%NMAP URGE AIUTO%

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
@verflow!
Linux 1.x
Linux 1.x
Messaggi: 143
Iscritto il: dom 19 feb 2006, 18:27
Località: Dervio (Lecco/Sondrio)

%NMAP URGE AIUTO%

Messaggio da @verflow! »

1] Salve raga volevo postarvi il mio output dell nmap -sF -p1-65535 mio ip...mi sa che cè qualcosa che nn va..

(The 65527 ports scanned but not shown below are in state: closed)

PORT STATE SERVICE
22/tcp open|filtered ssh
37/tcp open|filtered time
113/tcp open|filtered auth
5214/tcp open|filtered unknown
6000/tcp open|filtered X11
27182/tcp open|filtered unknown
32874/tcp open|filtered unknown
45100/tcp open|filtered unknown

Nmap finished: 1 IP address (1 host up) scanned in 6.704 seconds

2] quest altro invece è cn il localhost:

(The 65528 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open|filtered ssh
37/tcp open|filtered time
113/tcp open|filtered auth
6000/tcp open|filtered X11
27182/tcp open|filtered unknown
32874/tcp open|filtered unknown
45100/tcp open|filtered unknown

Nmap finished: 1 IP address (1 host up) scanned in 7.624 seconds

Mi sapreste dire se cè qualcosa che nn va??

GRAZIE INFINITE ;)

Avatar utente
sid77
Linux 3.x
Linux 3.x
Messaggi: 568
Iscritto il: mer 1 giu 2005, 0:00
Slackware: 12.0/12.1/curr (ppc)
Località: PowerPC
Contatta:

Messaggio da sid77 »

mi sa che sei stato vittima di una intrusione... e mi sa anche che ti hanno beccato la root... consigli veloci:
1) denuncia l'accaduto alle autorità competenti
2) inserisci un livecd
3) esegui un datadump del disco per effettuare un analisi forense (hdX è il device del tuo disco):

Codice: Seleziona tutto

dd if=/dev/zero of=/dev/hdX
ciao e in bocca al lupo...

@verflow!
Linux 1.x
Linux 1.x
Messaggi: 143
Iscritto il: dom 19 feb 2006, 18:27
Località: Dervio (Lecco/Sondrio)

Messaggio da @verflow! »

Cavolo....Grazie per la risposta ora vedo quello che riesco a fare..
Ti ringraziio ancora :cry: :cry: :cry:

Avatar utente
syaochan
Linux 3.x
Linux 3.x
Messaggi: 659
Iscritto il: dom 9 mag 2004, 0:00
Nome Cognome: Christian
Slackware: current 64
Kernel: 2.6.38.7
Desktop: KDE 4.5.5
Contatta:

Messaggio da syaochan »

sid77 ha scritto:mi sa che sei stato vittima di una intrusione...
:? da cosa si capisce?

@verflow!
Linux 1.x
Linux 1.x
Messaggi: 143
Iscritto il: dom 19 feb 2006, 18:27
Località: Dervio (Lecco/Sondrio)

Messaggio da @verflow! »

raga volevo dirvi che ho fatto diversi controlli cn fuser -n tcp numeroPorta e cn ps ax | grep risultatoFuser..
Fortunatamente nn ho subito alcun tipo di attacco..comunque per maggiore sicurezza ho disabilitato inetd e sshd..
Grazie comunque per l avvertimento..
Cià

Avatar utente
Luci0
Staff
Staff
Messaggi: 3591
Iscritto il: lun 27 giu 2005, 0:00
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce
Località: Forte dei Marmi
Contatta:

Messaggio da Luci0 »

le uniche che non convicono sono ...

27182/tcp open|filtered unknown
32874/tcp open|filtered unknown
45100/tcp open|filtered unknown

prova da root con

netstat -n -a -p | grep <numero porta>
dovresti riuscire a capire quale programma la sta utilizzando ... e in tal caso vedere se c' é da preoccuparsi ... ma un hacker come te di che cosa si deve preoccupare poi !! :P

... occhio a consigli di sid77 che a volte é anche spiritoso
:twisted:

Avatar utente
sid77
Linux 3.x
Linux 3.x
Messaggi: 568
Iscritto il: mer 1 giu 2005, 0:00
Slackware: 12.0/12.1/curr (ppc)
Località: PowerPC
Contatta:

Messaggio da sid77 »

Luci0 ha scritto:... occhio a consigli di sid77 che a volte é anche spiritoso
:twisted:
acc! mi hai scoperto!
/me fugge lanciando una bombafumogenaninjatuttoattacato :wink:

ciao

@verflow!
Linux 1.x
Linux 1.x
Messaggi: 143
Iscritto il: dom 19 feb 2006, 18:27
Località: Dervio (Lecco/Sondrio)

Messaggio da @verflow! »

No infatti l ho presa ank io come spiritosaggine...Nn mi sognerei mai di dare dd if=/dev/zero of=/dev/hdX :P
Comunque ho risolto tutto nn cè nulla di cui preoccuparsi :D

PS:nn sono un hacker sono solo un guy che smanetta cn linux al quale è piaciuto quell avatar ;)

Ora mi sono procurato un po di documentazioni circa iptables e vedrò (di capirci qualcosa :D )d i mettere su un buon firewall..
Sta faccenda mi ha fatto venir su un bel po di strizza :D
Grazie tante per i consigli...(anke quello di SID77 :P )
Siete grandi...
cià @!

Avatar utente
sid77
Linux 3.x
Linux 3.x
Messaggi: 568
Iscritto il: mer 1 giu 2005, 0:00
Slackware: 12.0/12.1/curr (ppc)
Località: PowerPC
Contatta:

Messaggio da sid77 »

@verflow! ha scritto:Ora mi sono procurato un po di documentazioni circa iptables e vedrò (di capirci qualcosa :D )d i mettere su un buon firewall..
se non avvii daemoni particolari puoi anche non usarlo :) a volte è anche utile giocare con sysctl e /proc per sistemare un paio di problemini qua e la. a proposito: su linux&c di questo mese c'è un bellissimo articolo a proposito.

ciao

@verflow!
Linux 1.x
Linux 1.x
Messaggi: 143
Iscritto il: dom 19 feb 2006, 18:27
Località: Dervio (Lecco/Sondrio)

Messaggio da @verflow! »

Grazie per l informazione..ne terrò conto..
Ciao zio :D

Avatar utente
syaochan
Linux 3.x
Linux 3.x
Messaggi: 659
Iscritto il: dom 9 mag 2004, 0:00
Nome Cognome: Christian
Slackware: current 64
Kernel: 2.6.38.7
Desktop: KDE 4.5.5
Contatta:

Messaggio da syaochan »

syaochan ha scritto:
sid77 ha scritto:mi sa che sei stato vittima di una intrusione...
:? da cosa si capisce?
Ah Megami-sama! Avevo il neurone in pausa caffe' :oops: Dove posso andare a nascondermi? ^^;;;;;;;;;;;;;;

bloodlust
Linux 3.x
Linux 3.x
Messaggi: 523
Iscritto il: mar 14 feb 2006, 12:02
Slackware: -1
Località: it_IT

Messaggio da bloodlust »

sid77 ha scritto: 3) esegui un datadump del disco per effettuare un analisi forense (hdX è il device del tuo disco):

Codice: Seleziona tutto

dd if=/dev/zero of=/dev/hdX
Attenzione ragazzi a scrivere queste cose sul forum dove tutti leggono... qualche utente "distratto" o qualche nuova recluta che non pensa prima di operare potrebbe fare dei seri casini...

ciao!

Avatar utente
sid77
Linux 3.x
Linux 3.x
Messaggi: 568
Iscritto il: mer 1 giu 2005, 0:00
Slackware: 12.0/12.1/curr (ppc)
Località: PowerPC
Contatta:

Messaggio da sid77 »

bloodlust ha scritto:qualche utente "distratto" o qualche nuova recluta che non pensa prima di operare potrebbe fare dei seri casini...
allora gli si potrebbe anche dare il benvenuto :D

Avatar utente
darkstoorm
Linux 1.x
Linux 1.x
Messaggi: 146
Iscritto il: mar 31 ago 2004, 0:00
Slackware: 12.0.0
Kernel: 2.6.21.5-smp (SMP)
Desktop: shell testuale
Località: Trieste
Contatta:

Re: %NMAP URGE AIUTO%

Messaggio da darkstoorm »

controlla a cosa dovrebbero corrispondere le porte segnate come "unknown" in /etc/services e poi installa chkrootkit e fai un controllo!

mix



@verflow! ha scritto:1] Salve raga volevo postarvi il mio output dell nmap -sF -p1-65535 mio ip...mi sa che cè qualcosa che nn va..

(The 65527 ports scanned but not shown below are in state: closed)

PORT STATE SERVICE
22/tcp open|filtered ssh
37/tcp open|filtered time
113/tcp open|filtered auth
5214/tcp open|filtered unknown
6000/tcp open|filtered X11
27182/tcp open|filtered unknown
32874/tcp open|filtered unknown
45100/tcp open|filtered unknown

Nmap finished: 1 IP address (1 host up) scanned in 6.704 seconds

2] quest altro invece è cn il localhost:

(The 65528 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open|filtered ssh
37/tcp open|filtered time
113/tcp open|filtered auth
6000/tcp open|filtered X11
27182/tcp open|filtered unknown
32874/tcp open|filtered unknown
45100/tcp open|filtered unknown

Nmap finished: 1 IP address (1 host up) scanned in 7.624 seconds

Mi sapreste dire se cè qualcosa che nn va??

GRAZIE INFINITE ;)

Vlk
Linux 3.x
Linux 3.x
Messaggi: 671
Iscritto il: mer 9 feb 2005, 0:00

Messaggio da Vlk »

Chiudete le porte, che fa freddo:

Codice: Seleziona tutto

Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-04-01 15:18 CEST
Interesting ports on darkstar.example.net (127.0.0.1):
(The 65534 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
631/tcp  open  ipp
6000/tcp open  X11
Vorrei chiudere pure queste all'esterno, posso farlo o no?

Rispondi