 |
Как узнать какой троян открыл порт? |
04.04.2008, 14:00
|
|
Новичок
Регистрация: 05.03.2008
Сообщений: 12
С нами:
9570372
Репутация:
0
|
|
Как узнать какой троян открыл порт?
В книгах по безопасности пишут, что хакеры, просканировав порты, узнают какие трояны сидят на машине. Затем они используют клиентскую часть этого троя и получают собранную им инфу.
Я решил попробовать это на практике.
Одну из машин в локалке (не имею ни админского, ни гостевого доступа) просканировал nmap:
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
5000/tcp open UPnP
5225/tcp open unknown
5226/tcp open unknown
8008/tcp open unknown
11608/tcp open unknown
123/udp open|filtered ntp
135/udp open msrpc
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
445/udp open|filtered microsoft-ds
500/udp open|filtered isakmp
1026/udp open unknown
1027/udp open|filtered unknown
1028/udp open|filtered ms-lsa
1900/udp open|filtered UPnP
10481/udp open|filtered unknown
44787/udp open|filtered unknown
Система там ХР SP2, но без обновлений.
Может кто-нить по-подробней написать как мне узнать какие там трояны?
|
|
|
04.04.2008, 14:13
|
|
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
С нами:
10393869
Репутация:
2032
|
|
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
|
|
|
|
04.04.2008, 14:26
|
|
Постоянный
Регистрация: 21.12.2007
Сообщений: 475
С нами:
9678661
Репутация:
387
|
|
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
Ты уверен что там SP2? По фингрепринту определял? Попробуй на ней kaht, чем черт не шутит, вдруг там SP1/
|
|
|
|
04.04.2008, 14:50
|
|
Новичок
Регистрация: 05.03.2008
Сообщений: 12
С нами:
9570372
Репутация:
0
|
|
Сообщение от Piflit
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
Че-то не понял 
Порты, которые там перечислены nmap тоже знает
(123/udp open|filtered ntp
135/udp open msrpc
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
445/udp open|filtered microsoft-ds
500/udp open|filtered isakmp)
На скоко я понимаю мне нужно узнать, кто использует "unknown".
Хрен с ним, не находим в списке некоторые порты, делаем предположение, что их могут использовать трои, что теперь?
|
|
|
|
04.04.2008, 14:54
|
|
Новичок
Регистрация: 05.03.2008
Сообщений: 12
С нами:
9570372
Репутация:
0
|
|
Сообщение от Karantin
Ты уверен что там SP2? По фингрепринту определял? Попробуй на ней kaht, чем черт не шутит, вдруг там SP1/
Там второй системой стоит W2K SP3, так что может в момент сканирования она была запущена.
Как по фингерпринту определять не знаю  ...
Можно немного по-подробней?
|
|
|
|
04.04.2008, 15:13
|
|
Постоянный
Регистрация: 21.12.2007
Сообщений: 475
С нами:
9678661
Репутация:
387
|
|
Удаленное определение типа используемой операционной системы путем снятия отпечатков TCP/IP (так называемый OS Fingerprint). Может быть подделан/сфабрикован чтобы ввести в заблужение взломщика. Портов что-то многовато открыто, может там вообще honeypot или что-то типа Snort запущено.
|
|
|
|
04.04.2008, 15:37
|
|
Новичок
Регистрация: 05.03.2008
Сообщений: 12
С нами:
9570372
Репутация:
0
|
|
Сообщение от Karantin
Удаленное определение типа используемой операционной системы путем снятия отпечатков TCP/IP (так называемый OS Fingerprint).
Вах как интересно! Как?
|
|
|
|
|
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Delphi задай вопрос [F.A.Q] [антибоян]...
|
Jes |
С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby |
2 |
05.04.2008 23:26 |
|
Delphi/C++: как проге повиснуть на открытый порт и качать оттуда инфу?
|
BNF |
С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby |
5 |
26.04.2005 16:53 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
