portscan su apache

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
lupix
Linux 1.x
Linux 1.x
Messaggi: 102
Iscritto il: dom 7 nov 2004, 0:00
Nome Cognome: Luciano
Località: Los Angeles

portscan su apache

Messaggio da lupix »

Un mio amico e' riuscito a fare un portscan sulla porta di apache e nei log di apache mi ha lasciato un messaggio....Per il momento ho stoppato apache...Qualcuno sa dirmi come ha fatto e come evitare situazioni del genere......grazie

bloodlust
Linux 3.x
Linux 3.x
Messaggi: 523
Iscritto il: mar 14 feb 2006, 12:02
Slackware: -1
Località: it_IT

Messaggio da bloodlust »

un portscan lo può fare chiunque conoscendo il tuo ip.
in che modo te lo ha lasciato il messaggio? tentativi di login?

Avatar utente
lupix
Linux 1.x
Linux 1.x
Messaggi: 102
Iscritto il: dom 7 nov 2004, 0:00
Nome Cognome: Luciano
Località: Los Angeles

Messaggio da lupix »

Nei log di apache mi e' comparsa una scritta dopo il suo ip....Ma come ha fatto?

Avatar utente
dapuzz
Linux 4.x
Linux 4.x
Messaggi: 1137
Iscritto il: mar 16 mag 2006, 11:09
Contatta:

Messaggio da dapuzz »

Se ci incolli la scritta possiamo provare a capire.
Se è del tipo

Codice: Seleziona tutto

151.46.29.1 - - [08/Jul/2006:00:46:13 +0200] "GET /CiaoSonoDapuzz HTTP/1.1" 404 
basta andare all'indirizzo tuoip/CiaoSonoDapuzz :D

Avatar utente
lupix
Linux 1.x
Linux 1.x
Messaggi: 102
Iscritto il: dom 7 nov 2004, 0:00
Nome Cognome: Luciano
Località: Los Angeles

Messaggio da lupix »

Si e' esattamente cosi'.......
Mi spiegate come ha fatto?
E poi come posso evitare cio'?Mi basta semplicemente stoppare il demone apache

Avatar utente
albatros
Iper Master
Iper Master
Messaggi: 2093
Iscritto il: sab 4 feb 2006, 13:59
Kernel: 5.19.0
Desktop: gnome and lxqt
Distribuzione: ubuntu 22.04
Località: Darmstadt - Germania

Messaggio da albatros »

Basta un telnet sulla porta 80 (di solito) e una richiesta GET secondo il protocollo http...
Ma non ha fatto nulla di pericoloso...
Sì, per evitarlo puoi stoppare apache, ma che senso ha, allora, tenerlo attivo se non ti serve?
Se si collega da un ip fisso puoi bannarlo con iptables rifiutando i pacchetti provenienti dal suo ip...

Avatar utente
dapuzz
Linux 4.x
Linux 4.x
Messaggi: 1137
Iscritto il: mar 16 mag 2006, 11:09
Contatta:

Messaggio da dapuzz »

Se non ti serve apache lo puoi non avviare all'avvio così

Codice: Seleziona tutto

chmod -x /etc/rc.d/rc.httpd
Altrimenti se non vuoi che sia accessibile dall'esterno puoi mettere il bind solo su 127.0.0.1 modificando il file /etc/apache/httpd.conf dove dice

Codice: Seleziona tutto

#BindAddress * 
lo sostituisci con 
BindAddress 127.0.0.1
E potrai accedere al tuo apache solo dal tuo pc.

Avatar utente
lupix
Linux 1.x
Linux 1.x
Messaggi: 102
Iscritto il: dom 7 nov 2004, 0:00
Nome Cognome: Luciano
Località: Los Angeles

Messaggio da lupix »

albatros ha scritto:Basta un telnet sulla porta 80 (di solito) e una richiesta GET secondo il protocollo http...
Ma non ha fatto nulla di pericoloso...
Sì, per evitarlo puoi stoppare apache, ma che senso ha, allora, tenerlo attivo se non ti serve?
Se si collega da un ip fisso puoi bannarlo con iptables rifiutando i pacchetti provenienti dal suo ip...
Scusa ma la sintassi com'e'?
telnet indirizzoip 80 e poi???

Avatar utente
dapuzz
Linux 4.x
Linux 4.x
Messaggi: 1137
Iscritto il: mar 16 mag 2006, 11:09
Contatta:

Messaggio da dapuzz »

GET MessaggioDaInserire HTTP/1.0
Ma è equivalente ad aprire il browser e visitare la pagina http://tuoip/MessaggioDaInserire !!!

Avatar utente
albatros
Iper Master
Iper Master
Messaggi: 2093
Iscritto il: sab 4 feb 2006, 13:59
Kernel: 5.19.0
Desktop: gnome and lxqt
Distribuzione: ubuntu 22.04
Località: Darmstadt - Germania

Messaggio da albatros »

Vero.
Il log di apache ti dice semplicemente che qualcuno ha richiesto il file chiamato "ciao-sono-mazinga-ti-distruggero-il-pc-in-5-secondi" e il tuo bravo web server gli ha risposto: "404", ovvero "questo file non esiste, bischero!".
E' divertente usare il telnet per vedere quello che succede dietro le quinte quando si usano browser e client di posta, ma è un metodo estremamente scomodo (telnet l'ho usato anche anni addietro in una lan per fare login su altri pc, ma ormai da un pezzo si usa solo ssh - ovviamente, direi).
Quando usi un browser web e scrivi un indirizzo nell'apposita barra, il tuo browser provvede per te a usare l'apposito protocollo (http per le pagine web, ma anche https, ftp o gopher, quest'ultimo ormai in via di estinzione) per formulare la richiesta e farti vedere il file così ottenuto già formattato a dovere secondo le indicazioni dei tag html presenti.
Ti anticipo che ho fatto solo alcune prove "just for fun" e che non sarei in grado di andare molto in là senza avere sottomano un po' di documentazione (per i protocolli http, smtp e pop3, già molto meglio con l'ftp che uso ancora spesso da linea di comando), non sono quindi in grado di assisterti se ti interesserai più a fondo della faccenda, in rete c'è però un sacco di documentazione e, qui su slacky, dei professionisti che potranno darti qualche dritta...

Avatar utente
lupix
Linux 1.x
Linux 1.x
Messaggi: 102
Iscritto il: dom 7 nov 2004, 0:00
Nome Cognome: Luciano
Località: Los Angeles

Messaggio da lupix »

albatros ha scritto:Vero.
Il log di apache ti dice semplicemente che qualcuno ha richiesto il file chiamato "ciao-sono-mazinga-ti-distruggero-il-pc-in-5-secondi" e il tuo bravo web server gli ha risposto: "404", ovvero "questo file non esiste, bischero!".
.
Si siete stati tutti molto chiari.....ma oltre ad aver richiesto un file che non esiste lasciandomi di conseguenza il messaggio.......e' riuscito a sapere il nome dell'host e il relativo kernel......
Secondo voi come avra' fatto?
Io credo che abbia sfruttao la index.php.....
Ditemi voi...
E ancora....Non ho capito bene come ha fatto...
Mi avete detto che ha utilizzato telnet ip :80 GET/messaggio da inserire/http 1.1
Ma sta cosa mica funziona....???Grazie e ciao

Avatar utente
albatros
Iper Master
Iper Master
Messaggi: 2093
Iscritto il: sab 4 feb 2006, 13:59
Kernel: 5.19.0
Desktop: gnome and lxqt
Distribuzione: ubuntu 22.04
Località: Darmstadt - Germania

Messaggio da albatros »

Per il kernel può darsi abbia usato nmap -O.
Il nome host può darsi glielo abbia detto apache nella risposta di errore o che l'abbia ricavato da altri servizi attivi...
La index.php, se scritta bene, dovrebbe rivelare poco, perché non viene passata a chi ne fa richiesta, ma solo il codice html da esse prodotto...
Come già detto da Dapuzz, molto probabilmente non ha usato telnet, ma una semplice richiesta http con un browser...
Per le richieste manuali occorre essere precisi nella sintassi, ma se dai telnet 127.0.0.1 80 dal tuo pc dovresti avere una risposta tipo:
telnet 127.0.0.1 80

Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.

Naturalmente supponendo che abbia apache in ascolto su tale porta...

Ma, scusa, se è un amico, chiedi a lui come ha fatto, no?
Se lo ha fatto per dimostrarti che ne sa più di te, fregalo documentandoti a fondo, ma senza andare in paranoia, mi raccomando...

Avatar utente
lupix
Linux 1.x
Linux 1.x
Messaggi: 102
Iscritto il: dom 7 nov 2004, 0:00
Nome Cognome: Luciano
Località: Los Angeles

Messaggio da lupix »

Si e' un amico,ma di certo non ha voluto dimostrare niente.....
Resta il fatto che anche io vorrei sapere come si fanno queste cose....Lui le ha imparate al lavoro.....
Io sono all'universita' e di queste cose non mi ha detto niente nessuno.....Grazie ancora

nik600
Linux 2.x
Linux 2.x
Messaggi: 450
Iscritto il: lun 15 mar 2004, 0:00
Contatta:

Messaggio da nik600 »

all'università non tele insegneranno mai...
un po di google e smanettamente vari insegnano tutto ;-)

Rispondi