ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
10.03.2007, 00:59
|
|
Новичок
Регистрация: 25.02.2007
Сообщений: 8
Провел на форуме:
30402
Репутация:
2
|
|
Может конечно и бред... Но помойму у тебя инфпрмации слишком мало, чтоб делать такие заключения. Наблюдаю за сервом уже дней 5, раньше портов было открыто в 2 раза меньше.
Там дыр немерено... Помойму прост ктото вместе со мной там обитает...
Вот зацените-
21/tcp open ftp
22/tcp open ssh
25/tcp filtered smtp
42/tcp filtered nameserver
80/tcp open http
81/tcp filtered hosts2-ns
111/tcp filtered rpcbind
135/tcp filtered msrpc
137/tcp filtered netbios-ns
139/tcp filtered netbios-ssn
389/tcp filtered ldap
445/tcp filtered microsoft-ds
513/tcp open login
514/tcp open shell
636/tcp filtered ldapssl
1001/tcp filtered unknown
1022/tcp filtered unknown
1023/tcp filtered netvenuechat
1025/tcp filtered NFS-or-IIS
1080/tcp open socks
1433/tcp filtered ms-sql-s
2049/tcp filtered nfs
2766/tcp filtered listen
3128/tcp filtered squid-http
3268/tcp filtered globalcatLDAP
3269/tcp filtered globalcatLDAPssl
4045/tcp open lockd
4444/tcp filtered krb524
5800/tcp filtered vnc-http
5900/tcp filtered vnc
6667/tcp open irc
8080/tcp open elit
32776/tcp open sometimes-rpc15
32778/tcp open sometimes-rpc19
32779/tcp open sometimes-rpc21
32780/tcp open sometimes-rpc23
54320/tcp open bo2k
Еще портов 5 открыто было...
Почему ты думашь, что сканер ошибся?
|
|
|
10.03.2007, 01:04
|
|
Участник форума
Регистрация: 11.09.2006
Сообщений: 239
Провел на форуме:
626169
Репутация:
167
|
|
Bac9l
Судя по портам - там windows. А что пишет веб-шелл рст? Если какой-то unix - то вполне возможно, что это honeypot.
|
|
|
|
10.03.2007, 01:08
|
|
ы
Регистрация: 11.02.2007
Сообщений: 750
Провел на форуме:
1347723
Репутация:
1477
|
|
2Bac9l
попробуй утилиту amap от THC, оредели баннеры сервисов, также отсканируй nmap c опциями -sV -O -vvv и отпишись здесь. Если это FreeBSD-сервер с таким количеством открытых портов, форумной репутацией бьюсь об заклад, что это подсава в виде honeypot.
Почему ты думашь, что сканер ошибся?
LOL =). MS Sql не будет крутиться под FreeBSD, как и bo2k (читай предыдущий мой пост). и т.д.
Сообщение от hsi
Bac9l
Судя по портам - там windows. А что пишет веб-шелл рст? Если какой-то unix - то вполне возможно, что это honeypot.
Может он обшибся? =)
Сообщение от Bac9l
Сервер управляется 5.4-RELEASE FreeBSD.
2Bac9l как ты это определил?
__________________
..когда же кто-нибудь выпустит MD5(Unix) брутер на GPU.... жду....
Последний раз редактировалось ShadOS; 10.03.2007 в 01:18..
|
|
|
|
10.03.2007, 02:24
|
|
Новичок
Регистрация: 25.02.2007
Сообщений: 8
Провел на форуме:
30402
Репутация:
2
|
|
Про 5.4-RELEASE FreeBSD эт не я говорил... Серв на SunOS 5.10 Generic точно.
Вот че нмап сказал-
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2007-03-10 01:12 MSK
Initiating SYN Stealth Scan against aux-209-217-33-203.oklahoma.net (209.217.33.203) [1663 ports] at 01:12
Discovered open port 22/tcp on 209.217.33.203
Discovered open port 80/tcp on 209.217.33.203
Discovered open port 21/tcp on 209.217.33.203
Discovered open port 32780/tcp on 209.217.33.203
Discovered open port 514/tcp on 209.217.33.203
Increasing send delay for 209.217.33.203 from 0 to 5 due to 39 out of 128 dropped probes since last increase.
Discovered open port 32779/tcp on 209.217.33.203
SYN Stealth Scan Timing: About 29.13% done; ETC: 01:13 (0:01:13 remaining)
Discovered open port 4045/tcp on 209.217.33.203
Discovered open port 32778/tcp on 209.217.33.203
Discovered open port 32776/tcp on 209.217.33.203
The SYN Stealth Scan took 75.38s to scan 1663 total ports.
Initiating service scan against 9 services on aux-209-217-33-203.oklahoma.net (209.217.33.203) at 01:13
The service scan took 5.84s to scan 9 services on 1 host.
Initiating RPCGrind Scan against aux-209-217-33-203.oklahoma.net (209.217.33.203) at 01:13
The RPCGrind Scan took 287.47s to scan 5 ports on aux-209-217-33-203.oklahoma.net (209.217.33.203).
For OSScan assuming port 21 is open, 1 is closed, and neither are firewalled
Host aux-209-217-33-203.oklahoma.net (209.217.33.203) appears to be up ... good.
Interesting ports on aux-209-217-33-203.oklahoma.net (209.217.33.203):
(The 1631 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
21/tcp open ftp ProFTPD 1.3.0a
22/tcp open ssh SunSSH 1.1 (protocol 2.0)
25/tcp filtered smtp
42/tcp filtered nameserver
80/tcp open http Apache httpd
81/tcp filtered hosts2-ns
111/tcp filtered rpcbind
135/tcp filtered msrpc
137/tcp filtered netbios-ns
139/tcp filtered netbios-ssn
389/tcp filtered ldap
445/tcp filtered microsoft-ds
514/tcp open shell?
636/tcp filtered ldapssl
1001/tcp filtered unknown
1022/tcp filtered unknown
1023/tcp filtered netvenuechat
1025/tcp filtered NFS-or-IIS
1433/tcp filtered ms-sql-s
2049/tcp filtered nfs
2766/tcp filtered listen
3128/tcp filtered squid-http
3268/tcp filtered globalcatLDAP
3269/tcp filtered globalcatLDAPssl
4045/tcp open nlockmgr 1-4 (rpc #100021)
4444/tcp filtered krb524
5800/tcp filtered vnc-http
5900/tcp filtered vnc
32776/tcp open metad 1-2 (rpc #100229)
32778/tcp open rpc.unknown
32779/tcp open rpc.metamedd 1 (rpc #100242)
32780/tcp open rpc
Device type: general purpose
Running: Sun Solaris 9
OS details: Sun Solaris 9
OS Fingerprint:
TSeq(Class=RI%gcd=2%SI=23F27%IPID=I%TS=100HZ)
T1(Resp=Y%DF=Y%W=C0B7%ACK=S++%Flags=AS%Ops=NNTMNW)
T2(Resp=N)
T3(Resp=N)
T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=N)
PU(Resp=Y%DF=Y%TOS=0%IPLEN=70%RIPTL=148%RID=E%RIPC K=E%UCK=F%ULEN=134%DAT=E)
Uptime 31.955 days (since Tue Feb 6 02:22:45 2007)
TCP Sequence Prediction: Class=random positive increments
Difficulty=147239 (Good luck!)
TCP ISN Seq. Numbers: 9E182FF0 9E26F16A 9E2D6746 9E34CDAE 9E46CB3A 9E4FAE7C
IPID Sequence Generation: Incremental
Nmap finished: 1 IP address (1 host up) scanned in 373.539 seconds
Raw packets sent: 2182 (87.6KB) | Rcvd: 1665 (66.9KB)
IRC и соксы исчезли) ну и еще че-то
Последний раз редактировалось Bac9l; 10.03.2007 в 02:29..
|
|
|
|
10.03.2007, 03:15
|
|
Участник форума
Регистрация: 11.09.2006
Сообщений: 239
Провел на форуме:
626169
Репутация:
167
|
|
Bac9l
Ты сказал, у тебя веб-шелл. Покажи вывод команды uname -a
|
|
|
|
10.03.2007, 03:27
|
|
Новичок
Регистрация: 25.02.2007
Сообщений: 8
Провел на форуме:
30402
Репутация:
2
|
|
SunOS jupiter 5.10 Generic_118833-33 sun4u sparc SUNW,Ultra-Enterprise.
Днем там еще телнет открыт был.
Не подскажешь, где webmin пароли хранит?
Последний раз редактировалось Bac9l; 10.03.2007 в 03:39..
|
|
|
|
10.03.2007, 04:08
|
|
Участник форума
Регистрация: 11.09.2006
Сообщений: 239
Провел на форуме:
626169
Репутация:
167
|
|
Читай конфиг - /etc/webmin/miniserv.conf
Там указано, какие пароли он использует - из файла /etc/webmin/miniserv.users или /usr/local/etc/webmin/miniserv.users, либо системную авторизацию unix /etc/shadow.
|
|
|
|
10.03.2007, 04:30
|
|
Новичок
Регистрация: 25.02.2007
Сообщений: 8
Провел на форуме:
30402
Репутация:
2
|
|
К /etc/webmin/ доступ закрыт, к /var/webmin/ тоже, есть ток /opt/webmin/ а там как я понял только скрипты.
|
|
|
|
10.03.2007, 05:01
|
|
Участник форума
Регистрация: 11.09.2006
Сообщений: 239
Провел на форуме:
626169
Репутация:
167
|
|
Без рута ты их не прочитаешь.
|
|
|
|
10.03.2007, 13:36
|
|
ы
Регистрация: 11.02.2007
Сообщений: 750
Провел на форуме:
1347723
Репутация:
1477
|
|
Сообщение от Bac9l
SunOS jupiter 5.10 Generic_118833-33 sun4u sparc SUNW,Ultra-Enterprise.
Днем там еще телнет открыт был.
Вот и ответ! На солярке недавно багу нашли, позволяющую заходить по telnet любому юзеру не исползуя пароль вот таки макаром:
telnet -l "-froot" <ip>
Видимо, пока он был открыт - кто-то влез в неё, админ, обнаружив это, снёс демон in.telnetd и удалил весь срач, который оставил нерадивый хаксор. Хотя это мог и быть червь, который специально создан под данную уязвимость:
Новый червь распространяется через дыру в Solaris
01 марта 2007 года, 11:14
Текст: Владимир Парамонов
Специалисты компании Arbor Networks сообщили об обнаружении вредоносной программы, распространяющейся через дыру в операционной системе Sun Solaris.
Брешь, о которой идет речь, была выявлена в первой половине прошлого месяца. Задействовать дыру злоумышленник может через модуль Login, который позволяет дистанционно входить в операционную систему. В том случае, если разрешен протокол удаленного управления Telnet, нападающий при определенных условиях может получить доступ к атакуемому ПК без пароля. Уязвимость присутствует в операционных системах Solaris версий 10 и 11.
Как отмечают эксперты Arbor Networks, на днях в интернете были обнаружены несколько узлов, осуществляющих сканирование серверов Telnet. При обнаружении уязвимых систем на них загружается вредоносное программное обеспечение, которое затем выполняет ряд операций, нацеленных на саморазмножение. О том, выполняет ли червь какие-либо деструктивные действия, пока ничего не сообщается.
Защититься от возможных атак червя можно путем отключения протокола Telnet. Кроме того, компания Sun Microsystems выпустила специальную утилиту, которая позволяет очистить компьютеры с Solaris 10 и 11 от появившейся на днях вредоносной программы.
А насчёт вот этого:
Про 5.4-RELEASE FreeBSD эт не я говорил... Серв на SunOS 5.10 Generic точно.
Сорри, недоглядел. Кстати, как видишь, nmap ошибся. Такое часто случается, не стоит полагаться только на сканер - думай головой.
__________________
..когда же кто-нибудь выпустит MD5(Unix) брутер на GPU.... жду....
Последний раз редактировалось ShadOS; 10.03.2007 в 13:41..
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
