Linux за българи: Форуми

Здравейте,
много извинявайте ако темата не е за тук, просто някак не ми е смешно иначе щях да я плесна в "Хумор".
Знмачи, ситуацията е следната :
Имам аз компютър, на него има ДЕбиан. Firewall-а е написан с IPTABLES обаче беше нещо рехав и реших да го оправя оня ден. Ta  пускам преди да седна да работя един nmap и ми изкарва нормален резултат за моментното състояние на машината :
nmap -sS -T 5 -P0 -O

Примерен код

PORT     STATE    SERVICE 21/tcp   filtered ftp 22/tcp   open ssh 53/tcp   open     domain 80/tcp   open     http 111/tcp  open     rpcbind 113/tcp  open     auth 197/tcp  filtered dls 263/tcp  filtered hdap 445/tcp  filtered microsoft-ds 678/tcp  open     unknown 1541/tcp filtered rds2 1723/tcp filtered pptp 2401/tcp open     cvspserver

обаче понеже винаги питам два пъти, накарах един познат да пусне и той и резултатът беше това :
nmap -P0

Примерен код

PORT      STATE    SERVICE 21/tcp    open     ftp 22/tcp    open     ssh 53/tcp    open     domain 80/tcp    filtered http 111/tcp   open     rpcbind 113/tcp   open     auth 135/tcp   filtered msrpc 136/tcp   filtered profile 137/tcp   filtered netbios-ns 138/tcp   filtered netbios-dgm 139/tcp   filtered netbios-ssn 12345/tcp filtered NetBus 12346/tcp filtered NetBus 17300/tcp filtered kuang2 27374/tcp filtered subseven 27665/tcp filtered Trinoo_Master

да де , ама аз никога не бях чувала за
 kuang2, subseven, Trinoo_Master
нито е чувал firewall-а ми . освен че му беше казано
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A FORWARD -i eth0 -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED -j DROP
-A FORWARD -i eth0 -m state --state INVALID -j DROP
-A FORWARD -i eth0 -m state --state NEW -j DROP

не бях забранявала нищо друго.
 Тоест чувала съм, но мислех , че се срещат в уиндоус, а не в линукс.
Google  не ми каза нещо смислено -  тоест по това, което намерих да прочета съдя, че компютъра ми е зомбясал ...
Решението, което ми хрумва е да го преинсталирам, и това ще стане съвсем скоро, но ми се иска да знам какво е това и защо е така . Ако може някой да ми "запали лампата" ще съм благодарна.

Вторият резултат определено не е на Linux машина... сигурно твоя приятел е объркал IP-то... по скоро вторият резултат ми прилича на Windows с рехав firewall... поне това е моето мнение.

GattaNegra, сега като питаш - при мене същата работа.

Сканирам си машината отвън (nmap -P0) и ми излизат всичките портове свързани с SMB/NetBIOS протоколите като filtered, а са си затворени. А IP адреса със сигурност не съм го объркал.

М/у другото при мен е OpenBSD, което ме навежда на мисълта, че някаква врътка със самия nmap има.

Та ако някой има информация - да сподели.

Пробвайте с другите опции за OS detection и прочие, и кажете има ли разлика. Защото аз досега само с -P0 не съм си сканирал машината. Оnline сканиране от някой от многото сайтове какво казва?

Нереално просто е, замисляли ли сте се някога, че от другото място където се пуска nmap вероятно потребителите са зад NAT-ваща машинка, която прави и ip filtering??

пробвайте (зад NAT на който примерно е филтриран във FORWARD chain-а tcp port 1000, с DROP! да сканирате която и да е машина навън. На всичките машини които сканирате ще ви излезе 1000/tcp state: filtered.

Това ще стане поради простата причина, че когато nmap прати tcp пакет със SYN флаг към целта, първия там хоп (NAT-ващата машина) ще го издропи, ще мине някакво време и nmap няма да получи нито SYN-ACK, нито ICMP_PORT_UNREACHABLE, съответно ще си реши че на сканираната машина порт-а е филтриран (което не е нашият случай).

Поради сходни причини (този път вероятно DNAT) отвън изглежда че 21 порт е отворен, докато на сканираната машинка дефакто е филтриран.

Не виждам нищо смешно или нелогично, всеки който си има идея от tcp/ip и знае как nmap сканира и как се извършва NAT-ването ще се сети какво става ))

А и предполагам вероятно знаете че това което ви изпише нмап от едно стандартно tcp/udp портсканиране в доста случай може да се различава от реалността...поради ред обстоятелства

Gatta, гледай сега, принципно при такова сканиране nmap няма как да знае какво точно слуша на порта и това, което излиза в SERVICE полето е услугата, която фигурира на този порт във файла nmap-services (обикновено е /usr/share/nmap/nmap-services).

STATE filtered пък означава, че nmap не успява да определи дали порта е отворен или затворен.

Това, което мен ме гложди е защо разните Microsoft-ски портове излизат filtered при мен, докато останалите си ги дава closed.

gat3way, сега като прочетох какво си писал ми се попроясниха нещата. :)

мерси.

Най-вероятно нищо не се случва на нея. Ако разчиташ единствено на логовете и мейловете обаче за да си сигурна че никой нищо лошо не прави по нея...ммм грешна стратегия

Да кажем, че съм някакъв 3v1L 31337 h4x0r там и се сдобия с root достъп на машинката ти - ъъъ има rootkit-ове, които изпълняват това което е в payload-а на ICMP echo получените пакети да речем и връщат (част от) резултата в payload-a на ICMP echo reply отговорите.

Никога с никакво портсканиране няма да можеш да установиш че имаш инсталиран rootkit. Вероятно снифейки трафика докато върша разни престъпления там може и да видиш нещо, знам ли

Няма да видиш и никакви връзки в netstat също така...един вид ще ти командвам машинката чрез ping (е айде няма да е с ping щото там pattern-a e ограничен до 16 байта, ама с други хахорски красоти става лесно).

Идеята за това е доста стара и предполагам в гугъл-а ако се разтърси човек ще намери някакви реализации.

Човек да иска да крие rootkits...последния начин по който ще разбереш, че има проблеми е като си гледаш логовете. А и те съвсем спокойно се модифицират от юзърите със съответните права.

 
е ма да де ама аз подозирам че се случва а не че не се , и искам да знам дали се . и си гледам трафика и нищо интересно не виждам. мисля да изхвърля хард диска.

Не го изхвърляй, подари ми го

GattaNegra, това че ircd-тата които ползваш не ти отказват да се логнеш след като нямат достъп до identd-a ти не означава, че всичките ircd-ta са такива.

Като изключим това, най-вероятно и ftp-трансферите ще си го отнесат, освен което понякога ще се случи да се върне някоя ICMP грешка и клиентът зад твоя НАТ няма да го разбере (ъхм,това което веднага се сещам като последствие е че един клиент зад твоят НАТ ще разбере доста по-бавно ако услугата, с която се опитва да се свърже е спряна - не че е големия проблем де)

Тези портове, която толкова те учудват са резултат от това, че firewall-a при доставчика на твоя приятел ги дропва. Това са добре известни портове асоцирани с разни уиндоуски троянци там и хората са предпочели да си спестят тарапаната ако някой извън тяхната мрежа вземе че затрие харддиска на някой техен "троянизиран" клиент.

Ще го обясня пак накратко: да речем че нямаш нито един филтриран порт. Твоят приятел стои зад НАТ-а на доставчика си и иска да сканира да речем точно този странен порт - 12345. Нека накратко само да опиша как протича една примерна tcp комуникация между две машини:

1) клиента изпраща към сървъра TCP пакет със вдигнат SYN флаг.
2) server-a отговаря с TCP пакет с вдигнати SYN и ACK флагове
3) клиента отговаря с TCP пакет с вдигнат ACK флаг

--- в този момент връзката се счита за установена. Ако от сървърна страна слушащия демон лог-ва, то тази установена връзка се лог-ва, демона съответно си изкарва там каквито трябва login банери или бог знае кво и т.н...

Съответно какво прави nmap: както си забелязала сканирането на един порт става много по-бързо отколкото телнет-ването към него + което се получава "странния" ефект че демона не лог-ва никакъв опит за връзка. Защо става така е лесно обяснимо. Ето как преминава простото порт-сканиране (syn-scan):

1) nmap праща към "сървъра" TCP пакет с вдигнат SYN флаг.
2) Тука има няколко варианта какво се случва:
вариант 1: Сървъра си мисли, че клиента иска да установи връзка, при което връща TCP пакет със вдигнати SYN/ACK. nmap казва "аха, значи порта е отворен"
вариант 2: Нищо не слухти на този порт на сървъра. Неговият tcp/ip стек връща един ICMP destination port unreachable пакет. nmap казва "аха, значи порта е затворен"
варинат 3: минава известно време и няма ни вест, ни кост от сървъра. nmap си казва "аха, значи тоя порт най-вероятно е филтриран"

Сега да се върнем на това което се случва с твоят приятел, който те сканира. На firewall-a на неговият доставчик са филтрирани портове 12345,12346 и т.н. Като си пусне nmap-a и той тръгне да ти сканира някой от тях става следното:

1)приятелят ти пуска един TCP пакет с вдигнат SYN
2) firewall-a на доставчика му дроп-ва този пакет и не го препраща нататък (съответно и да имаше кой да слухти на твоята машинка на този порт, просто пакетът нямаше да си пристигне до целта)
3) nmap-a на твоят приятел чака, чака, нищо не пристига като отговор  и накрая казва "аха, значи на машинката, която сканирам този порт очевидно е филтриран"

Само че в случая, при теб той не е филтриран. Филтриран е при защитната стена на доставчика му.

Надявам се сега ти се изясни

gat3way надявам се не си се нервирал/а много ,  извинявам се на всички че ви занимавам с глупости  просто се шашнах .
съжалявам че ви загубих времето  и много благодаря за отзивите

А Portsentry имате ли инсталиран? -Защото ,ако е така ,той праща  лъжливи данни на скенерите.
"Ako не ти помогне умната, то и русата няма да може ." -Понякога стават чудеса.

Абе аз съжалявам, не исках да звучи като каране

Хахах , когато пускаш нмап от машана на кабел разстояние от сканираната тогава му вервай , нали се сещаш, че трафика ти минава през 3-4-5-6-7-7-8 рутера на които има едни АЦЛ-и които поорезват отвреме на време някои нещица от рода на тсп портнове 139 , 445 и т.н.