Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   *nix (https://forum.antichat.xyz/forumdisplay.php?f=43)
-   -   Результат nmap (https://forum.antichat.xyz/showthread.php?t=47805)

Ig-FoX 28.08.2007 16:27
Результат nmap
 
Вот что сказалл nmap!!!

PHP код:
PORT     STATE SERVICE
23/tcp   open  telnet
79/tcp   open  finger
2002/tcp open  globe
2004/tcp open  mailbox
2005/tcp open  deslogin
2006/tcp open  invokator
2007/tcp open  dectalk
2008/tcp open  conf
2009/tcp open  news
2010/tcp open  search
2011/tcp open  raid-cc
2012/tcp open  ttyinfo
2013/tcp open  raid-am
2014/tcp open  troff
2015/tcp open  cypress
2016/tcp open  bootserver
2017/tcp open  cypress-stat
4002/tcp open  mlchat-proxy
4008/tcp open  netcheque
6002/tcp open  X11:2
6004/tcp open  X11:4
6005/tcp open  X11:5
6006/tcp open  X11:6
6007/tcp open  X11:7
6008/tcp open  X11:8
6009/tcp open  X11:9
6017/tcp open  xmail-ctrl 
Посмотрите пожалуйсто господа! Есть чтото подозрительное? В плане того уязвима эта система или нет.

Susіc 28.08.2007 17:23
Вот теперь ищи сплойты под эти сервисы, 4008/tcp open netcheque вот это вроде порт троя. In google.com "name_of_service" +exploit. На счёт xmail-ctrl - это xmail не уверен, но если да то на него есть експлоиты прада локальный http://milw0rm.com/exploits/1267. А так в любом факе по хакингу это описано, что делать после того как просканил.

groundhog 28.08.2007 18:10
Ig-FoX, покажи лучше как ты вызывал nmap... Мне что-то не верится чтобы такие интересные порты торчали наружу...

Alexsize 28.08.2007 18:19
Начнем с того, что, судя по всему, перед нами красивый фейк. Слишком много портов и совсем не те, что обычно открыты на серверах=)
Встречали, знаем.

Ig-FoX 28.08.2007 18:35
nmap -PE [ip] - вод так!

groundhog 28.08.2007 18:57
Ну и к чему тут -PE?

Читаем:
Цитата:
-PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes
Может что-то попроще? Типа:

Цитата:
Для TCP-сканирования:
nmap -P0 -sS [host]

Для UPD-сканирования:
nmap -P0 -sU [host]

Ig-FoX 28.08.2007 19:11
Тоже самое выкидывает!!!

PHP код:
Starting Nmap 4.11 http://www.insecure.org/nmap/ ) at 2007-08-28 18:12 EEST
Interesting ports on  
Not shown1654 closed ports
PORT     STATE SERVICE
23/tcp   open  telnet
79/tcp   open  finger
2003/tcp open  cfingerd
2004/tcp open  mailbox
2005/tcp open  deslogin
2006/tcp open  invokator
2007/tcp open  dectalk
2008/tcp open  conf
2009/tcp open  news
2010/tcp open  search
2011/tcp open  raid-cc
2012/tcp open  ttyinfo
2013/tcp open  raid-am
2014/tcp open  troff
2015/tcp open  cypress
2016/tcp open  bootserver
2017/tcp open  cypress-stat
4008/tcp open  netcheque
6003/tcp open  X11:3
6004/tcp open  X11:4
6005/tcp open  X11:5
6006/tcp open  X11:6
6007/tcp open  X11:7
6008/tcp open  X11:8
6009/tcp open  X11:9
6017/tcp open  xmail-ctrl
MAC Address00:10:7B:E7:FB:A4 (Cisco Systems

groundhog 28.08.2007 19:16
А это ты сиську что ли сканишь?

Ig-FoX 28.08.2007 20:34
Не знаю что я сканю! Но именно такой результат на одном из серверов моего провайдера!

Alexsize 28.08.2007 20:39
Мой пост сверху типо никто не заметил?? Это кстати точно не киска. На кисках нет иксов. А про циску там упоминаеться ввиду мак адреса. Который дан по Cisco стандарту.

Ig-FoX 28.08.2007 21:33
Заметил! Но я сомневаюсь что это фейк.

groundhog 29.08.2007 11:01
Да, нет уж... Тут я на стороне Alexsize... То, что тебе выдал портсканер - это не достоверная информация, а обычный фейк. Просто одмин провайдерского сервака решил поглумиться над кул-хацкерами, которые решат посканить провайдерские машины. Обрати внимание, на поведение сканируемого объекта... На нём просматриваются диапазоны открытых портов: 2002-2017, 6002-6017 и т.д. Это весьма не нормальное поведение, а делается оно очень просто... Берётся какое-нибудь приложение, которое слушает локальный порт и принимает на него соединения (скажем эхо-сервер), на фаерволе настраивается редирект с диапазона портов (они реально не существуют) на это приложение... И что происходит? Сканер тупо перебирает порты и пытается на них соединиться разного рода методами, фаер форвардит пакеты на заданный порт нашего эхо-сервера, и сканер думает, что запрашиваемые им порты открыты... Олд скул как говорится.

Ig-FoX 29.08.2007 18:40
Все усек. Я прсто не думал что админ этого сервака на такое способен!

_nic 30.08.2007 20:24
Цитата:
Сообщение от groundhog
Да, нет уж... Тут я на стороне Alexsize... То, что тебе выдал портсканер - это не достоверная информация, а обычный фейк. Просто одмин провайдерского сервака решил поглумиться над кул-хацкерами, которые решат посканить провайдерские машины. Обрати внимание, на поведение сканируемого объекта... На нём просматриваются диапазоны открытых портов: 2002-2017, 6002-6017 и т.д. Это весьма не нормальное поведение, а делается оно очень просто... Берётся какое-нибудь приложение, которое слушает локальный порт и принимает на него соединения (скажем эхо-сервер), на фаерволе настраивается редирект с диапазона портов (они реально не существуют) на это приложение... И что происходит? Сканер тупо перебирает порты и пытается на них соединиться разного рода методами, фаер форвардит пакеты на заданный порт нашего эхо-сервера, и сканер думает, что запрашиваемые им порты открыты... Олд скул как говорится.
Можно как то с этим боротся?Хотя бы определить какой файервол

Alexsize 30.08.2007 20:32
Цитата:
Сообщение от _nic
Можно как то с этим боротся?Хотя бы определить какой файервол
Если я скажу тебе, что там или iptables или ipfw это тебе хоть как то поможет?

Y.Dmitriy 30.08.2007 20:37
для окончательного утверждения или опровержения я бы советовал обратится к порту ручками если редирект то тя выкинет на всех открытых портах на главную страничку...

_nic 30.08.2007 23:52
Цитата:
Сообщение от Alexsize
Если я скажу тебе, что там или iptables или ipfw это тебе хоть как то поможет?
Ну если б ещё и версию кернела то было бы прикольно :D

groundhog 31.08.2007 11:00
_nic, ну можно посоединяться телнетом на фальшивые порты и посмотреть что вообще оттуда возвращается... Я думаю версия кернела там последняя, и одмин не лопух :)

ShadOS 18.09.2007 15:09
Цитата:
Сообщение от Alexsize
Если я скажу тебе, что там или iptables или ipfw это тебе хоть как то поможет?
Почему ты так уверен? Уверенность и излишняя самонадеянность к тёмной стороне ведут =) Пусть лучше попробует следующее:
nmap -O --version-all -p T:1-65535,U:1-65535 -vv <ip>
Попробуем узнать что это такое. Также можно воспользоваться тузлой thc-amap. Главное пусть полный аутпут здесь приведёт.


Время: 23:34