Repository 32bit  Forum
Repository 64bit  Wiki

portscan su apache

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

portscan su apache

Messaggioda lupix » ven set 08, 2006 20:29

Un mio amico e' riuscito a fare un portscan sulla porta di apache e nei log di apache mi ha lasciato un messaggio....Per il momento ho stoppato apache...Qualcuno sa dirmi come ha fatto e come evitare situazioni del genere......grazie
Avatar utente
lupix
Linux 2.0
Linux 2.0
 
Messaggi: 102
Iscritto il: dom nov 07, 2004 0:00
Località: Los Angeles
Nome Cognome: Luciano

Messaggioda bloodlust » ven set 08, 2006 20:39

un portscan lo può fare chiunque conoscendo il tuo ip.
in che modo te lo ha lasciato il messaggio? tentativi di login?
bloodlust
Linux 2.6
Linux 2.6
 
Messaggi: 523
Iscritto il: mar feb 14, 2006 12:02
Località: it_IT
Slackware: -1

Messaggioda lupix » ven set 08, 2006 21:06

Nei log di apache mi e' comparsa una scritta dopo il suo ip....Ma come ha fatto?
Avatar utente
lupix
Linux 2.0
Linux 2.0
 
Messaggi: 102
Iscritto il: dom nov 07, 2004 0:00
Località: Los Angeles
Nome Cognome: Luciano

Messaggioda dapuzz » ven set 08, 2006 21:09

Se ci incolli la scritta possiamo provare a capire.
Se è del tipo
Codice: Seleziona tutto
151.46.29.1 - - [08/Jul/2006:00:46:13 +0200] "GET /CiaoSonoDapuzz HTTP/1.1" 404

basta andare all'indirizzo tuoip/CiaoSonoDapuzz :D
Avatar utente
dapuzz
Linux 3.x
Linux 3.x
 
Messaggi: 1136
Iscritto il: mar mag 16, 2006 10:09

Messaggioda lupix » ven set 08, 2006 22:36

Si e' esattamente cosi'.......
Mi spiegate come ha fatto?
E poi come posso evitare cio'?Mi basta semplicemente stoppare il demone apache
Avatar utente
lupix
Linux 2.0
Linux 2.0
 
Messaggi: 102
Iscritto il: dom nov 07, 2004 0:00
Località: Los Angeles
Nome Cognome: Luciano

Messaggioda albatros » ven set 08, 2006 22:43

Basta un telnet sulla porta 80 (di solito) e una richiesta GET secondo il protocollo http...
Ma non ha fatto nulla di pericoloso...
Sì, per evitarlo puoi stoppare apache, ma che senso ha, allora, tenerlo attivo se non ti serve?
Se si collega da un ip fisso puoi bannarlo con iptables rifiutando i pacchetti provenienti dal suo ip...
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04

Messaggioda dapuzz » ven set 08, 2006 22:46

Se non ti serve apache lo puoi non avviare all'avvio così
Codice: Seleziona tutto
chmod -x /etc/rc.d/rc.httpd

Altrimenti se non vuoi che sia accessibile dall'esterno puoi mettere il bind solo su 127.0.0.1 modificando il file /etc/apache/httpd.conf dove dice
Codice: Seleziona tutto
#BindAddress *
lo sostituisci con
BindAddress 127.0.0.1

E potrai accedere al tuo apache solo dal tuo pc.
Avatar utente
dapuzz
Linux 3.x
Linux 3.x
 
Messaggi: 1136
Iscritto il: mar mag 16, 2006 10:09

Messaggioda lupix » ven set 08, 2006 23:22

albatros ha scritto:Basta un telnet sulla porta 80 (di solito) e una richiesta GET secondo il protocollo http...
Ma non ha fatto nulla di pericoloso...
Sì, per evitarlo puoi stoppare apache, ma che senso ha, allora, tenerlo attivo se non ti serve?
Se si collega da un ip fisso puoi bannarlo con iptables rifiutando i pacchetti provenienti dal suo ip...


Scusa ma la sintassi com'e'?
telnet indirizzoip 80 e poi???
Avatar utente
lupix
Linux 2.0
Linux 2.0
 
Messaggi: 102
Iscritto il: dom nov 07, 2004 0:00
Località: Los Angeles
Nome Cognome: Luciano

Messaggioda dapuzz » ven set 08, 2006 23:25

GET MessaggioDaInserire HTTP/1.0
Ma è equivalente ad aprire il browser e visitare la pagina http://tuoip/MessaggioDaInserire !!!
Avatar utente
dapuzz
Linux 3.x
Linux 3.x
 
Messaggi: 1136
Iscritto il: mar mag 16, 2006 10:09

Messaggioda albatros » sab set 09, 2006 0:48

Vero.
Il log di apache ti dice semplicemente che qualcuno ha richiesto il file chiamato "ciao-sono-mazinga-ti-distruggero-il-pc-in-5-secondi" e il tuo bravo web server gli ha risposto: "404", ovvero "questo file non esiste, bischero!".
E' divertente usare il telnet per vedere quello che succede dietro le quinte quando si usano browser e client di posta, ma è un metodo estremamente scomodo (telnet l'ho usato anche anni addietro in una lan per fare login su altri pc, ma ormai da un pezzo si usa solo ssh - ovviamente, direi).
Quando usi un browser web e scrivi un indirizzo nell'apposita barra, il tuo browser provvede per te a usare l'apposito protocollo (http per le pagine web, ma anche https, ftp o gopher, quest'ultimo ormai in via di estinzione) per formulare la richiesta e farti vedere il file così ottenuto già formattato a dovere secondo le indicazioni dei tag html presenti.
Ti anticipo che ho fatto solo alcune prove "just for fun" e che non sarei in grado di andare molto in là senza avere sottomano un po' di documentazione (per i protocolli http, smtp e pop3, già molto meglio con l'ftp che uso ancora spesso da linea di comando), non sono quindi in grado di assisterti se ti interesserai più a fondo della faccenda, in rete c'è però un sacco di documentazione e, qui su slacky, dei professionisti che potranno darti qualche dritta...
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04

Messaggioda lupix » sab set 09, 2006 11:47

albatros ha scritto:Vero.
Il log di apache ti dice semplicemente che qualcuno ha richiesto il file chiamato "ciao-sono-mazinga-ti-distruggero-il-pc-in-5-secondi" e il tuo bravo web server gli ha risposto: "404", ovvero "questo file non esiste, bischero!".
.


Si siete stati tutti molto chiari.....ma oltre ad aver richiesto un file che non esiste lasciandomi di conseguenza il messaggio.......e' riuscito a sapere il nome dell'host e il relativo kernel......
Secondo voi come avra' fatto?
Io credo che abbia sfruttao la index.php.....
Ditemi voi...
E ancora....Non ho capito bene come ha fatto...
Mi avete detto che ha utilizzato telnet ip :80 GET/messaggio da inserire/http 1.1
Ma sta cosa mica funziona....???Grazie e ciao
Avatar utente
lupix
Linux 2.0
Linux 2.0
 
Messaggi: 102
Iscritto il: dom nov 07, 2004 0:00
Località: Los Angeles
Nome Cognome: Luciano

Messaggioda albatros » sab set 09, 2006 13:42

Per il kernel può darsi abbia usato nmap -O.
Il nome host può darsi glielo abbia detto apache nella risposta di errore o che l'abbia ricavato da altri servizi attivi...
La index.php, se scritta bene, dovrebbe rivelare poco, perché non viene passata a chi ne fa richiesta, ma solo il codice html da esse prodotto...
Come già detto da Dapuzz, molto probabilmente non ha usato telnet, ma una semplice richiesta http con un browser...
Per le richieste manuali occorre essere precisi nella sintassi, ma se dai telnet 127.0.0.1 80 dal tuo pc dovresti avere una risposta tipo:
telnet 127.0.0.1 80

Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.

Naturalmente supponendo che abbia apache in ascolto su tale porta...

Ma, scusa, se è un amico, chiedi a lui come ha fatto, no?
Se lo ha fatto per dimostrarti che ne sa più di te, fregalo documentandoti a fondo, ma senza andare in paranoia, mi raccomando...
Avatar utente
albatros
Iper Master
Iper Master
 
Messaggi: 2056
Iscritto il: sab feb 04, 2006 13:59
Località: 43°52' N 11°32' E
Slackware: current 64bit
Kernel: 3.8.4
Distribuzione: ubuntu 12.04

Messaggioda lupix » sab set 09, 2006 15:09

Si e' un amico,ma di certo non ha voluto dimostrare niente.....
Resta il fatto che anche io vorrei sapere come si fanno queste cose....Lui le ha imparate al lavoro.....
Io sono all'universita' e di queste cose non mi ha detto niente nessuno.....Grazie ancora
Avatar utente
lupix
Linux 2.0
Linux 2.0
 
Messaggi: 102
Iscritto il: dom nov 07, 2004 0:00
Località: Los Angeles
Nome Cognome: Luciano

Messaggioda nik600 » ven ott 20, 2006 19:29

all'università non tele insegneranno mai...
un po di google e smanettamente vari insegnano tutto ;-)
nik600
Linux 2.4
Linux 2.4
 
Messaggi: 449
Iscritto il: lun mar 15, 2004 0:00


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti