portscan su apache
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Citare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza dell'ultima regola porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Citare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza dell'ultima regola porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
14 messaggi
• Pagina 1 di 1
portscan su apache
da lupix » ven set 08, 2006 21:29
Un mio amico e' riuscito a fare un portscan sulla porta di apache e nei log di apache mi ha lasciato un messaggio....Per il momento ho stoppato apache...Qualcuno sa dirmi come ha fatto e come evitare situazioni del genere......grazie
-
lupix - Linux 2.0
- Messaggi: 102
- Iscritto il: dom nov 07, 2004 1:00
- Località: Los Angeles
- Nome Cognome: Luciano
da dapuzz » ven set 08, 2006 22:09
Se ci incolli la scritta possiamo provare a capire.
Se è del tipo
basta andare all'indirizzo tuoip/CiaoSonoDapuzz
Se è del tipo
- Codice: Seleziona tutto
151.46.29.1 - - [08/Jul/2006:00:46:13 +0200] "GET /CiaoSonoDapuzz HTTP/1.1" 404
basta andare all'indirizzo tuoip/CiaoSonoDapuzz
-
dapuzz - Linux 3.x
- Messaggi: 1136
- Iscritto il: mar mag 16, 2006 11:09
da albatros » ven set 08, 2006 23:43
Basta un telnet sulla porta 80 (di solito) e una richiesta GET secondo il protocollo http...
Ma non ha fatto nulla di pericoloso...
Sì, per evitarlo puoi stoppare apache, ma che senso ha, allora, tenerlo attivo se non ti serve?
Se si collega da un ip fisso puoi bannarlo con iptables rifiutando i pacchetti provenienti dal suo ip...
Ma non ha fatto nulla di pericoloso...
Sì, per evitarlo puoi stoppare apache, ma che senso ha, allora, tenerlo attivo se non ti serve?
Se si collega da un ip fisso puoi bannarlo con iptables rifiutando i pacchetti provenienti dal suo ip...
-
albatros - Iper Master
- Messaggi: 2050
- Iscritto il: sab feb 04, 2006 14:59
- Località: 43°52' N 11°32' E
- Slackware: current 64bit
- Kernel: 3.8.4
- Distribuzione: ubuntu 12.04
da dapuzz » ven set 08, 2006 23:46
Se non ti serve apache lo puoi non avviare all'avvio così
Altrimenti se non vuoi che sia accessibile dall'esterno puoi mettere il bind solo su 127.0.0.1 modificando il file /etc/apache/httpd.conf dove dice
E potrai accedere al tuo apache solo dal tuo pc.
- Codice: Seleziona tutto
chmod -x /etc/rc.d/rc.httpd
Altrimenti se non vuoi che sia accessibile dall'esterno puoi mettere il bind solo su 127.0.0.1 modificando il file /etc/apache/httpd.conf dove dice
- Codice: Seleziona tutto
#BindAddress *
lo sostituisci con
BindAddress 127.0.0.1
E potrai accedere al tuo apache solo dal tuo pc.
-
dapuzz - Linux 3.x
- Messaggi: 1136
- Iscritto il: mar mag 16, 2006 11:09
da lupix » sab set 09, 2006 0:22
albatros ha scritto:Basta un telnet sulla porta 80 (di solito) e una richiesta GET secondo il protocollo http...
Ma non ha fatto nulla di pericoloso...
Sì, per evitarlo puoi stoppare apache, ma che senso ha, allora, tenerlo attivo se non ti serve?
Se si collega da un ip fisso puoi bannarlo con iptables rifiutando i pacchetti provenienti dal suo ip...
Scusa ma la sintassi com'e'?
telnet indirizzoip 80 e poi???
-
lupix - Linux 2.0
- Messaggi: 102
- Iscritto il: dom nov 07, 2004 1:00
- Località: Los Angeles
- Nome Cognome: Luciano
da dapuzz » sab set 09, 2006 0:25
GET MessaggioDaInserire HTTP/1.0
Ma è equivalente ad aprire il browser e visitare la pagina http://tuoip/MessaggioDaInserire !!!
Ma è equivalente ad aprire il browser e visitare la pagina http://tuoip/MessaggioDaInserire !!!
-
dapuzz - Linux 3.x
- Messaggi: 1136
- Iscritto il: mar mag 16, 2006 11:09
da albatros » sab set 09, 2006 1:48
Vero.
Il log di apache ti dice semplicemente che qualcuno ha richiesto il file chiamato "ciao-sono-mazinga-ti-distruggero-il-pc-in-5-secondi" e il tuo bravo web server gli ha risposto: "404", ovvero "questo file non esiste, bischero!".
E' divertente usare il telnet per vedere quello che succede dietro le quinte quando si usano browser e client di posta, ma è un metodo estremamente scomodo (telnet l'ho usato anche anni addietro in una lan per fare login su altri pc, ma ormai da un pezzo si usa solo ssh - ovviamente, direi).
Quando usi un browser web e scrivi un indirizzo nell'apposita barra, il tuo browser provvede per te a usare l'apposito protocollo (http per le pagine web, ma anche https, ftp o gopher, quest'ultimo ormai in via di estinzione) per formulare la richiesta e farti vedere il file così ottenuto già formattato a dovere secondo le indicazioni dei tag html presenti.
Ti anticipo che ho fatto solo alcune prove "just for fun" e che non sarei in grado di andare molto in là senza avere sottomano un po' di documentazione (per i protocolli http, smtp e pop3, già molto meglio con l'ftp che uso ancora spesso da linea di comando), non sono quindi in grado di assisterti se ti interesserai più a fondo della faccenda, in rete c'è però un sacco di documentazione e, qui su slacky, dei professionisti che potranno darti qualche dritta...
Il log di apache ti dice semplicemente che qualcuno ha richiesto il file chiamato "ciao-sono-mazinga-ti-distruggero-il-pc-in-5-secondi" e il tuo bravo web server gli ha risposto: "404", ovvero "questo file non esiste, bischero!".
E' divertente usare il telnet per vedere quello che succede dietro le quinte quando si usano browser e client di posta, ma è un metodo estremamente scomodo (telnet l'ho usato anche anni addietro in una lan per fare login su altri pc, ma ormai da un pezzo si usa solo ssh - ovviamente, direi).
Quando usi un browser web e scrivi un indirizzo nell'apposita barra, il tuo browser provvede per te a usare l'apposito protocollo (http per le pagine web, ma anche https, ftp o gopher, quest'ultimo ormai in via di estinzione) per formulare la richiesta e farti vedere il file così ottenuto già formattato a dovere secondo le indicazioni dei tag html presenti.
Ti anticipo che ho fatto solo alcune prove "just for fun" e che non sarei in grado di andare molto in là senza avere sottomano un po' di documentazione (per i protocolli http, smtp e pop3, già molto meglio con l'ftp che uso ancora spesso da linea di comando), non sono quindi in grado di assisterti se ti interesserai più a fondo della faccenda, in rete c'è però un sacco di documentazione e, qui su slacky, dei professionisti che potranno darti qualche dritta...
-
albatros - Iper Master
- Messaggi: 2050
- Iscritto il: sab feb 04, 2006 14:59
- Località: 43°52' N 11°32' E
- Slackware: current 64bit
- Kernel: 3.8.4
- Distribuzione: ubuntu 12.04
da lupix » sab set 09, 2006 12:47
albatros ha scritto:Vero.
Il log di apache ti dice semplicemente che qualcuno ha richiesto il file chiamato "ciao-sono-mazinga-ti-distruggero-il-pc-in-5-secondi" e il tuo bravo web server gli ha risposto: "404", ovvero "questo file non esiste, bischero!".
.
Si siete stati tutti molto chiari.....ma oltre ad aver richiesto un file che non esiste lasciandomi di conseguenza il messaggio.......e' riuscito a sapere il nome dell'host e il relativo kernel......
Secondo voi come avra' fatto?
Io credo che abbia sfruttao la index.php.....
Ditemi voi...
E ancora....Non ho capito bene come ha fatto...
Mi avete detto che ha utilizzato telnet ip :80 GET/messaggio da inserire/http 1.1
Ma sta cosa mica funziona....???Grazie e ciao
-
lupix - Linux 2.0
- Messaggi: 102
- Iscritto il: dom nov 07, 2004 1:00
- Località: Los Angeles
- Nome Cognome: Luciano
da albatros » sab set 09, 2006 14:42
Per il kernel può darsi abbia usato nmap -O.
Il nome host può darsi glielo abbia detto apache nella risposta di errore o che l'abbia ricavato da altri servizi attivi...
La index.php, se scritta bene, dovrebbe rivelare poco, perché non viene passata a chi ne fa richiesta, ma solo il codice html da esse prodotto...
Come già detto da Dapuzz, molto probabilmente non ha usato telnet, ma una semplice richiesta http con un browser...
Per le richieste manuali occorre essere precisi nella sintassi, ma se dai telnet 127.0.0.1 80 dal tuo pc dovresti avere una risposta tipo:
telnet 127.0.0.1 80
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
Naturalmente supponendo che abbia apache in ascolto su tale porta...
Ma, scusa, se è un amico, chiedi a lui come ha fatto, no?
Se lo ha fatto per dimostrarti che ne sa più di te, fregalo documentandoti a fondo, ma senza andare in paranoia, mi raccomando...
Il nome host può darsi glielo abbia detto apache nella risposta di errore o che l'abbia ricavato da altri servizi attivi...
La index.php, se scritta bene, dovrebbe rivelare poco, perché non viene passata a chi ne fa richiesta, ma solo il codice html da esse prodotto...
Come già detto da Dapuzz, molto probabilmente non ha usato telnet, ma una semplice richiesta http con un browser...
Per le richieste manuali occorre essere precisi nella sintassi, ma se dai telnet 127.0.0.1 80 dal tuo pc dovresti avere una risposta tipo:
telnet 127.0.0.1 80
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
Naturalmente supponendo che abbia apache in ascolto su tale porta...
Ma, scusa, se è un amico, chiedi a lui come ha fatto, no?
Se lo ha fatto per dimostrarti che ne sa più di te, fregalo documentandoti a fondo, ma senza andare in paranoia, mi raccomando...
-
albatros - Iper Master
- Messaggi: 2050
- Iscritto il: sab feb 04, 2006 14:59
- Località: 43°52' N 11°32' E
- Slackware: current 64bit
- Kernel: 3.8.4
- Distribuzione: ubuntu 12.04
da lupix » sab set 09, 2006 16:09
Si e' un amico,ma di certo non ha voluto dimostrare niente.....
Resta il fatto che anche io vorrei sapere come si fanno queste cose....Lui le ha imparate al lavoro.....
Io sono all'universita' e di queste cose non mi ha detto niente nessuno.....Grazie ancora
Resta il fatto che anche io vorrei sapere come si fanno queste cose....Lui le ha imparate al lavoro.....
Io sono all'universita' e di queste cose non mi ha detto niente nessuno.....Grazie ancora
-
lupix - Linux 2.0
- Messaggi: 102
- Iscritto il: dom nov 07, 2004 1:00
- Località: Los Angeles
- Nome Cognome: Luciano
14 messaggi
• Pagina 1 di 1
Chi c’è in linea
Visitano il forum: Nessuno e 2 ospiti