Repository 32bit  Forum
Repository 64bit  Wiki

%NMAP URGE AIUTO%

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

%NMAP URGE AIUTO%

Messaggioda @verflow! » mer mar 29, 2006 22:52

1] Salve raga volevo postarvi il mio output dell nmap -sF -p1-65535 mio ip...mi sa che cè qualcosa che nn va..

(The 65527 ports scanned but not shown below are in state: closed)

PORT STATE SERVICE
22/tcp open|filtered ssh
37/tcp open|filtered time
113/tcp open|filtered auth
5214/tcp open|filtered unknown
6000/tcp open|filtered X11
27182/tcp open|filtered unknown
32874/tcp open|filtered unknown
45100/tcp open|filtered unknown

Nmap finished: 1 IP address (1 host up) scanned in 6.704 seconds

2] quest altro invece è cn il localhost:

(The 65528 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open|filtered ssh
37/tcp open|filtered time
113/tcp open|filtered auth
6000/tcp open|filtered X11
27182/tcp open|filtered unknown
32874/tcp open|filtered unknown
45100/tcp open|filtered unknown

Nmap finished: 1 IP address (1 host up) scanned in 7.624 seconds

Mi sapreste dire se cè qualcosa che nn va??

GRAZIE INFINITE ;)
@verflow!
Linux 2.0
Linux 2.0
 
Messaggi: 143
Iscritto il: dom feb 19, 2006 18:27
Località: Dervio (Lecco/Sondrio)

Messaggioda sid77 » gio mar 30, 2006 9:15

mi sa che sei stato vittima di una intrusione... e mi sa anche che ti hanno beccato la root... consigli veloci:
1) denuncia l'accaduto alle autorità competenti
2) inserisci un livecd
3) esegui un datadump del disco per effettuare un analisi forense (hdX è il device del tuo disco):
Codice: Seleziona tutto
dd if=/dev/zero of=/dev/hdX


ciao e in bocca al lupo...
Avatar utente
sid77
Linux 2.6
Linux 2.6
 
Messaggi: 568
Iscritto il: mar mag 31, 2005 23:00
Località: PowerPC
Slackware: 12.0/12.1/curr (ppc)

Messaggioda @verflow! » gio mar 30, 2006 13:15

Cavolo....Grazie per la risposta ora vedo quello che riesco a fare..
Ti ringraziio ancora :cry: :cry: :cry:
@verflow!
Linux 2.0
Linux 2.0
 
Messaggi: 143
Iscritto il: dom feb 19, 2006 18:27
Località: Dervio (Lecco/Sondrio)

Messaggioda syaochan » gio mar 30, 2006 13:29

sid77 ha scritto:mi sa che sei stato vittima di una intrusione...
:? da cosa si capisce?
Avatar utente
syaochan
Linux 2.6
Linux 2.6
 
Messaggi: 659
Iscritto il: sab mag 08, 2004 23:00
Nome Cognome: Christian
Slackware: current 64
Kernel: 2.6.38.7
Desktop: KDE 4.5.5

Messaggioda @verflow! » gio mar 30, 2006 14:49

raga volevo dirvi che ho fatto diversi controlli cn fuser -n tcp numeroPorta e cn ps ax | grep risultatoFuser..
Fortunatamente nn ho subito alcun tipo di attacco..comunque per maggiore sicurezza ho disabilitato inetd e sshd..
Grazie comunque per l avvertimento..
Cià
@verflow!
Linux 2.0
Linux 2.0
 
Messaggi: 143
Iscritto il: dom feb 19, 2006 18:27
Località: Dervio (Lecco/Sondrio)

Messaggioda Luci0 » gio mar 30, 2006 15:37

le uniche che non convicono sono ...

27182/tcp open|filtered unknown
32874/tcp open|filtered unknown
45100/tcp open|filtered unknown

prova da root con

netstat -n -a -p | grep <numero porta>
dovresti riuscire a capire quale programma la sta utilizzando ... e in tal caso vedere se c' é da preoccuparsi ... ma un hacker come te di che cosa si deve preoccupare poi !! :P

... occhio a consigli di sid77 che a volte é anche spiritoso
:twisted:
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Messaggioda sid77 » gio mar 30, 2006 15:48

Luci0 ha scritto:... occhio a consigli di sid77 che a volte é anche spiritoso
:twisted:

acc! mi hai scoperto!
/me fugge lanciando una bombafumogenaninjatuttoattacato :wink:

ciao
Avatar utente
sid77
Linux 2.6
Linux 2.6
 
Messaggi: 568
Iscritto il: mar mag 31, 2005 23:00
Località: PowerPC
Slackware: 12.0/12.1/curr (ppc)

Messaggioda @verflow! » gio mar 30, 2006 17:32

No infatti l ho presa ank io come spiritosaggine...Nn mi sognerei mai di dare dd if=/dev/zero of=/dev/hdX :P
Comunque ho risolto tutto nn cè nulla di cui preoccuparsi :D

PS:nn sono un hacker sono solo un guy che smanetta cn linux al quale è piaciuto quell avatar ;)

Ora mi sono procurato un po di documentazioni circa iptables e vedrò (di capirci qualcosa :D )d i mettere su un buon firewall..
Sta faccenda mi ha fatto venir su un bel po di strizza :D
Grazie tante per i consigli...(anke quello di SID77 :P )
Siete grandi...
cià @!
@verflow!
Linux 2.0
Linux 2.0
 
Messaggi: 143
Iscritto il: dom feb 19, 2006 18:27
Località: Dervio (Lecco/Sondrio)

Messaggioda sid77 » gio mar 30, 2006 20:42

@verflow! ha scritto:Ora mi sono procurato un po di documentazioni circa iptables e vedrò (di capirci qualcosa :D )d i mettere su un buon firewall..

se non avvii daemoni particolari puoi anche non usarlo :) a volte è anche utile giocare con sysctl e /proc per sistemare un paio di problemini qua e la. a proposito: su linux&c di questo mese c'è un bellissimo articolo a proposito.

ciao
Avatar utente
sid77
Linux 2.6
Linux 2.6
 
Messaggi: 568
Iscritto il: mar mag 31, 2005 23:00
Località: PowerPC
Slackware: 12.0/12.1/curr (ppc)

Messaggioda @verflow! » gio mar 30, 2006 22:02

Grazie per l informazione..ne terrò conto..
Ciao zio :D
@verflow!
Linux 2.0
Linux 2.0
 
Messaggi: 143
Iscritto il: dom feb 19, 2006 18:27
Località: Dervio (Lecco/Sondrio)

Messaggioda syaochan » ven mar 31, 2006 14:10

syaochan ha scritto:
sid77 ha scritto:mi sa che sei stato vittima di una intrusione...
:? da cosa si capisce?
Ah Megami-sama! Avevo il neurone in pausa caffe' :oops: Dove posso andare a nascondermi? ^^;;;;;;;;;;;;;;
Avatar utente
syaochan
Linux 2.6
Linux 2.6
 
Messaggi: 659
Iscritto il: sab mag 08, 2004 23:00
Nome Cognome: Christian
Slackware: current 64
Kernel: 2.6.38.7
Desktop: KDE 4.5.5

Messaggioda bloodlust » ven mar 31, 2006 14:14

sid77 ha scritto:3) esegui un datadump del disco per effettuare un analisi forense (hdX è il device del tuo disco):
Codice: Seleziona tutto
dd if=/dev/zero of=/dev/hdX



Attenzione ragazzi a scrivere queste cose sul forum dove tutti leggono... qualche utente "distratto" o qualche nuova recluta che non pensa prima di operare potrebbe fare dei seri casini...

ciao!
bloodlust
Linux 2.6
Linux 2.6
 
Messaggi: 523
Iscritto il: mar feb 14, 2006 12:02
Località: it_IT
Slackware: -1

Messaggioda sid77 » ven mar 31, 2006 14:21

bloodlust ha scritto:qualche utente "distratto" o qualche nuova recluta che non pensa prima di operare potrebbe fare dei seri casini...

allora gli si potrebbe anche dare il benvenuto :D
Avatar utente
sid77
Linux 2.6
Linux 2.6
 
Messaggi: 568
Iscritto il: mar mag 31, 2005 23:00
Località: PowerPC
Slackware: 12.0/12.1/curr (ppc)

Re: %NMAP URGE AIUTO%

Messaggioda darkstoorm » ven mar 31, 2006 14:58

controlla a cosa dovrebbero corrispondere le porte segnate come "unknown" in /etc/services e poi installa chkrootkit e fai un controllo!

mix




@verflow! ha scritto:1] Salve raga volevo postarvi il mio output dell nmap -sF -p1-65535 mio ip...mi sa che cè qualcosa che nn va..

(The 65527 ports scanned but not shown below are in state: closed)

PORT STATE SERVICE
22/tcp open|filtered ssh
37/tcp open|filtered time
113/tcp open|filtered auth
5214/tcp open|filtered unknown
6000/tcp open|filtered X11
27182/tcp open|filtered unknown
32874/tcp open|filtered unknown
45100/tcp open|filtered unknown

Nmap finished: 1 IP address (1 host up) scanned in 6.704 seconds

2] quest altro invece è cn il localhost:

(The 65528 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open|filtered ssh
37/tcp open|filtered time
113/tcp open|filtered auth
6000/tcp open|filtered X11
27182/tcp open|filtered unknown
32874/tcp open|filtered unknown
45100/tcp open|filtered unknown

Nmap finished: 1 IP address (1 host up) scanned in 7.624 seconds

Mi sapreste dire se cè qualcosa che nn va??

GRAZIE INFINITE ;)
Avatar utente
darkstoorm
Linux 2.0
Linux 2.0
 
Messaggi: 146
Iscritto il: lun ago 30, 2004 23:00
Località: Trieste
Slackware: 12.0.0
Kernel: 2.6.21.5-smp (SMP)
Desktop: shell testuale

Messaggioda Vlk » sab apr 01, 2006 14:21

Chiudete le porte, che fa freddo:
Codice: Seleziona tutto
Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-04-01 15:18 CEST
Interesting ports on darkstar.example.net (127.0.0.1):
(The 65534 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
631/tcp  open  ipp
6000/tcp open  X11

Vorrei chiudere pure queste all'esterno, posso farlo o no?
Vlk
Linux 2.6
Linux 2.6
 
Messaggi: 671
Iscritto il: mer feb 09, 2005 0:00

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite