Вот что сказалл nmap!!!

PORT STATE SERVICE
23/tcp open telnet
79/tcp open finger
2002/tcp open globe
2004/tcp open mailbox
2005/tcp open deslogin
2006/tcp open invokator
2007/tcp open dectalk
2008/tcp open conf
2009/tcp open news
2010/tcp open search
2011/tcp open raid-cc
2012/tcp open ttyinfo
2013/tcp open raid-am
2014/tcp open troff
2015/tcp open cypress
2016/tcp open bootserver
2017/tcp open cypress-stat
4002/tcp open mlchat-proxy
4008/tcp open netcheque
6002/tcp open X11:2
6004/tcp open X11:4
6005/tcp open X11:5
6006/tcp open X11:6
6007/tcp open X11:7
6008/tcp open X11:8
6009/tcp open X11:9
6017/tcp open xmail-ctrl

Посмотрите пожалуйсто господа! Есть чтото подозрительное? В плане того уязвима эта система или нет.

Вот теперь ищи сплойты под эти сервисы, 4008/tcp open netcheque вот это вроде порт троя. In google.com "name_of_service" +exploit. На счёт xmail-ctrl - это xmail не уверен, но если да то на него есть експлоиты прада локальный http://milw0rm.com/exploits/1267. А так в любом факе по хакингу это описано, что делать после того как просканил.

Ig-FoX, покажи лучше как ты вызывал nmap... Мне что-то не верится чтобы такие интересные порты торчали наружу...

Начнем с того, что, судя по всему, перед нами красивый фейк. Слишком много портов и совсем не те, что обычно открыты на серверах=)
Встречали, знаем.

nmap -PE [ip] - вод так!

Ну и к чему тут -PE?

Читаем:
-PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes

Может что-то попроще? Типа:

Для TCP-сканирования:
nmap -P0 -sS [host]

Для UPD-сканирования:
nmap -P0 -sU [host]

Тоже самое выкидывает!!!

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-08-28 18:12 EEST
Interesting ports on
Not shown: 1654 closed ports
PORT STATE SERVICE
23/tcp open telnet
79/tcp open finger
2003/tcp open cfingerd
2004/tcp open mailbox
2005/tcp open deslogin
2006/tcp open invokator
2007/tcp open dectalk
2008/tcp open conf
2009/tcp open news
2010/tcp open search
2011/tcp open raid-cc
2012/tcp open ttyinfo
2013/tcp open raid-am
2014/tcp open troff
2015/tcp open cypress
2016/tcp open bootserver
2017/tcp open cypress-stat
4008/tcp open netcheque
6003/tcp open X11:3
6004/tcp open X11:4
6005/tcp open X11:5
6006/tcp open X11:6
6007/tcp open X11:7
6008/tcp open X11:8
6009/tcp open X11:9
6017/tcp open xmail-ctrl
MAC Address: 00:10:7B:E7:FB:A4 (Cisco Systems)

А это ты сиську что ли сканишь?

Не знаю что я сканю! Но именно такой результат на одном из серверов моего провайдера!

Мой пост сверху типо никто не заметил?? Это кстати точно не киска. На кисках нет иксов. А про циску там упоминаеться ввиду мак адреса. Который дан по Cisco стандарту.

Заметил! Но я сомневаюсь что это фейк.

Да, нет уж... Тут я на стороне Alexsize... То, что тебе выдал портсканер - это не достоверная информация, а обычный фейк. Просто одмин провайдерского сервака решил поглумиться над кул-хацкерами, которые решат посканить провайдерские машины. Обрати внимание, на поведение сканируемого объекта... На нём просматриваются диапазоны открытых портов: 2002-2017, 6002-6017 и т.д. Это весьма не нормальное поведение, а делается оно очень просто... Берётся какое-нибудь приложение, которое слушает локальный порт и принимает на него соединения (скажем эхо-сервер), на фаерволе настраивается редирект с диапазона портов (они реально не существуют) на это приложение... И что происходит? Сканер тупо перебирает порты и пытается на них соединиться разного рода методами, фаер форвардит пакеты на заданный порт нашего эхо-сервера, и сканер думает, что запрашиваемые им порты открыты... Олд скул как говорится.

Все усек. Я прсто не думал что админ этого сервака на такое способен!

Да, нет уж... Тут я на стороне Alexsize... То, что тебе выдал портсканер - это не достоверная информация, а обычный фейк. Просто одмин провайдерского сервака решил поглумиться над кул-хацкерами, которые решат посканить провайдерские машины. Обрати внимание, на поведение сканируемого объекта... На нём просматриваются диапазоны открытых портов: 2002-2017, 6002-6017 и т.д. Это весьма не нормальное поведение, а делается оно очень просто... Берётся какое-нибудь приложение, которое слушает локальный порт и принимает на него соединения (скажем эхо-сервер), на фаерволе настраивается редирект с диапазона портов (они реально не существуют) на это приложение... И что происходит? Сканер тупо перебирает порты и пытается на них соединиться разного рода методами, фаер форвардит пакеты на заданный порт нашего эхо-сервера, и сканер думает, что запрашиваемые им порты открыты... Олд скул как говорится.
Можно как то с этим боротся?Хотя бы определить какой файервол

Можно как то с этим боротся?Хотя бы определить какой файервол
Если я скажу тебе, что там или iptables или ipfw это тебе хоть как то поможет?

для окончательного утверждения или опровержения я бы советовал обратится к порту ручками если редирект то тя выкинет на всех открытых портах на главную страничку...

Если я скажу тебе, что там или iptables или ipfw это тебе хоть как то поможет?
Ну если б ещё и версию кернела то было бы прикольно :D

_nic, ну можно посоединяться телнетом на фальшивые порты и посмотреть что вообще оттуда возвращается... Я думаю версия кернела там последняя, и одмин не лопух :)

Если я скажу тебе, что там или iptables или ipfw это тебе хоть как то поможет?
Почему ты так уверен? Уверенность и излишняя самонадеянность к тёмной стороне ведут =) Пусть лучше попробует следующее:
nmap -O --version-all -p T:1-65535,U:1-65535 -vv <ip>
Попробуем узнать что это такое. Также можно воспользоваться тузлой thc-amap. Главное пусть полный аутпут здесь приведёт.