portscan su apache
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
- lupix
- Linux 1.x
- Messaggi: 102
- Iscritto il: dom 7 nov 2004, 0:00
- Nome Cognome: Luciano
- Località: Los Angeles
portscan su apache
Un mio amico e' riuscito a fare un portscan sulla porta di apache e nei log di apache mi ha lasciato un messaggio....Per il momento ho stoppato apache...Qualcuno sa dirmi come ha fatto e come evitare situazioni del genere......grazie
Se ci incolli la scritta possiamo provare a capire.
Se è del tipo
basta andare all'indirizzo tuoip/CiaoSonoDapuzz
Se è del tipo
Codice: Seleziona tutto
151.46.29.1 - - [08/Jul/2006:00:46:13 +0200] "GET /CiaoSonoDapuzz HTTP/1.1" 404
- albatros
- Iper Master
- Messaggi: 2093
- Iscritto il: sab 4 feb 2006, 13:59
- Kernel: 5.19.0
- Desktop: gnome and lxqt
- Distribuzione: ubuntu 22.04
- Località: Darmstadt - Germania
Basta un telnet sulla porta 80 (di solito) e una richiesta GET secondo il protocollo http...
Ma non ha fatto nulla di pericoloso...
Sì, per evitarlo puoi stoppare apache, ma che senso ha, allora, tenerlo attivo se non ti serve?
Se si collega da un ip fisso puoi bannarlo con iptables rifiutando i pacchetti provenienti dal suo ip...
Ma non ha fatto nulla di pericoloso...
Sì, per evitarlo puoi stoppare apache, ma che senso ha, allora, tenerlo attivo se non ti serve?
Se si collega da un ip fisso puoi bannarlo con iptables rifiutando i pacchetti provenienti dal suo ip...
Se non ti serve apache lo puoi non avviare all'avvio così
Altrimenti se non vuoi che sia accessibile dall'esterno puoi mettere il bind solo su 127.0.0.1 modificando il file /etc/apache/httpd.conf dove dice
E potrai accedere al tuo apache solo dal tuo pc.
Codice: Seleziona tutto
chmod -x /etc/rc.d/rc.httpd
Codice: Seleziona tutto
#BindAddress *
lo sostituisci con
BindAddress 127.0.0.1
- lupix
- Linux 1.x
- Messaggi: 102
- Iscritto il: dom 7 nov 2004, 0:00
- Nome Cognome: Luciano
- Località: Los Angeles
Scusa ma la sintassi com'e'?albatros ha scritto:Basta un telnet sulla porta 80 (di solito) e una richiesta GET secondo il protocollo http...
Ma non ha fatto nulla di pericoloso...
Sì, per evitarlo puoi stoppare apache, ma che senso ha, allora, tenerlo attivo se non ti serve?
Se si collega da un ip fisso puoi bannarlo con iptables rifiutando i pacchetti provenienti dal suo ip...
telnet indirizzoip 80 e poi???
GET MessaggioDaInserire HTTP/1.0
Ma è equivalente ad aprire il browser e visitare la pagina http://tuoip/MessaggioDaInserire !!!
Ma è equivalente ad aprire il browser e visitare la pagina http://tuoip/MessaggioDaInserire !!!
- albatros
- Iper Master
- Messaggi: 2093
- Iscritto il: sab 4 feb 2006, 13:59
- Kernel: 5.19.0
- Desktop: gnome and lxqt
- Distribuzione: ubuntu 22.04
- Località: Darmstadt - Germania
Vero.
Il log di apache ti dice semplicemente che qualcuno ha richiesto il file chiamato "ciao-sono-mazinga-ti-distruggero-il-pc-in-5-secondi" e il tuo bravo web server gli ha risposto: "404", ovvero "questo file non esiste, bischero!".
E' divertente usare il telnet per vedere quello che succede dietro le quinte quando si usano browser e client di posta, ma è un metodo estremamente scomodo (telnet l'ho usato anche anni addietro in una lan per fare login su altri pc, ma ormai da un pezzo si usa solo ssh - ovviamente, direi).
Quando usi un browser web e scrivi un indirizzo nell'apposita barra, il tuo browser provvede per te a usare l'apposito protocollo (http per le pagine web, ma anche https, ftp o gopher, quest'ultimo ormai in via di estinzione) per formulare la richiesta e farti vedere il file così ottenuto già formattato a dovere secondo le indicazioni dei tag html presenti.
Ti anticipo che ho fatto solo alcune prove "just for fun" e che non sarei in grado di andare molto in là senza avere sottomano un po' di documentazione (per i protocolli http, smtp e pop3, già molto meglio con l'ftp che uso ancora spesso da linea di comando), non sono quindi in grado di assisterti se ti interesserai più a fondo della faccenda, in rete c'è però un sacco di documentazione e, qui su slacky, dei professionisti che potranno darti qualche dritta...
Il log di apache ti dice semplicemente che qualcuno ha richiesto il file chiamato "ciao-sono-mazinga-ti-distruggero-il-pc-in-5-secondi" e il tuo bravo web server gli ha risposto: "404", ovvero "questo file non esiste, bischero!".
E' divertente usare il telnet per vedere quello che succede dietro le quinte quando si usano browser e client di posta, ma è un metodo estremamente scomodo (telnet l'ho usato anche anni addietro in una lan per fare login su altri pc, ma ormai da un pezzo si usa solo ssh - ovviamente, direi).
Quando usi un browser web e scrivi un indirizzo nell'apposita barra, il tuo browser provvede per te a usare l'apposito protocollo (http per le pagine web, ma anche https, ftp o gopher, quest'ultimo ormai in via di estinzione) per formulare la richiesta e farti vedere il file così ottenuto già formattato a dovere secondo le indicazioni dei tag html presenti.
Ti anticipo che ho fatto solo alcune prove "just for fun" e che non sarei in grado di andare molto in là senza avere sottomano un po' di documentazione (per i protocolli http, smtp e pop3, già molto meglio con l'ftp che uso ancora spesso da linea di comando), non sono quindi in grado di assisterti se ti interesserai più a fondo della faccenda, in rete c'è però un sacco di documentazione e, qui su slacky, dei professionisti che potranno darti qualche dritta...
- lupix
- Linux 1.x
- Messaggi: 102
- Iscritto il: dom 7 nov 2004, 0:00
- Nome Cognome: Luciano
- Località: Los Angeles
Si siete stati tutti molto chiari.....ma oltre ad aver richiesto un file che non esiste lasciandomi di conseguenza il messaggio.......e' riuscito a sapere il nome dell'host e il relativo kernel......albatros ha scritto:Vero.
Il log di apache ti dice semplicemente che qualcuno ha richiesto il file chiamato "ciao-sono-mazinga-ti-distruggero-il-pc-in-5-secondi" e il tuo bravo web server gli ha risposto: "404", ovvero "questo file non esiste, bischero!".
.
Secondo voi come avra' fatto?
Io credo che abbia sfruttao la index.php.....
Ditemi voi...
E ancora....Non ho capito bene come ha fatto...
Mi avete detto che ha utilizzato telnet ip :80 GET/messaggio da inserire/http 1.1
Ma sta cosa mica funziona....???Grazie e ciao
- albatros
- Iper Master
- Messaggi: 2093
- Iscritto il: sab 4 feb 2006, 13:59
- Kernel: 5.19.0
- Desktop: gnome and lxqt
- Distribuzione: ubuntu 22.04
- Località: Darmstadt - Germania
Per il kernel può darsi abbia usato nmap -O.
Il nome host può darsi glielo abbia detto apache nella risposta di errore o che l'abbia ricavato da altri servizi attivi...
La index.php, se scritta bene, dovrebbe rivelare poco, perché non viene passata a chi ne fa richiesta, ma solo il codice html da esse prodotto...
Come già detto da Dapuzz, molto probabilmente non ha usato telnet, ma una semplice richiesta http con un browser...
Per le richieste manuali occorre essere precisi nella sintassi, ma se dai telnet 127.0.0.1 80 dal tuo pc dovresti avere una risposta tipo:
telnet 127.0.0.1 80
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
Naturalmente supponendo che abbia apache in ascolto su tale porta...
Ma, scusa, se è un amico, chiedi a lui come ha fatto, no?
Se lo ha fatto per dimostrarti che ne sa più di te, fregalo documentandoti a fondo, ma senza andare in paranoia, mi raccomando...
Il nome host può darsi glielo abbia detto apache nella risposta di errore o che l'abbia ricavato da altri servizi attivi...
La index.php, se scritta bene, dovrebbe rivelare poco, perché non viene passata a chi ne fa richiesta, ma solo il codice html da esse prodotto...
Come già detto da Dapuzz, molto probabilmente non ha usato telnet, ma una semplice richiesta http con un browser...
Per le richieste manuali occorre essere precisi nella sintassi, ma se dai telnet 127.0.0.1 80 dal tuo pc dovresti avere una risposta tipo:
telnet 127.0.0.1 80
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
Naturalmente supponendo che abbia apache in ascolto su tale porta...
Ma, scusa, se è un amico, chiedi a lui come ha fatto, no?
Se lo ha fatto per dimostrarti che ne sa più di te, fregalo documentandoti a fondo, ma senza andare in paranoia, mi raccomando...