The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Открытый порт после взлома"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Открытые системы на сервере (Сеть. проблемы, диагностика / Linux)
Изначальное сообщение [ Отслеживать ]

"Открытый порт после взлома"  +/
Сообщение от Nikita Rukavkov email on 06-Май-10, 17:47 
Подскажите, сканирую Nmap-ом ip-адрес, вижу что открыт 21 порт, но netstat -lpn | grep :21 ничего не выдает. Система взламывалась, от чего смог вычистил - а эту заразу не могу найти. Как можно обнаружить что висит на порту?
Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Открытый порт после взлома"  +/
Сообщение от теоретик on 07-Май-10, 14:37 
Скачай новое ядро и загрузись с него. Скорей всего тебе модуль ядра хитрый подгрузили. Ну или тупо пропатчили утилиту netstat - её тоже проапгрейди.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Открытый порт после взлома"  +/
Сообщение от Nimdar (ok) on 07-Май-10, 14:48 
>Подскажите, сканирую Nmap-ом ip-адрес, вижу что открыт 21 порт, но netstat -lpn
>| grep :21 ничего не выдает. Система взламывалась, от чего смог
>вычистил - а эту заразу не могу найти. Как можно обнаружить
>что висит на порту?

ps ax |grep inetd
или
ps ax |grep xinetd

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Открытый порт после взлома"  +/
Сообщение от Nikita Rukavkov email on 07-Май-10, 15:17 
>>Подскажите, сканирую Nmap-ом ip-адрес, вижу что открыт 21 порт, но netstat -lpn
>>| grep :21 ничего не выдает. Система взламывалась, от чего смог
>>вычистил - а эту заразу не могу найти. Как можно обнаружить
>>что висит на порту?
>
>ps ax |grep inetd
>или
>ps ax |grep xinetd

Простите не понял, что покажет мне вывод. В inetd.conf ничего подозрительного

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Открытый порт после взлома"  +/
Сообщение от Nimdar (ok) on 07-Май-10, 15:34 
>>>Подскажите, сканирую Nmap-ом ip-адрес, вижу что открыт 21 порт, но netstat -lpn
>>>| grep :21 ничего не выдает. Система взламывалась, от чего смог
>>>вычистил - а эту заразу не могу найти. Как можно обнаружить
>>>что висит на порту?
>>
>>ps ax |grep inetd
>>или
>>ps ax |grep xinetd
>
>Простите не понял, что покажет мне вывод. В inetd.conf ничего подозрительного

Таким образом хотел обратить внимание, что порт может открываться этими демонами (в этом случае netstat открытый порт не показывает). И если в процессах один из них висит - надо смотреть его конфиги.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Открытый порт после взлома"  +/
Сообщение от теоретик on 07-Май-10, 18:39 
>этом случае netstat открытый порт не показывает).

бред

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Открытый порт после взлома"  +/
Сообщение от Nimdar (ok) on 07-Май-10, 19:04 
>>этом случае netstat открытый порт не показывает).
>
>бред

Специально для вас.

# uname -sr
FreeBSD 7.3-RELEASE
# ps ax|grep inetd
40860  ??  Is     0:00.00 /usr/sbin/inetd
# grep -v \# /etc/inetd.conf
telnet  stream  tcp     nowait  root    /usr/libexec/telnetd    telnetd
# telnet localhost 23
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
telnet> q
Connection closed.
# netstat -anl | grep :23
#

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Открытый порт после взлома"  +/
Сообщение от аноним on 07-Май-10, 20:13 
>>>этом случае netstat открытый порт не показывает).
>>бред
>Специально для вас.
># uname -sr
>FreeBSD 7.3-RELEASE

...
># netstat -anl | grep :23
>#

ЭПИЧЕСКИЙ ПРИДУРОК! :)

Убери пайп с grep'ом и посмотри _как_ оно выдаёт инфу :)

Для тех у кого нет доступа - оно выдаёт в классическом виде - ip1.ip2.ip3.ip4.port а не в вебовом ip1.ip2.ip3.ip4:port ....

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Открытый порт после взлома"  +/
Сообщение от lavr email on 07-Май-10, 21:48 
>[оверквотинг удален]
>...
>># netstat -anl | grep :23
>>#
>
>ЭПИЧЕСКИЙ ПРИДУРОК! :)
>
>Убери пайп с grep'ом и посмотри _как_ оно выдаёт инфу :)
>
>Для тех у кого нет доступа - оно выдаёт в классическом виде
>- ip1.ip2.ip3.ip4.port а не в вебовом ip1.ip2.ip3.ip4:port ....

вы для начала на кошках потренируйтесь, чтобы бред и глупости на весь форум
не писать, развелось неучей, "теоретик"и, анонимы...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Открытый порт после взлома"  +/
Сообщение от теоретик on 08-Май-10, 04:02 
>вы для начала на кошках потренируйтесь, чтобы бред и глупости на весь
>форум не писать, развелось неучей, "теоретик"и, анонимы...

# netstat -anl | grep :37
tcp        0      0 0.0.0.0:37              0.0.0.0:*               LISTEN

# netstat -tuwapn |grep inetd
tcp        0      0 0.0.0.0:37              0.0.0.0:*               LISTEN      11931/xinetd

# cat /etc/debian_version
5.0

# netstat --version
net-tools 1.60
netstat 1.42 (2001-04-15)
Fred Baumgarten, Alan Cox, Bernd Eckenfels, Phil Blundell, Tuan Hoang and others
+NEW_ADDRT +RTF_IRTT +RTF_REJECT +FW_MASQUERADE +I18N
AF: (inet) +UNIX +INET +INET6 +IPX +AX25 +NETROM +X25 +ATALK +ECONET +ROSE
HW:  +ETHER +ARC +SLIP +PPP +TUNNEL +TR +AX25 +NETROM +X25 +FR +ROSE +ASH +SIT +FDDI +HIPPI +HDLC/LAPB +EUI64

Тут либо в BSD какой-то слишком хитрый netstat, либо я вообще не понимаю - какое нафиг нетстату дело кто именно открыл порт?
Может быть фаервол форвардит пакеты на :23 на какой другой порт? Или тебя тоже поломали давно, а ты и не в курсе? :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Открытый порт после взлома"  +/
Сообщение от Hate email(ok) on 08-Май-10, 07:30 
>[оверквотинг удален]
>AF: (inet) +UNIX +INET +INET6 +IPX +AX25 +NETROM +X25 +ATALK +ECONET +ROSE
>
>HW:  +ETHER +ARC +SLIP +PPP +TUNNEL +TR +AX25 +NETROM +X25 +FR
>+ROSE +ASH +SIT +FDDI +HIPPI +HDLC/LAPB +EUI64
>
>Тут либо в BSD какой-то слишком хитрый netstat, либо я вообще не
>понимаю - какое нафиг нетстату дело кто именно открыл порт?
>Может быть фаервол форвардит пакеты на :23 на какой другой порт? Или
>тебя тоже поломали давно, а ты и не в курсе? :)
>

Ну человек насчет вывода во фре прав.


# uname -sr
FreeBSD 8.0-STABLE


# netstat -anl | egrep 1.53
tcp4       0      0 127.0.0.1.53           *.*                    LISTEN
tcp4       0      0 192.168.15.1.53       *.*                    LISTEN
udp4       0      0 127.0.0.1.53           *.*                          
udp4       0      0 192.168.15.1.53       *.*


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Открытый порт после взлома"  +/
Сообщение от аноним on 10-Май-10, 21:21 
>>Убери пайп с grep'ом и посмотри _как_ оно выдаёт инфу :)
>>Для тех у кого нет доступа - оно выдаёт в классическом виде
>>- ip1.ip2.ip3.ip4.port а не в вебовом ip1.ip2.ip3.ip4:port ....
>
>вы для начала на кошках потренируйтесь, чтобы бред и глупости на весь
>форум не писать, развелось неучей, "теоретик"и, анонимы...

А ты точно lavr? Тот вроде про фряху не только слышал ... :)
В общем залогинься на любую да и проверь ...


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Открытый порт после взлома"  +/
Сообщение от sHaggY_caT (ok) on 09-Май-10, 15:38 
>Подскажите, сканирую Nmap-ом ip-адрес, вижу что открыт 21 порт, но netstat -lpn
>| grep :21 ничего не выдает. Система взламывалась, от чего смог
>вычистил - а эту заразу не могу найти. Как можно обнаружить
>что висит на порту?

По-моему, Вы занимаетесь тем, чем заниматься нельзя...

В нашей практике были взломы систем у новых клиентов (в таком они виде к нам приходили), и мы _никогда_ не пытались вычистить систему от взлома: только пересетап сервера с нуля.

корень взломанной системы тарится, и разворачивается в виртуальной машине без доступа во внешний мир, и используется _только_ для изучения способов взлома системы, и потенциальных дыр в Ваших конфигах!

При этом Вы должны исключить на 100% вероятность того, что взломщик будет сидеть вместе с Вами в шелле на виртуалке, и издеваться, когда Вы будете изучать взломанную ОС!

Заказать сервер в Европе, для временной замены этого, можно за несколько часов. Пожалуйста, не давайте повода кракеру издеваться над Вами и смеяться, не используйте скомпроментированную систему, так как Вы уже никогда не сможете гарантировать ее "чистоту", и того, что вычистив десять троянов, не найдется одиннадцатый, который кракер оставил на самый последний случай, и которым воспользуется только через год-два, когда Ваша бдительность будет совсем усыплена!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру