Изпечатай

[GattaNegra]

Здравейте,
много извинявайте ако темата не е за тук, просто някак не ми е смешно иначе щях да я плесна в "Хумор".
Знмачи, ситуацията е следната :
Имам аз компютър, на него има ДЕбиан. Firewall-а е написан с IPTABLES обаче беше нещо рехав и реших да го оправя оня ден. Ta  пускам преди да седна да работя един nmap и ми изкарва нормален резултат за моментното състояние на машината :
nmap -sS -T 5 -P0 -O

Примерен код

PORT     STATE    SERVICE 21/tcp   filtered ftp 22/tcp   open ssh 53/tcp   open     domain 80/tcp   open     http 111/tcp  open     rpcbind 113/tcp  open     auth 197/tcp  filtered dls 263/tcp  filtered hdap 445/tcp  filtered microsoft-ds 678/tcp  open     unknown 1541/tcp filtered rds2 1723/tcp filtered pptp 2401/tcp open     cvspserver

обаче понеже винаги питам два пъти, накарах един познат да пусне и той и резултатът беше това :
nmap -P0

Примерен код

PORT      STATE    SERVICE 21/tcp    open     ftp 22/tcp    open     ssh 53/tcp    open     domain 80/tcp    filtered http 111/tcp   open     rpcbind 113/tcp   open     auth 135/tcp   filtered msrpc 136/tcp   filtered profile 137/tcp   filtered netbios-ns 138/tcp   filtered netbios-dgm 139/tcp   filtered netbios-ssn 12345/tcp filtered NetBus 12346/tcp filtered NetBus 17300/tcp filtered kuang2 27374/tcp filtered subseven 27665/tcp filtered Trinoo_Master

да де , ама аз никога не бях чувала за
 kuang2, subseven, Trinoo_Master
нито е чувал firewall-а ми . освен че му беше казано
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A FORWARD -i eth0 -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED -j DROP
-A FORWARD -i eth0 -m state --state INVALID -j DROP
-A FORWARD -i eth0 -m state --state NEW -j DROP

не бях забранявала нищо друго.
 Тоест чувала съм, но мислех , че се срещат в уиндоус, а не в линукс.
Google  не ми каза нещо смислено -  тоест по това, което намерих да прочета съдя, че компютъра ми е зомбясал ...
Решението, което ми хрумва е да го преинсталирам, и това ще стане съвсем скоро, но ми се иска да знам какво е това и защо е така . Ако може някой да ми "запали лампата" ще съм благодарна.

[never_mind]

Вторият резултат определено не е на Linux машина... сигурно твоя приятел е объркал IP-то... по скоро вторият резултат ми прилича на Windows с рехав firewall... поне това е моето мнение.

[GattaNegra]

Цитат (never_mind @ Април 11 2006,13:41)

Вторият резултат определено не е на Linux машина... сигурно твоя приятел е объркал IP-то... по скоро вторият резултат ми прилича на Windows с рехав firewall... поне това е моето мнение.

да но приятелят ми ми даде ssh  до машината си  и аз пуснах същия nmap  и ми отговори със същия резултат . а машината Е с debian.  и никога не е виждала windows.

[Hapkoc]

GattaNegra, сега като питаш - при мене същата работа.

Сканирам си машината отвън (nmap -P0) и ми излизат всичките портове свързани с SMB/NetBIOS протоколите като filtered, а са си затворени. А IP адреса със сигурност не съм го объркал.

М/у другото при мен е OpenBSD, което ме навежда на мисълта, че някаква врътка със самия nmap има.

Та ако някой има информация - да сподели. '>

[never_mind]

Пробвайте с другите опции за OS detection и прочие, и кажете има ли разлика. Защото аз досега само с -P0 не съм си сканирал машината. Оnline сканиране от някой от многото сайтове какво казва?

[GattaNegra]

Цитат (never_mind @ Април 11 2006,14:03)

Пробвайте с другите опции за OS detection и прочие, и кажете има ли разлика. Защото аз досега само с -P0 не съм си сканирал машината. Оnline сканиране от някой от многото сайтове какво казва?

ми дадох и nmap -sS -T 5 -O -P0  и резултата пак така - от моята машина  - първия, от машината на приятеля ми - втория.
онлайн скенерите .. пробвах с един , не помня кой вчера и ми извади отворени 111, 113, 80 порт.
ма аз не му вярвам ..

[never_mind]

Цитат (GattaNegra @ Април 11 2006,13:02)

nmap -P0 Примерен код PORT      STATE    SERVICE 21/tcp    open     ftp 22/tcp    open     ssh 53/tcp    open     domain 80/tcp    filtered http 111/tcp   open     rpcbind 113/tcp   open     auth 135/tcp   filtered msrpc 136/tcp   filtered profile 137/tcp   filtered netbios-ns 138/tcp   filtered netbios-dgm 139/tcp   filtered netbios-ssn 12345/tcp filtered NetBus 12346/tcp filtered NetBus 17300/tcp filtered kuang2 27374/tcp filtered subseven 27665/tcp filtered Trinoo_Master

Чакайте малко, тва е абсурдно. При тази команда nmap не би трябвало да сканира толкова високи портове като 27374. Поне така мисля.

[GattaNegra]

Цитат (never_mind @ Април 11 2006,14:38)

Цитат (GattaNegra @ Април 11 2006,13:02) nmap -P0 Примерен код PORT      STATE    SERVICE 21/tcp    open     ftp 22/tcp    open     ssh 53/tcp    open     domain 80/tcp    filtered http 111/tcp   open     rpcbind 113/tcp   open     auth 135/tcp   filtered msrpc 136/tcp   filtered profile 137/tcp   filtered netbios-ns 138/tcp   filtered netbios-dgm 139/tcp   filtered netbios-ssn 12345/tcp filtered NetBus 12346/tcp filtered NetBus 17300/tcp filtered kuang2 27374/tcp filtered subseven 27665/tcp filtered Trinoo_Master Чакайте малко, тва е абсурдно. При тази команда nmap не би трябвало да сканира толкова високи портове като 27374. Поне така мисля.

това .. как да кажа ..
машината на приятеля ми е също с дебиан.
аз се ssh като обикновен потребител и давам nmap -P0 xxx.xxx.xxx.xxx
и ми дава описания горе отговор.
а , след това сканирах от още 5 машини и от ТЯХ НЯМА подобен отговор.
според друго мнение обяснението се крие в това, че съм забранила всичко. обаче - дори и да е така , дебиан откъде ще знае kuang2 subseven Trinoo_Master че точно тия портове позлват ?
 
Те май ползват random  портове .  Параноичната ми мисъл реши, че ако някой нещо е направил може и да е задал от къде да се вижда и от къде да не се ... имам предвид доставчици или нещо от сорта.  и изобщо тия трите злини какво ми правят в линукса ?!

Мисля все пак че темата трябваше да я пусна в "напреднали"  ...

Нереално просто е, замисляли ли сте се някога, че от другото място където се пуска nmap вероятно потребителите са зад NAT-ваща машинка, която прави и ip filtering??

пробвайте (зад NAT на който примерно е филтриран във FORWARD chain-а tcp port 1000, с DROP!'> да сканирате която и да е машина навън. На всичките машини които сканирате ще ви излезе 1000/tcp state: filtered.

Това ще стане поради простата причина, че когато nmap прати tcp пакет със SYN флаг към целта, първия там хоп (NAT-ващата машина) ще го издропи, ще мине някакво време и nmap няма да получи нито SYN-ACK, нито ICMP_PORT_UNREACHABLE, съответно ще си реши че на сканираната машина порт-а е филтриран (което не е нашият случай).

Поради сходни причини (този път вероятно DNAT) отвън изглежда че 21 порт е отворен, докато на сканираната машинка дефакто е филтриран.

Не виждам нищо смешно или нелогично, всеки който си има идея от tcp/ip и знае как nmap сканира и как се извършва NAT-ването ще се сети какво става '>))

А и предполагам вероятно знаете че това което ви изпише нмап от едно стандартно tcp/udp портсканиране в доста случай може да се различава от реалността...поради ред обстоятелства '>

[Hapkoc]

Gatta, гледай сега, принципно при такова сканиране nmap няма как да знае какво точно слуша на порта и това, което излиза в SERVICE полето е услугата, която фигурира на този порт във файла nmap-services (обикновено е /usr/share/nmap/nmap-services).

STATE filtered пък означава, че nmap не успява да определи дали порта е отворен или затворен.

Това, което мен ме гложди е защо разните Microsoft-ски портове излизат filtered при мен, докато останалите си ги дава closed.

[Hapkoc]

gat3way, сега като прочетох какво си писал ми се попроясниха нещата. :)

мерси.

[GattaNegra]

Цитат (Hapkoc @ Април 11 2006,15:01)

Gatta, гледай сега, принципно при такова сканиране nmap няма как да знае какво точно слуша на порта и това, което излиза в SERVICE полето е услугата, която фигурира на този порт във файла nmap-services (обикновено е /usr/share/nmap/nmap-services). STATE filtered пък означава, че nmap не успява да определи дали порта е отворен или затворен. Това, което мен ме гложди е защо разните Microsoft-ски портове излизат filtered при мен, докато останалите си ги дава closed.

абе .. и аз тия съм ги чувала .. ма ..
сега какво ми казвате последно - да не се пУаша или ?
тоест -  аз мислях да не я преинссталирам а да я наблюдавам тая машина и да намеря начина да разбера какво се СЛУЧВА на нея - чета логове и мейлове и намкво и не мога да разбера , не излиза нищо съмнително .

Най-вероятно нищо не се случва на нея. Ако разчиташ единствено на логовете и мейловете обаче за да си сигурна че никой нищо лошо не прави по нея...ммм грешна стратегия '>

Да кажем, че съм някакъв 3v1L 31337 h4x0r там и се сдобия с root достъп на машинката ти - ъъъ има rootkit-ове, които изпълняват това което е в payload-а на ICMP echo получените пакети да речем и връщат (част от) резултата в payload-a на ICMP echo reply отговорите.

Никога с никакво портсканиране няма да можеш да установиш че имаш инсталиран rootkit. Вероятно снифейки трафика докато върша разни престъпления там може и да видиш нещо, знам ли '>

Няма да видиш и никакви връзки в netstat също така...един вид ще ти командвам машинката чрез ping (е айде няма да е с ping щото там pattern-a e ограничен до 16 байта, ама с други хахорски красоти става лесно).

Идеята за това е доста стара и предполагам в гугъл-а ако се разтърси човек ще намери някакви реализации.

Човек да иска да крие rootkits...последния начин по който ще разбереш, че има проблеми е като си гледаш логовете. А и те съвсем спокойно се модифицират от юзърите със съответните права.

[GattaNegra]

 '>
е ма да де ама аз подозирам че се случва а не че не се , и искам да знам дали се . и си гледам трафика и нищо интересно не виждам. мисля да изхвърля хард диска.

Не го изхвърляй, подари ми го '>