[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: Novembre 2001 ml@sikurezza.org
Soggetto: Re: Porte strane su server win2k
Mittente: Igor Falcomata'
Data: 17 Nov 2001 00:42:05 -0000
On Fri, Nov 16, 2001 at 09:43:04PM +0100, Antonio Stefanelli wrote:

> Salve,
> oggi per puro caso ho trovato le seguenti porte sul server che abbiamo in 
> azienda:
> 
> ...
> 12345/tcp  filtered    NetBus
> 12346/tcp  filtered    NetBus
> 27665/tcp  filtered    Trinoo_Master
> 31337/tcp  filtered    Elite
> 54320/tcp  filtered    bo2k
> 
> Il server ha windows 2000 server, e vorrei capire cosa sono queste porte, 
> perchè sono filtered e soprattutto se sono insicure!

[mi sembrava di aver gia' risposto a una cosa simile da qualche parte, ma non
riesco a trovare niente al riguardo, uff]

allora.. quando nmap da una porta "filtered" e' perche' non ha ricevuto una
risposta, di nessun tipo, al pacchetto syn inviato (suppongo che tu abbia
fatto un connect (default oppure -sT, l'opzione migliore quando cerchiamo un
risultato affidabile)) oppure un syn-scan (-sT). Quando ti segnala i
filtered esplicitamente, e' perche' la maggior parte della altre porte erano
nello stato closed (ovvero e' stato ricevuto un pacchetto rst all'invio
dell'apposito syn). E' interessante cercare di capire perche' ti dia queste
porte come filtered.. ma le spiegazioni possibili sono parecchie.. a
giudicare pero' dalle porte (tutte di know trojan o programmi di controllo
remoto), credo che la + verosimile sia questa:

hai fatto lo scan da Internet, e la tua macchina sta su un provider che
filtra automaticamente queste porte, oppure hai un router/fw/qualcosa che ha
impostato questo tipo di filtro (per impostazione di default o perche'
qualcuno lo ha fatto).

E' da notare che se hai fatto lo scan da rete locale e/o sei sicuro di non
passare attraverso niente che filtri queste porte, la cosa diventa
interessante (potrebbero essere porte che sono effettivamente aperte, ma
rispondono solamente ad un certo ip o in base a un qualche tipo di auth
insita nel syn iniziale (o in qualcos'altro) [non si parlava di covert
channels giusto qualche post fa? :] ma credo che stiamo gia' entrando nella
sci fi :)

ps: un tcpdump aperto e una minima conoscenza del tcpip, il man di nmap e la
pagina dell'autore (www.insecure.org), nonche vari paper di cui si e'
parlato anche in lista e su bugtraq, vedi per esempio
http://www.sys-security.com/html/papers.html (Network Scanning Techniques, e
gia' che sei li' anche gli altri interessanti paper :) sono un buon punto di
partenza per capire come portscannarsi efficacemente ed interpretare i
risultati :)

bye,
Koba (moderatore)

Igor Falcomata'
IT Security Manager & Consultant
Infosec srl - http://www.infosec.it
Network Security and Data Defense
 --
free advertising: www.openbsd.org - Multiplatform Ultra-secure OS

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005