Slack random port always open.

[trospe]

Hello evrybonty.

 

Εκανα μια loopa από πολλά eye candy,αλλά το slack..slack..

 

Λοιπόν...το παράξενο είναι ότι σε κάθε install που έχω κάνει στο slack όταν κάνω scan στην loopback ip,μου βγάζει μεν τις ανοιχτές πόρτες/υπηρεσίες,(80,21,113 παράδειγμα) αλλά πάντα μα πάντα υπάρχει ψιλά μια dynamic πόρτα πάντα ανοιχτή. Backdoor δεν είναι σε clean install. Οι υπηρεσίες οι μαμίσιες είναι dns,inetd,masquarade,syslog). Τι φταίει? Το πρόγραμμα που σκανάρει πόρτες ανοίγει μια dynamic για το loop? inetd.conf γεμάτο #... Λίγο φώς κάποιος Insomniac?

[apoikos]

Κάνε επιτόπου στο ίδιο μηχάνημα ένα netstat -lpn | grep αριθμός_θύρας και θα δεις ποιός είναι ο ένοχος

[trospe]

apoikos η εντολή είναι ζάχαρη!

 

Στην πόρτα που βρήκε o σκαναράκος μου,δεν έβγαλε τίποτα η εντολή.

Στην 53,όμως έβγαλε αρκετά. Πράγμα που σημαίνει ότι απλά έγινε το trigger στην πόρτα μόνο για το scan.

 

Eυχαριστώ πάρα πολύ.

Μπάι δε γουέι....υπάρχει κάποιος τρόπος να βλέπεις την top σε στυλ

more | less? Δουλέυω tty+alt μόνο, και την έχω καταβρεί!

 

P.S. Yπάρχουν pcια.

[apoikos]

apoikos η εντολή είναι ζάχαρη!

 

Στην πόρτα που βρήκε o σκαναράκος μου' date='δεν έβγαλε τίποτα η εντολή.

Στην 53,όμως έβγαλε αρκετά. Πράγμα που σημαίνει ότι απλά έγινε το trigger στην πόρτα μόνο για το scan.

[/quote']

Η 53 είναι η θύρα του DNS. Προφανώς θα σου έβγαλε τις συνδέσεις που έχεις με όλους τους DNS servers που έχεις κάνει lookup εκείνη τη στιγμή. Το θέμα είναι να δεις τι κάνει listen, γιατί το nmap δεν ανοίγει θύρες για να κάνει το scan.

Δοκίμασε την netstat -lpn | grep LISTEN για να πάρεις όλα τα listening processes ;-)

 

Μπάι δε γουέι....υπάρχει κάποιος τρόπος να βλέπεις την top σε στυλ

more | less? Δουλέυω tty+alt μόνο, και την έχω καταβρεί!

Τί εννοείς; Μπορείς πάντα να κάνεις ένα ps aux | less ;-)

 

P.S. Yπάρχουν pcια.

Για τί πράγμα; :-P

[trospe]

γιατί το nmap δεν ανοίγει θύρες για να κάνει το scan.

Sorry αλλά αυτό μου φαίνεται λίγο παράξενο. Ολα τα προγράμματα που έχουν sockets,έχουν την αρχική και την τελική. Ούτως ή άλλως στο συγκεκριμένο εργαλείο υπάρχει και δήλωση source port... σαν να σου λέει το ίδιο το πρόγραμμα -Φίλε μου βγαίνω,θες να μου πείς πόρτα ή να το παίξω paranoic,snicky?

 

Η 53 είναι η θύρα του DNS. Προφανώς θα σου έβγαλε τις συνδέσεις που έχεις με όλους τους DNS servers που έχεις κάνει lookup εκείνη τη στιγμή.

 

Ο τελικός προορισμός είναι το domain σε έναν dual PIII 1ghz αλλά αυτό πάει πολύ μακριά. Scan στον ευατό μου έκανα,και πρέπει να βρήκε το listen του bind.

 

Mε την εντολή που μου είπες -> netstat -lpn | grep LISTEN

Βρέθηκαν μόνο οι του dns,και η 953 που είναι και αυτή του dns.

Mάλλον πρέπει να έγινε outbound να έγινε trigger και μετά να ξαναέκλεισε.

Να ξανακάνουμε άλλο ένα skan..

 

Τί εννοείς; Μπορείς πάντα να κάνεις ένα ps aux | less :wink:

 

Δουλεύουμε που δουλεύουμε κονσόλα...ε να μην έχουμε και μια οπτική επαφή με cpu utilization kai ram free percent?

 

Yπάρχουν pcia για να καταλαβαίνει όποιος διαβάζει ότι είμαι με winfirefox kai όχι με links αυτή τη στιγμή που γράφω.

[trospe]

Κάθε φορά που κάνω scan η πόρτα αλλάζει!

Τώρα μου έβγαλε 54820! Πριν ήταν η 36720! udp πάντα.

[Meredoth]

Leo ego tora, to scaneraki pou xrisimopieis den anigei mia porta gia na kanei to scan?

Mpas kai einai mia random dynamic afti???

Leo

[trospe]

Leo ego tora' date=' to scaneraki pou xrisimopieis den anigei mia porta gia na kanei to scan?

Mpas kai einai mia random dynamic afti???

Leo[/quote']

 

Μα και εγώ αυτό υποστηρίζω, απλά με μπέρδεψε λίγο ο apoikos με αυτό που είπε.

 

P.S. Oλα τα scanarakia κανουν το trigger στις πόρτες,δεν έχει κάτι ξεχωριστό το 3.93 :razz:

[apoikos]

P.S. Oλα τα scanarakia κανουν το trigger στις πόρτες' date='δεν έχει κάτι ξεχωριστό το 3.93 :razz:[/quote']

Αναβάθμισε ;-) Είμαστε στο 4.03 :-P

 

Ναι, σίγουρα, ανοίγει θύρα για να κάνει το scan. Η θύρα που ανοίγει όμως δεν είναι σε listening mode ;-) Το scan σου δείχνει μόνο ότι είναι ανοιχτό και κάνει listen για εισερχόμενες συνδέσεις. Όταν το nmap έχει ανοίξει τη θύρα 14323 για να κάνει το scan και οτιδήποτε πάει να συνδεθεί πάνω της, θα πάρει τα @@ γιατί το nmap δεν είναι listener ;-) Κάτι άλλο παίζει, δοκίμασε nmap -A για να σου δείξει τι τρέχει από πίσω (αν μπορεσει να το καταλάβει).

[trospe]

4.03 i know εδώ και καιρό.

Βγήκε και ο 2.6.17 (κουβέντα να γίνεται)

 

Λοιπόν,έχουμε και λέμε..

Οι πόρτες του dns είναι ανοιχτές,nomad (open|filtered) και μια random ανοιγει σε κάθε scan. Σε listening mode με την προαναφερθέντα έντολή,ακούουν μόνο οι 53 και η 913 (dns). H δυναμική ψηλά δεν εμφανίζει τίποτα όταν ψάχνεται για listening mode. Kαι αφού είναι και κάθε φορά διαφορετική είναι σίγουρα από το νιμαπ :razz: .

 

Kαι για του λόγου του αληθές, root@spiti νιμαπ -sS -sU -vv -A -p1-65535 127.0.0.1. To έχουμε εμπεδώσει πλέον 8-)

[firewalker]

Πω πω... Πολύ με μπερδέψατε !!!

[trospe]

Και που να ακούσεις συζητήσεις για Berkeley packet Filtering.

Bέβαια εκεί μιλάμε ότι περνάς σε άλλη διάσταση....no1 computer firewall σε όλο το σύμπαν.

[firewalker]

Και που να ακούσεις συζητήσεις για Berkeley packet Filtering.

 

Αυτό είναι πολύ απλό και το έχω καταλάβει. Το κατέχω πλήρως το θέμα.

[trospe]

Αυτό είναι πολύ απλό και το έχω καταλάβει. Το κατέχω πλήρως το θέμα.

Aν σπούδασες Αγγλία M.I.T. τότε πάω πάσο.

Αν ασχολείσαι με bsd χρόνια τότε ξαναπάω πάσο.

 

Σε άλλες περιπτώσεις όμως, πολύ δύσκολο και πάρα πολύ μεγάλη κουβέντα ότι το κατέχεις πλήρως..

[firewalker]

Lol !!! πλάκα έκανα. Τώρα είδα στο google τι είναι. Α, και το M.I.T. είναι στην Αμερική στην Μασαχουσέτη (Massachusetts Institute of Technology).