Pagina 1 di 1

portscan su apache

Inviato: ven set 08, 2006 21:29
da lupix
Un mio amico e' riuscito a fare un portscan sulla porta di apache e nei log di apache mi ha lasciato un messaggio....Per il momento ho stoppato apache...Qualcuno sa dirmi come ha fatto e come evitare situazioni del genere......grazie

Inviato: ven set 08, 2006 21:39
da bloodlust
un portscan lo può fare chiunque conoscendo il tuo ip.
in che modo te lo ha lasciato il messaggio? tentativi di login?

Inviato: ven set 08, 2006 22:06
da lupix
Nei log di apache mi e' comparsa una scritta dopo il suo ip....Ma come ha fatto?

Inviato: ven set 08, 2006 22:09
da dapuzz
Se ci incolli la scritta possiamo provare a capire.
Se è del tipo

Codice: Seleziona tutto

151.46.29.1 - - [08/Jul/2006:00:46:13 +0200] "GET /CiaoSonoDapuzz HTTP/1.1" 404

basta andare all'indirizzo tuoip/CiaoSonoDapuzz :D

Inviato: ven set 08, 2006 23:36
da lupix
Si e' esattamente cosi'.......
Mi spiegate come ha fatto?
E poi come posso evitare cio'?Mi basta semplicemente stoppare il demone apache

Inviato: ven set 08, 2006 23:43
da albatros
Basta un telnet sulla porta 80 (di solito) e una richiesta GET secondo il protocollo http...
Ma non ha fatto nulla di pericoloso...
Sì, per evitarlo puoi stoppare apache, ma che senso ha, allora, tenerlo attivo se non ti serve?
Se si collega da un ip fisso puoi bannarlo con iptables rifiutando i pacchetti provenienti dal suo ip...

Inviato: ven set 08, 2006 23:46
da dapuzz
Se non ti serve apache lo puoi non avviare all'avvio così

Codice: Seleziona tutto

chmod -x /etc/rc.d/rc.httpd

Altrimenti se non vuoi che sia accessibile dall'esterno puoi mettere il bind solo su 127.0.0.1 modificando il file /etc/apache/httpd.conf dove dice

Codice: Seleziona tutto

#BindAddress *
lo sostituisci con
BindAddress 127.0.0.1

E potrai accedere al tuo apache solo dal tuo pc.

Inviato: sab set 09, 2006 0:22
da lupix
albatros ha scritto:Basta un telnet sulla porta 80 (di solito) e una richiesta GET secondo il protocollo http...
Ma non ha fatto nulla di pericoloso...
Sì, per evitarlo puoi stoppare apache, ma che senso ha, allora, tenerlo attivo se non ti serve?
Se si collega da un ip fisso puoi bannarlo con iptables rifiutando i pacchetti provenienti dal suo ip...


Scusa ma la sintassi com'e'?
telnet indirizzoip 80 e poi???

Inviato: sab set 09, 2006 0:25
da dapuzz
GET MessaggioDaInserire HTTP/1.0
Ma è equivalente ad aprire il browser e visitare la pagina http://tuoip/MessaggioDaInserire !!!

Inviato: sab set 09, 2006 1:48
da albatros
Vero.
Il log di apache ti dice semplicemente che qualcuno ha richiesto il file chiamato "ciao-sono-mazinga-ti-distruggero-il-pc-in-5-secondi" e il tuo bravo web server gli ha risposto: "404", ovvero "questo file non esiste, bischero!".
E' divertente usare il telnet per vedere quello che succede dietro le quinte quando si usano browser e client di posta, ma è un metodo estremamente scomodo (telnet l'ho usato anche anni addietro in una lan per fare login su altri pc, ma ormai da un pezzo si usa solo ssh - ovviamente, direi).
Quando usi un browser web e scrivi un indirizzo nell'apposita barra, il tuo browser provvede per te a usare l'apposito protocollo (http per le pagine web, ma anche https, ftp o gopher, quest'ultimo ormai in via di estinzione) per formulare la richiesta e farti vedere il file così ottenuto già formattato a dovere secondo le indicazioni dei tag html presenti.
Ti anticipo che ho fatto solo alcune prove "just for fun" e che non sarei in grado di andare molto in là senza avere sottomano un po' di documentazione (per i protocolli http, smtp e pop3, già molto meglio con l'ftp che uso ancora spesso da linea di comando), non sono quindi in grado di assisterti se ti interesserai più a fondo della faccenda, in rete c'è però un sacco di documentazione e, qui su slacky, dei professionisti che potranno darti qualche dritta...

Inviato: sab set 09, 2006 12:47
da lupix
albatros ha scritto:Vero.
Il log di apache ti dice semplicemente che qualcuno ha richiesto il file chiamato "ciao-sono-mazinga-ti-distruggero-il-pc-in-5-secondi" e il tuo bravo web server gli ha risposto: "404", ovvero "questo file non esiste, bischero!".
.


Si siete stati tutti molto chiari.....ma oltre ad aver richiesto un file che non esiste lasciandomi di conseguenza il messaggio.......e' riuscito a sapere il nome dell'host e il relativo kernel......
Secondo voi come avra' fatto?
Io credo che abbia sfruttao la index.php.....
Ditemi voi...
E ancora....Non ho capito bene come ha fatto...
Mi avete detto che ha utilizzato telnet ip :80 GET/messaggio da inserire/http 1.1
Ma sta cosa mica funziona....???Grazie e ciao

Inviato: sab set 09, 2006 14:42
da albatros
Per il kernel può darsi abbia usato nmap -O.
Il nome host può darsi glielo abbia detto apache nella risposta di errore o che l'abbia ricavato da altri servizi attivi...
La index.php, se scritta bene, dovrebbe rivelare poco, perché non viene passata a chi ne fa richiesta, ma solo il codice html da esse prodotto...
Come già detto da Dapuzz, molto probabilmente non ha usato telnet, ma una semplice richiesta http con un browser...
Per le richieste manuali occorre essere precisi nella sintassi, ma se dai telnet 127.0.0.1 80 dal tuo pc dovresti avere una risposta tipo:
telnet 127.0.0.1 80

Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.

Naturalmente supponendo che abbia apache in ascolto su tale porta...

Ma, scusa, se è un amico, chiedi a lui come ha fatto, no?
Se lo ha fatto per dimostrarti che ne sa più di te, fregalo documentandoti a fondo, ma senza andare in paranoia, mi raccomando...

Inviato: sab set 09, 2006 16:09
da lupix
Si e' un amico,ma di certo non ha voluto dimostrare niente.....
Resta il fatto che anche io vorrei sapere come si fanno queste cose....Lui le ha imparate al lavoro.....
Io sono all'universita' e di queste cose non mi ha detto niente nessuno.....Grazie ancora

Inviato: ven ott 20, 2006 20:29
da nik600
all'università non tele insegneranno mai...
un po di google e smanettamente vari insegnano tutto ;-)