
-rw-r--r-- 1 keyhelp keyhelp 4.8M Dec 21 03:53 nmap-os-db
-rw-r--r-- 1 keyhelp keyhelp 6.6K Dec 21 03:53 nmap-protocols
-rw-r--r-- 1 keyhelp keyhelp  43K Dec 21 03:53 nmap-rpc
-rw-r--r-- 1 keyhelp keyhelp 2.4M Dec 21 03:53 nmap-service-probes
-rw-r--r-- 1 keyhelp keyhelp 982K Dec 21 03:53 nmap-services
-rw-r--r-- 1 keyhelp keyhelp  32K Dec 21 03:53 nmap.xsl
drwxr-xr-x 3 keyhelp keyhelp 2.8K Dec 20 01:49 nselib
-rw-r--r-- 1 keyhelp keyhelp  49K Dec 21 03:53 nse_main.lua
drwxr-xr-x 2 keyhelp keyhelp  12K Dec 20 01:49 scripts
root@vmd:/dev/shm/nmap#
Ich habe keine Ahnung, was ich jetzt machen könnte. Ich hatte aus dem Grund schon den Server neu installiert, aber es ist alles wie vorher.
Last edited by otto58 on Wed 28. Dec 2022, 21:17, edited 1 time in total.
User avatar
Jolinar
Community Moderator
Posts: 3559
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: nmap normal?

Post by Jolinar »

So sieht es auf einer Testinstanz von mir aus:

Code: Select all

root@testvm:~# cd /dev/shm
root@testvm:/dev/shm# ls -al
insgesamt 0
drwxrwxrwt  2 root root   40 25. Dez 13:37 .
drwxr-xr-x 14 root root 2960 25. Dez 13:37 ..
root@testvm:/dev/shm#
Bei mir ist kein Subfolder 'nmap' vorhanden.

otto58 wrote: Wed 28. Dec 2022, 14:29 Ich hatte aus dem Grund schon den Server neu installiert, aber es ist alles wie vorher.
Hast du auf einem frischen System nur KeyHelp installiert oder noch weitere Sachen?

Schau auch mal in TOP/HTOP, welcher User den Prozeß gestartet hat.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
otto58
Posts: 11
Joined: Thu 29. Jul 2021, 13:20

Re: nmap normal?

Post by otto58 »

Danke erstmal,

ich werde mal versuchen rauszubekommen, wann das Verzeichnis nmap entsteht und ggf. die Installationsreihenfolge ändern.

Gruß Otto
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: nmap normal?

Post by OlliTheDarkness »

Mal so in den Raum geworfen...
Wird die KH Pro genutzt ?
Weil dann würde ich eventuel davon ausgehen, dass es für die Lizenz genutzt wird.
Allerdings bleibt mir bei der Idee die Frage, warum es "dauerhaft" läuft obwohl sporadisch (alle X Tage) reichen würde.

Wie gesagt, einfach nur in den Raum geworfen die Annahme.
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: nmap normal?

Post by 24unix »

OlliTheDarkness wrote: Wed 28. Dec 2022, 17:24 Mal so in den Raum geworfen...
Wird die KH Pro genutzt ?
Weil dann würde ich eventuel davon ausgehen, dass es für die Lizenz genutzt wird.
Allerdings bleibt mir bei der Idee die Frage, warum es "dauerhaft" läuft obwohl sporadisch (alle X Tage) reichen würde.

Wie gesagt, einfach nur in den Raum geworfen die Annahme.
Auf meiner Kiste mit KH pro ist nmap nicht drauf.

Und warum sollte man Lizenzmanagement mit einem Portscanner machen?

Ich tippe eher auf Malware.

Was sagt "last"? Auffällige Logins?

Edit: Und ich würde mal schauen, ob in /tmp, /roor oder /var auffällige Dotfiles/Folders sind.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
otto58
Posts: 11
Joined: Thu 29. Jul 2021, 13:20

Re: nmap normal?

Post by otto58 »

Hallo nochmal,

das Problem ist wahrscheinlich gelöst. Ich habe die etwa 20 Prozesse in Keyhelp gekilled und nach einem Reboot startet nichts mehr und das Verzeichnis shm ist leer.
Das ganze stammt wohl von einer anderen Software, bei deren Start nach Seed-Servern gesucht wird. Da hat sich wohl Keyhelp eingebracht und den Vorgang am Leben gehalten. Auf der alten Installation hatte ich es nur mit Reboots versucht und da kamen die Prozesse nach ein paar Stunden immer wieder. Jetzt habe ich schon 2 Tage Ruhe.

Gruß Otto
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: nmap normal?

Post by Alexander »

Grüße,

KeyHelp installiert weder nmap, noch nutzt es dessen Funktionalität. Es wird auch nicht geprüft, ob es installiert ist, noch wird es durch KeyHelp 'am Leben' gehalten.

LG
Alex
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
otto58
Posts: 11
Joined: Thu 29. Jul 2021, 13:20

Re: nmap normal?

Post by otto58 »

Zur Ergänzung nmap war bei mir nicht installiert, d.h. kein "remove" möglich, aber ein "install".
Welcher Erklärung könnte es denn für den geposteten code im dritten Beitrag geben?

Gruß
Otto
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: nmap normal?

Post by Alexander »

Hier kann ich nur spekulieren.

Code: Select all

# Wechsel zum KeyHelp User
su keyhelp

# Beliebige Operation durchführen, die das Ablegen von Daten in das Verzeichnis zur Folge hat
touch /dev/shm/test

# ls -la /dev/shm/
drwxrwxrwt  2 root    root      60 Jan  2 10:34 .
drwxr-xr-x 19 root    root    4000 Dez  1 10:14 ..
-rw-rw-r--  1 keyhelp keyhelp    0 Jan  2 10:34 test
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: nmap normal?

Post by Florian »

Hallo,

wenn es unter /dev/shm liegt kann man davon ausgehen, dass es eingeschleuster Mist ist, das ist nämlich ein bevorzugter Ort dafür. Der Name nmap wird nur genommen um es zu verschleiern
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Post Reply