cwbe coordinatez:
101
63540
63542
2109677
63692
1783221

ABSOLUT
KYBERIA
permissions
you: r,
system: public
net: yes

neurons

stats|by_visit|by_K
source
tiamat
K|my_K|given_K
last
commanders
polls

total descendants::
total children::2
show[ 2 | 3] flat


Tekk0
ked scanujem svoju masinu, dostanem toto:

PORT STATE SERVICE
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds

niekedy je tam toho ovela viacej, priblizne 200-300 portov ktore su "filtered". Ako sa toho zbavim ?

Rozbehal som na tom stroji ip maskaradu cez iptables - niesu tie 138 139 445 atd porty "filtered" preto lebo za nou mam windozove pccko (mam teoriu ze netbios nieco broadcastuje a na stroji s maskaradou sa tie veci posielaju von)




00000101000635400006354202109677000636920178322101784823
jakub
 jakub      17.07.2005 - 23:08:30 , level: 1, UP   NEW
nmap ti state portu vypise podla odpovede ,aku dostane od scanovanej masiny

a vyzera to asi nejak takto:

napriklad pri stealth scane nmap posle najprv paket so syn bitsetom
pokial mu na tento syn paket masina odpovie paketom s rst bitsetom,nmap ho povazuje za _closed_
kedykolvek nmapu scanovany stroj odpoveda rst paketmi ,nmap berie ten port ako closed

ak nmapu na ten prvy (a dalsie) syn pakety nepride nic ,povazuje port za _filtered_

linuxova masina bez firewallu (to jest iptables prazdne ,s input policy accept) ti na akykolvek port ,na ktorom nic nepocuva vzdy odpovie rst paketom ,cize nmap ten port berie ako closed.

pokial v iptables nastavis na trebars dst port 300 -j DROP,tak netfilter tie pakety skratka zahodi a nicim na ne neodpovie => nmap berie takyto port ako filtered,kedze nic nedoslo.
ak by si nastavil na ten dst port 300 -j REJECT --reject-with tcp-reset ,tak netfilter odpovie na akykolvek paket na tento port 300 paketom s rst bitsetom => cize nmap by to bral ako closed.

takze vyriesis to tak ,ze na gateway nastavis v iptables na dst porty 137,139,445.. -j REJECT --reject-with tcp-reset ,co sposobi,ze nmap pri scane dostane od gatewaya rst pakety z tychto portov,cize tym padom ti ich ukaze ako closed a nie ako filtered.

lepsie riesenie je setnut input policy na DROP a povolit iba tie porty ,ktore chces ,tym predides niecomu takemuto ,aby gateway natoval pakety aj na napriklad netbiosove porty

snad som to dost jasne vysvetlil :)

a netbios ti nic nebroadcastuje :),jednoducho ti odpoveda ta windowsova masina

0000010100063540000635420210967700063692017832210178482301786434
gnd
 gnd      18.07.2005 - 16:30:28 , level: 2, UP   NEW
jo dik to som chcel vediet. mne pride lepsie ked nieje zjavne co mam za natkou, sice aj tak hociaky lowskilled haxor sa tam tri-dva mojej security kompetentosti dostane a pozrie co je za nou ;)

ako je mozne zistit (napriklad pre chello) ze za nat mam viac koncovych strojov? vsimol som si ze iptables maju ttl modul - mam kazdemu paketu zvysovat ttl ? a SNMP a ICMP ? na co sa mam pozriet ?

este otazka (neviem ci je tu vseobecne security forum) - ak dam sshd pocuvat na inom porte, a do hosts.deny dam ALL, s vynimkou par masin z ktorych sa napajam, tak je sposob ako zistit ze na tom porte bezi ssh ? skusal som to a nmap nic nezistil, telnet na ten port mi nevypise nic..

000001010006354000063542021096770006369201783221017848230178643401786857
next
 next      18.07.2005 - 20:03:45 , level: 3, UP   NEW
chello, ani v prahe, nic neskuma.
inak jedina metoda o ktorej viem ako pocitat hosty za natom je zalozena na skumani ID policka IP paketov - ze z kazdeho hostu lezu ine.

000001010006354000063542021096770006369201783221017848230178643401786542
juraj
 juraj      18.07.2005 - 17:10:47 , level: 3, UP   NEW
nmap ti nevypise nic, lebo defaultne skenuje len porty, ktore su v /etc/services. Daj mu oskenovat vsetky porty, bude to sice hrozne dlho trvat, ale ten port tam uvidis ako open, ak je to len cez tcpwrapper (teda cez hosts.deny). iptables s -REJECT su istejsie.

paranoie kvoli chellu nemaj, doma bezim chello, otvorene ssh, nic nijak extra neriesim a nikto ma s nicim neotravuje.

00000101000635400006354202109677000636920178322101784823017864340178654201787959
gnd
 gnd      19.07.2005 - 11:53:17 , level: 4, UP   NEW
skor som myslel to ci je mozne zistit ze na porte pre povedzme pcanywhere bezi nieco ine a presne zistit co tam bezi.. uz neviem presne pri ktorom type scanu (-sV asi) mi nmap hodil za tym portom otaznik.. ale to je asi tak vsetko .. a paranoia je asi ok, hned ako som nahodil sshd tak niekto wordlistom skusal userov :)) heh ake dobrodruzstva! ;)

0000010100063540000635420210967700063692017832210178482301786434017865420178795901790840
next
 next      20.07.2005 - 12:23:06 , level: 5, UP   NEW
ano, nmap ma -sV. k tomu ma nejake patterny, ktorymi sa snazi odhadnut aplikaciu pocuvajucu na tom porte. niekedy sa to podari, niekedy nie..

00000101000635400006354202109677000636920178322101784823017864340178654201786661
831
 831      18.07.2005 - 17:59:03 , level: 4, UP   NEW
nie je to naopak s nmap-om?
ze default vsetky porty a len s -F myslim iba /etc/services...?
podla manualu
-F Fast scan mode. Specifies that you only wish to scan for ports listed in the services file which comes with nmap (or the protocols file for -sO). This is obviously much faster than scanning all 65535 ports on a host.
tak asi hej...

000001010006354000063542021096770006369201783221017848230178643401786466
jakub
 jakub      18.07.2005 - 16:44:01 , level: 3, UP   NEW
no chello to pokial viem neriesi ,ze kolko mas masin za natom,aspon co som pocul ,tak to maju v pici ,kazdopadne menenie ttl ti je nanic

na hosts.deny sa ti radim vykaslat ,toto si nastavuj v iptables
hosts.deny plati _len_ pre sluzby ,ktore pusta inetd

00000101000635400006354202109677000636920178322101784823017864340178646601786539
juraj
 juraj      18.07.2005 - 17:09:39 , level: 4, UP   NEW
toto nie je pravda. hosts.allow a hosts.deny fici pre vsetko, co je zlinkovane s tcpwrapper libkami, napr. aj ssh:

$ ldd /usr/sbin/sshd
libwrap.so.0 => /lib/libwrap.so.0 (0x00133000)
libpam.so.0 => /lib/libpam.so.0 (0x0013c000)
libdl.so.2 => /lib/libdl.so.2 (0x00144000)
libresolv.so.2 => /lib/libresolv.so.2 (0x00148000)
libcrypto.so.0.9.7 => /usr/lib/i686/cmov/libcrypto.so.0.9.7 (0x0015a000)
libutil.so.1 => /lib/libutil.so.1 (0x0025c000)
libz.so.1 => /usr/lib/libz.so.1 (0x0025f000)
libnsl.so.1 => /lib/libnsl.so.1 (0x00271000)
libcrypt.so.1 => /lib/libcrypt.so.1 (0x00286000)
libpthread.so.0 => /lib/libpthread.so.0 (0x002b4000)
libc.so.6 => /lib/libc.so.6 (0x00305000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x00110000)


ale suhlasim, ze je lepsie riesit iptables, lebo takto sa da zistit, ze tam nieco bezi.

0000010100063540000635420210967700063692017832210178482301786434017864660178653901787091
jakub
 jakub      18.07.2005 - 22:25:59 , level: 5, UP   NEW
no moze byt ,mne sa to tiez nezdalo ;)
kdesi som kedysi cital ,ze hosts.deny fici len pre inetd :) (kazdopadne wrappers boli povodne urcene pre inetd)

kazdopadne nie kazde distro musi mat skompilovane napr. openssh s --with-tcp-wrappers
takze iptables su urcite lepsie riesenie

00000101000635400006354202109677000636920178322101783675
Jay
 Jay      17.07.2005 - 09:29:31 , level: 1, UP   NEW
samba

0000010100063540000635420210967700063692017832210178367501784235
gnd
 gnd      17.07.2005 - 17:58:11 , level: 2, UP   NEW
praveze ziadna samba.. debian a nic okrem iptables//

000001010006354000063542021096770006369201783221017836750178423501784259
juraj
 juraj      17.07.2005 - 18:14:10 , level: 3, UP   NEW
no ved filtered. co ti na tom vadi, proste ti iptables tie porty filtruju, tak ich filtruj inak ako cez DROP (napr. cez REJECT) a nebude to tam :)