Ogolnie sie na windowsach znam niebardzo i prosze o pomoc.
Pozdrawiam
Marek Grebski
pozdrawiam
Michal
Nic dziwnego nie zauwazylem. Czytalem tego newsa ze 2 dni temu. Z
ciekawosci
na serwerze zapuscilem ettercapa ze zrodlem na moj komp i testowalem. Nie
pojawil sie ani jeden adres ip zwiazany z msn.com i alexa.com. Tylko ip
serwerow na jakich byly strony ktore otwieralem + ewentualnie ip serwerow
serwujacych bannery reklamowe.
Sys: WinXP Pro SP1 + IE6 SP1 bez zadnych dodatkowych innych lat.
Ewentualnie
moze to dzieki temu ze nie uzywam czystego IE tylko CrazyBrowsera, ale
kolega zrobil podobnie jak ja i tez nic u siebie nie wysniffowal dziwnego,
a
na 100% sprawdzal na czystym IE6 bez nakladek.
u mnie tez czysto tylko od czasu do czasu takie cos w logu zauwazylem :
Rule "Default Block Microsoft Windows 2000 SMB" stealthed
(24.166.121.17,microsoft-ds(445))
Inbound TCP connection
Local address,service is (sebol(217.96.251.139),microsoft-ds(445))
Remote address,service is (24.166.121.17,3742)
Process name is "System"
mad wrote:
Message-ID: <c7m491$hr@inews.gazeta.pl
References: <c7m3c6$jr@inews.gazeta.pl<c7mb52.2u@Hobby.od.18.lat
NNTP-Posting-Host: py81.wroclaw.sdi.tpnet.pl
X-Complaints-To: use@agora.pl
Spierdalaj w podskokach wiejski pederasto.
root@router:~# nmap py81.wroclaw.sdi.tpnet.pl
Starting nmap 3.45 ( http://www.insecure.org/nmap/ ) at 2004-05-10 00:02
CEST
Interesting ports on py81.wroclaw.sdi.tpnet.pl (212.160.22.81):
(The 1646 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
110/tcp open pop-3
135/tcp open msrpc
443/tcp open https
445/tcp open microsoft-ds
1024/tcp open kdm
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1029/tcp open ms-lsa
2105/tcp open eklogin
3306/tcp open mysql
5000/tcp open UPnP
Nmap run completed -- 1 IP address (1 host up) scanned in 40.332 seconds
root@router:~#
powodzenia!!!
pozdrawiam;
adas;
Kolega usiłował dziś zanalizować pewien problem z jedną z naszych maszyn i
odpalił na niej tcpdump. Z pewnym zdziwieniem zaobserwował, że widzi ruch
nie tylko do i od tej maszyny, ale także ruch pomiędzy zupełnie innymi
komputerami. Zdziwienie spowodowane było faktem, że ta maszynka ma (podobnie
jak i te inne) dedykowany port na switchu. Analiza wykazała, że ramki
Ethernet mają ustawione FFFFFFFFFFFF jako destination MAC - a nie było to
nic takiego, co z natury swojej może być broadcastem (ARP, DHCP), tylko
normalne pakiety TCP. Ruch skierowany był do portu 445 (microsoft-ds) i
wszystko wskazuje na to, że źródłem tych pakietów był wirus - tym niemniej
ten broadcast MAC dał mi do myślenia; czyżby wirusy/wormy zaczęły już
przychodzić nie tylko z własnym SMTP engine, ale i z własnym stosem TCP/IP?
Po co?
Ja zaobserwowalem podobne rzeczy na naszej pracowni z Solarisami 8.
Niektore polaczenia szly na FF:FF:FF:FF:FF:FF, a niektore normalnie,
zatem to raczej cos innego, chociaz nie mam pomyslu, co by to moglo byc.
<szy@bastard.operator.from.hell.plwrote:
nic takiego, co z natury swojej może być broadcastem (ARP, DHCP), tylko
normalne pakiety TCP. Ruch skierowany był do portu 445 (microsoft-ds) i
wszystko wskazuje na to, że źródłem tych pakietów był wirus - tym niemniej
A czy mozesz ujawnic jaki to byl wirus? Tak z ciekawosci.
Podobny przyklad od roznych ludzikow mam. Niezaleznie czy XP czy 9x.
Fajnie atakuje port 445 oraz 135. Niekiedy (ale to nie regula) otwiera
sobie port 6667.
W moim przypadku to nie jest sasser, nie jest tez blaster.
Czy ktos moglby mi powiedziec do czego sluza te porty.
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
5000/tcp open UPnP
Sporo kompow na wingrozie u mnie w sieci ma je pootwierane.
Pozdrawiam
Krzysztof Pawlowski wrote:
Witam szanowncyh grupowiczow.
Czy ktos moglby mi powiedziec do czego sluza te porty.
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
5000/tcp open UPnP
Sporo kompow na wingrozie u mnie w sieci ma je pootwierane.
Pozdrawiam
445 to jest NetBIOS
1025 Network File System (NFS) lub IIS
5000 to usługa Universal PnP z Windows XP
In article <3dd8cbb@news.it-faq.pl, Krzysztof Cybulski wrote:
Krzysztof Pawlowski wrote:
| Witam szanowncyh grupowiczow.
| Czy ktos moglby mi powiedziec do czego sluza te porty.
| 445/tcp open microsoft-ds
| 1025/tcp open NFS-or-IIS
| 5000/tcp open UPnP
| Sporo kompow na wingrozie u mnie w sieci ma je pootwierane.
| Pozdrawiam
445 to jest NetBIOS
1025 Network File System (NFS) lub IIS
5000 to usługa Universal PnP z Windows XP
dzieki, ale to wiedzialem z opisu. Chodzi mi o to czy jakies aplikacje np: p2p tego uzywaja ?.
Pozdrawiam
--
Krzysztof Cybulski
kcybul@it-faq.pl
--
/*
It's a good day to die, isn't it ?
IRC : lublin.ig3.net #polska
WWW : http://darkzone.ma.cx
*/
D@niel wrote:
Dnia 07-gru-04 00:04:29, Walter napisawszy:
| Mam co chwile atak z takiego czegos. {zone alarm pro}
| .....
| Caly czas powtarza sie 83.25.177.156:445. Co to jest ?? Jak tego sie pozbyc
To co się powtarza to Twój adres IP + port 445. Raczej nie są to
ataki, wg mnie to "osiołki" i "muły" (czyli p2p) z innych kompów
szukają towarzystwa w sieci :-). U mnie też tak jest; oczywiście
wszystkie te próby połączenia są blokowane przez ZA (action:"Blocked"
w logu firewalla).
grep /etc/services
microsoft-ds 445/tcp # Microsoft-DS
microsoft-ds 445/udp # Microsoft-DS
na osiołka mi to nie wygląda ;) chyba że chodzi Ci o osłów
exploitujących lsass...
stfg: lsass 445
http://www.linklogger.com/TCP445.htm
^ tam znajdziesz więcej informacji o co chodzi
stfg: lsass
^ a tu znajdziesz więcej informacji dlaczego - pierwsza pozycja na liście:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
pozdrawiam
Jan Werner
Używam w2k z firewallem Outpost.
System pracuje jako stacja robocza, nie udostępnia żadnych usług.
proces system otwiera mi następujące porty:
445 UDP - zdefiniowany wC:WINNTsystem32driversetcservices jako
microsoft-ds
1027 TCP - niezdefiniowany
0 RAWSOCKET
proces svchost.exe otwiera mi porty: 1255,1257,1262
zastanawiam się dalczego ?
czy mógłby mi ktoś to wyjaśnić - z góry dziękuję.
witam,
Używam w2k z firewallem Outpost.
System pracuje jako stacja robocza, nie udostępnia żadnych usług.
proces system otwiera mi następujące porty:
445 UDP - zdefiniowany wC:WINNTsystem32driversetcservices jako
microsoft-ds
1027 TCP - niezdefiniowany
0 RAWSOCKET
proces svchost.exe otwiera mi porty: 1255,1257,1262
zastanawiam się dalczego ?
czy mógłby mi ktoś to wyjaśnić - z góry dziękuję.
Sprawdź PID danej instancji shvchost.exe (tej, która otworzyła te porty).
TcpView powinno tu umieć. Potem programem Process Explorer sprawdź parametry
wywołania tego svchost.
On Sun, 14 Dec 2003 01:32:49 +0100, Marian K. wrote:
Cześć
Dużo się słyszy o jakichś włamaniach i hakerach, dziurach w systemach i
inych głupotach... windows i linux redhat są ponoć bardzo niebezpieczne i
wleźć w nie to pestka... Mam router na bardzo starym redhacie od kilku lat,
w życiu żadnych patchy nie zakładałem, firewalla nie mam i nikt mi się
jeszcze nie włamał. wszystkie te historie o włamaniach to chyba jakieś
bajki. Czy jest tu ktoś kto udowodniłby mi że nie mam racji?
A fe, trolu!
135/tcp filtered msrpc
445/tcp filtered microsoft-ds
500/tcp filtered isakmp
Linux Kernel 2.4.0 - 2.5.20, Linux Kernel 2.4.18 - 2.5.70 (X86), Linux
2.4.19 w/grsecurity patch, Linux 2.4.20 - 2.4.21 w/grsecurity.org patch,
Linux Kernel 2.4.3 SMP (RedHat)
Albo mówisz o jakimś komputerze nie podłączonym do netu, albo kłamiesz w
żywe oczy.
W logach Zone Alarm znalazlem wielokrotne blokady prob polaczen z ip
zaczynajacych sie od 83.5. (ponizej przykladowa lista)....
FWIN,2005/12/25,16:52:18 +1:00
GMT,83.5.62.208:4893,83.5.248.79:445,TCP (flags:S)
FWIN,2005/12/25,16:52:22 +1:00
GMT,83.5.107.216:2849,83.5.248.79:135,TCP (flags:S)
FWIN,2005/12/25,16:52:22 +1:00
GMT,83.5.107.216:2853,83.5.248.79:135,TCP (flags:S)
FWIN,2005/12/25,16:52:26 +1:00
GMT,83.5.118.251:2442,83.5.248.79:445,TCP (flags:S)
FWIN,2005/12/25,16:52:34 +1:00
GMT,83.5.21.227:2584,83.5.248.79:445,TCP (flags:S)
FWIN,2005/12/25,16:52:40 +1:00
GMT,83.5.65.112:2410,83.5.248.79:445,TCP (flags:S)
FWIN,2005/12/25,16:52:46 +1:00 GMT,83.5.51.79:2509,83.5.248.79:139,TCP
Czy ktos ma pomysl o co chodzi? Bo nie chce mi sie wierzyc, zeby to
wszystko byly jakies crackerskie proby podlaczenia sie do mojego
kompa... ?
To zdaje sie jest ip nalezace do Neostrady... ?
To jest tzw. "broadcast" produkowany przez PC z systemem MS Windows
(wszystkie wersje) na ktorych nie *przefiltrowano* tego ruchu na firewall'u.
Dotyczy portów 135, 445 i netbios (137-139)
135,DCE endpoint resolution,,,
137,NETBIOS Name Service,,,
138,NETBIOS Datagram Service,,,
139,NETBIOS Session Service,explorer.exe,\%a,
445,Microsoft-DS,,,
Jest tego więcej, a "wirusy" to "Windows", "MediaPlayer" itp.
Przeczytaj wszystkie posty z tego wątkuwitam
programem typu portscanner dokonalem badania portow w moim systemie:
win2000 prof. podlaczony do sieci przez router sprzetowy+sdi.
wynik: otwarte porty 25, 120, 135, 139 oraz:
445 microsoft-ds
1550 3m-image-1m
pytanie dotyczy dwu ostatnich portow, co ich uzywa, jak to sprawdzic i
czym ewentualnie grozi pozostawienie ich otwartych (jak je zamknac w tym
systemie)?
Witam
Mam takie porty:
Port State Service
7/tcp open echo
9/tcp open discard
13/tcp open daytime
17/tcp open qotd
19/tcp open chargen
42/tcp open nameserver
135/tcp open loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
515/tcp open printer
1025/tcp open listen
1026/tcp open nterm
Jak je zablokowaæ? Jest to W2K Server.
Dziêki
K
Sword <swo@poland.comwrote:
Witam
Mam takie porty:
Port State Service
7/tcp open echo
9/tcp open discard
13/tcp open daytime
17/tcp open qotd
19/tcp open chargen
42/tcp open nameserver
135/tcp open loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
515/tcp open printer
1025/tcp open listen
1026/tcp open nterm
Jak je zablokować? Jest to W2K Server.
Jeżeli wszystki na raz to najprościej bedzie wyciągnąć wtyczkę.
kloczek
Przeczytaj wszystkie posty z tego wątku"Witek Prytek" <wit@erb.plwrote
| 445/tcp open microsoft-ds
Nie wiem co !?
SMB _bez_ NetBIOS. Nowa rzecz w Win2K, całkiem wydajne i pożyteczene
| 1025/tcp open listen
| 1026/tcp open nterm
Jakieś RPC, może być tego więcej. Zablokuj też port 135 (RPC mapper)
| Jak je zablokować? Jest to W2K Server.
Wylacz wszystkie uslugi i protokoly ktorych nie potrzebujesz.
Jesli jakis port jest otwarty przez usluge, ktora potrzebujesz to nie
mozesz
jej zamknac.
Ew. ustaw policy na IPSec (one działają też na "zwyczajnym" IP) blokujące
niepotrzebne porty, albo odbinduj niepotrzebne usługi od karty sieciowej,
albo skonfiguruj usługi do działania na wybranych interfejsach ... sporo
możliwości. Nie wszystko co wujek Bill sprzedał musi być wystawione do
świata ;)
Pozdr
B.
wadus wrote:
Ustalilem ze microsoft-ds to port 445, dlaczego wogole te dane sa teraz
przesylane?? wczesniej tego nie mialem. przy okazji tego problemu pojawia sie
ogromny spadek predkosci internetu. Pingujac onet czy wp, nieraz pakiety
wogole zostaja zgubione a czas wacha sie od 40ms do 2000 ms ci sie dzieje?
Wcześniej, to nie miałeś wrednego wirusa. Teraz masz.
<r@wsp.krakow.plwrote in
wlazenia z zewnatrz do udostepnionych zasobow w Windach?
Porty Netbiosu 137,138,139 to wystarczy czy moze jeszcze cos?
W przypadku Win2K zablokuj porty:
netbios-ns 137/tcp nbname #Usluga nazw NETBIOS
netbios-ns 137/udp nbname #Usluga nazw NETBIOS
netbios-dgm 138/udp nbdatagram #Usluga datagramów
NETBIOS
netbios-ssn 139/tcp nbsession #Usluga sesji NETBIOS
microsoft-ds 445/tcp
microsoft-ds 445/udp
... oraz wszystkie powyzej 1024 (niektóre procesy systemowe Windows
nasluchuja na wysokich portach zadania RPC). A najlepiej zablokuj wszystkie
przychodzace TCP :) oraz prawie wszystkie UDP .
A w zwiazku z tym mam jeszcze takie pytanie - czy ktos moze mi wyjasnic,
dlaczego niektore windy czasem wysylaja zapytania do serwerow DNS z
portu 137 wlasnie? (i na taki tez port oczywiscie dostaja odpowiedzi).
Windows moze korzystac z serwerów DNS do rozwiazywania nazw na potrzeby
NetBIOS, a port 137 wlasnie do tego sluzy. Byc moze serwery DNS produkcji MS
jakos specjalnie obsluguja takie zadania(to jest do sprawdzenia, ale nie
chce mi sie).
Pozdr
B.
"Jaroslaw Rafa" <r@wsp.krakow.plwrote in message
[...]
| microsoft-ds 445/tcp
| microsoft-ds 445/udp
A to ostatnie, to co to?
To jest usługa katalogowa Directory Service (a właściwie Active Directory).
napisałem inny post, ale gdy go czytam sam nie wiem o co mi w nim chodzi,
dlatego piszę raz jeszcze tutaj
sytuacja wygląda tak
są 2 sieci i serwer vpn
z sieci z której się wdzwaniam na serwer vpn wszystko jest bez zarzutu
natomiast odwrotnie już nie, tzn. z sieci gdzie stoi serwer vpn gdy klikam na
otoczenie sieciowe i próbuję się dostać do zasobów komputera z tej drugiej
sieci to pokazuje mi figę z makiem, no chyba że wyłączę zaporę
moje pytanie brzmi:
które porty muszę włączyć, żebym nie musiał wyłączać zapory i żebym mógł się
dostać na kompa z tej drugiej sieci
z góry dzięki
hexio@localhost ~ $ grep netbios /etc/services
netbios-ns 137/tcp # NETBIOS Name Service
netbios-ns 137/udp
netbios-dgm 138/tcp # NETBIOS Datagram Service
netbios-dgm 138/udp
netbios-ssn 139/tcp # NETBIOS Session Service
netbios-ssn 139/udp
hexio@localhost ~ $ grep microsoft /etc/services
microsoft-ds 445/tcp Microsoft-DS
microsoft-ds 445/udp Microsoft-DS
root@ein:~# nmap -v -sV elemid.homeftp.org
Starting Nmap 4.11 (http://www.insecure.org/nmap/) at 2007-04-20
14:41 CEST
DNS resolution of 1 IPs took 5.50s.
Initiating SYN Stealth Scan against bcy58.neoplus.adsl.tpnet.pl
(83.27.240.58) [1680 ports] at 14:41
The SYN Stealth Scan took 34.33s to scan 1680 total ports.
Host bcy58.neoplus.adsl.tpnet.pl (83.27.240.58) appears to be up ...
good.
Interesting ports on bcy58.neoplus.adsl.tpnet.pl (83.27.240.58):
Not shown: 1670 closed ports
PORT STATE SERVICE VERSION
23/tcp filtered telnet
81/tcp filtered hosts2-ns
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
254/tcp filtered unknown
255/tcp filtered unknown
445/tcp filtered microsoft-ds
Nmap finished: 1 IP address (1 host up) scanned in 40.408 seconds
Raw packets sent: 1949 (85.736KB) | Rcvd: 1890
(86.940KB)
Dlaczego wszystkie niby otwarte porty maja status FILTERED?
Prawdopodobnie stad sesja TCP sie urywa. Mozesz wejsc z
zewnatrz do konfiguracji routera - mi sie wydaje, ze nie...
e.
Mialem skanowane porty i oto jego wynik:
7/tcp open echo
9/tcp open discard
13/tcp open daytime
17/tcp open qotd
19/tcp open chargen
21/tcp open ftp
80/tcp open http
135/tcp open loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
554/tcp open rtsp
1025/tcp open NFS-or-IIS
1550/tcp open 3m-image-lm
3306/tcp open mysql
5000/tcp open UPnP
7070/tcp filtered realserver
8080/tcp filtered http-proxy
Poza oczywistymi rzeczami mozecie mi powiedzic co to sa te inne rzeczy i co
za nie odpowieda ??
Pozdrawiam
Kubu$
Received: from serveur2003
(LSt-Amand-152-32-25-234.w82-127.abo.wanadoo.fr [82.127.68.234])
w obu rzeczywistych źródłach spamu mają windows terminal serwery, na
które mogą się logować zdalnie.
A tego doca można ściągnąć też z windowsa:
Interesting ports on 210.1.7.185:
(The 1642 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
23/tcp open telnet
25/tcp open smtp
80/tcp open http
119/tcp open nntp
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
563/tcp open snews
593/tcp filtered http-rpc-epmap
1025/tcp open NFS-or-IIS
1027/tcp open IIS
3372/tcp open msdtc
3389/tcp open ms-term-serv
4444/tcp filtered krb524
4660/tcp filtered mosmig
4672/tcp filtered rfa
4899/tcp open radmin
6346/tcp filtered gnutella
9999/tcp filtered abyss
12345/tcp open NetBus
Ryszard Rączkowski wrote:
Niestety w Ripie brak telefonu do tej firmy, bo chętnie i życzliwie
bym wyjaśnił, jaki problem i co może dla nich to oznaczać.
Jestem mocno przekonany, że spam relayowany jest bezwiednie, na skutek
dziury w jakimś sendmailu czy czymś innym, zatem powinni natychmiast
ściągnąć jakiegoś lepszego informatyka.
Siakos nie moge od nich sobie pospamowowac:
Interesting ports on cw150.internetdsl.tpnet.pl (80.53.232.150):
135/tcp
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
Ryszard Rączkowski wrote:
| Niestety w Ripie brak telefonu do tej firmy, bo chętnie i życzliwie
| bym wyjaśnił, jaki problem i co może dla nich to oznaczać.
| Jestem mocno przekonany, że spam relayowany jest bezwiednie, na skutek
| dziury w jakimś sendmailu czy czymś innym, zatem powinni natychmiast
| ściągnąć jakiegoś lepszego informatyka.
Siakos nie moge od nich sobie pospamowowac:
Interesting ports on cw150.internetdsl.tpnet.pl (80.53.232.150):
135/tcp
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
Bo to jest open-proxy:
80.53.232.150 RBL filtered by dnsbl.njabl.org: open proxy -- 1077362403
80.53.232.150 RBL filtered by xbl.spamhaus.org: http://www.spamhaus.org/query/bl?ip=80.53.232.150
80.53.232.150 RBL filtered by list.dsbl.org: http://dsbl.org/listing?ip=80.53.232.150
80.53.232.150 RBL filtered by dnsbl.sorbs.net: HTTP Proxy See: http://www.dnsbl.sorbs.net/cgi-bin/lookup?IP=80.53.232.150
80.53.232.150 RBL filtered by opm.blitzed.org: open proxy - see http://opm.blitzed.org/?ip=80.53.232.150
Tomasz Nidecki wrote:
| Test complete - identified open proxy 80.53.232.150:1080/socks4
| Jak to jest, ze ani nmap nie identyfikuje portu 1080 jako otwartego,
| ani telnet 80.53.232.150 1080 nic nie daje?
A nie mam pojecia, SOA#1...
Rzeczywiscie, jakos kulawo go badalem :)
Port State Service
135/tcp open loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
1080/tcp open socks
1550/tcp open 3m-image-lm
Pawel Bernat <a@pieczewo.eu.orgwrote:
Nazca <na@interecho.comwrote:
| Jak coś wymyślę i mnie podłączą do IRCa
| to napisze na listę co to było...
Ależ już Ci powiedziano co to jest =)
Interesting ports on nazca.interecho.com (213.25.86.163):
(The 1542 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
80/tcp open http
443/tcp open https
445/tcp open microsoft-ds
1025/tcp open listen
1550/tcp open 3m-image-lm
Remote operating system guess: Windows 2000 Professional, Build 2183 (RC3)
Tzn co? Żeby była jasność....
Poncki
PS. I w sprawie nmapa rozmawiać nie będe.
PS: Kup sobie słownik Panie "wyszłeś".. Mój Ty specu od fajerłoli. :D
taki z niego spec od "faherłoli" jak ze mnei dziewica:
PORT STATE SERVICE
113/tcp closed auth
135/tcp closed msrpc
139/tcp closed netbios-ssn
445/tcp closed microsoft-ds
:
Papik wrote:
Dnia Sun, 18 Apr 2004 20:21:23 +0200, Kuba Zarembski napisał/napisała:
| PS: Kup sobie słownik Panie "wyszłeś".. Mój Ty specu od fajerłoli. :D
taki z niego spec od "faherłoli" jak ze mnei dziewica:
PORT STATE SERVICE
113/tcp closed auth
135/tcp closed msrpc
139/tcp closed netbios-ssn
445/tcp closed microsoft-ds
Więc ?
Piotr Hosowicz wrote:
Papik wrote:
| Dnia Sun, 18 Apr 2004 20:21:23 +0200, Kuba Zarembski napisał/napisała:
| PS: Kup sobie słownik Panie "wyszłeś".. Mój Ty specu od fajerłoli. :D
| taki z niego spec od "faherłoli" jak ze mnei dziewica:
| PORT STATE SERVICE
| 113/tcp closed auth
| 135/tcp closed msrpc
| 139/tcp closed netbios-ssn
| 445/tcp closed microsoft-ds
Więc ?
O, widze, że cancelowałeś posta. Też bym tak zrobił, jak bym tak dał
dupy. Chociaż nie, ja bym wytrzymał ból i przyznał się do porażki. Po
prostu. No, ale takich zaszczanych ziutków jak ty na to nie stać.
TAK
Debilu: odpowiada się pod postem. Jak nie potrafisz nawet czytnika
obsługiwać, to nie dziw, że sobie z netbusem nie radzisz dupku.
Przy okazji: na tej grupie jest kilku adminów tepsy, więc możesz zacząć
srać w gacie, bo nawet nie trzeba będzie słać informacji o tobie do
abuse.
Więc teraz biegiem zacznij demontować swoje sdi, spakuj do pudełeczka,
za parę dni zgłosi się po nie monter. Acha, zmień spodnie, bo pewnie ci
poszło w nogawkę frajerze. Jak będziesz zakładał nowe, to pamiętaj:
żółtym do przodu, brązowym do tyłu.
A co do bezpieczeństwa maszyn, to na razie zajmij się swoją własną, bo to:
Interesting ports on pi156.konstantynow.sdi.tpnet.pl (217.97.101.156):
(The 1595 ports scanned but not shown below are in state: closed)
Port State Service
135/tcp open loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
1550/tcp open 3m-image-lm
5000/tcp open UPnP
jest po prostu żałosne. Przynosisz wstyd myślącym użytkownikom sdi.
| Interesting ports on pi156.konstantynow.sdi.tpnet.pl (217.97.101.156):
| (The 1595 ports scanned but not shown below are in state: closed)
| Port State Service
| 135/tcp open loc-srv
| 139/tcp open netbios-ssn
| 445/tcp open microsoft-ds
| 1025/tcp open NFS-or-IIS
| 1550/tcp open 3m-image-lm
| 5000/tcp open UPnP
| jest po prostu żałosne. Przynosisz wstyd myślącym użytkownikom sdi.
troche krytyki i prosze:
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on pi156.konstantynow.sdi.tpnet.pl (217.97.101.156):
(The 1600 ports scanned but not shown below are in state: filtered)
Port State Service
80/tcp open http
Nmap run completed -- 1 IP address (1 host up) scanned in 43 seconds
Admin zablokował Ci wyjście na świat jako karę za skanowanie obcych,
niewinnych hostów ? ;P Czy może ten pajac co tu pisał nawrócił się,
pokasował śmiecie i zainstalował apache ? :
Ojej. Współczuję braku kontroli nad systemem... tedy stąd bierze się to
powszechne i jak widzę, po części uzasadnione przekonanie, że firewall
jest na windowsowej workstacji niezbędny?
Pozdrawiam,
Kontrola jest ale nie od razu po instalacji. Firewall jest potrzebny na
każdym Win2k/XP, nie tylko workstacji.
Wynik skanowania pod defaultowej instalacji:
135/tcp open loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open listen
1550/tcp open 3m-image-lm
3389/tcp open msrdp
5000/tcp open fics
Wynik skanowania po pobieżnym wyłączeniu zbędnych usług:
135/tcp open loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open listen
1550/tcp open 3m-image-lm
5000/tcp open fics
Wynik skanowania mojego kompa:
21/tcp open ftp
80/tcp open http
137/tcp closed netbios-ns
138/tcp closed netbios-dgm
139/tcp open netbios-ssn
J jeszcze Debian (mój) na dokładkę:
22/tcp open ssh
80/tcp open http
# testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[printers]"
Processing section "[filmz]"
Loaded services file OK.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions
# Global parameters
[global]
workgroup = BALACHA
server string = Samba Server
security = SHARE
log file = /var/log/samba/%m.log
max log size = 50
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
printcap name = /etc/printcap
dns proxy = No
cups options = raw
[homes]
comment = Home Directories
read only = No
browseable = No
[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
browseable = No
[filmz]
comment = Filmy
path = /mnt/hdb/filmz
guest ok = Yes
Po obu stronach (xp i fc4) widac oba komputery. Tylko ze ze strony windy nie
moge wejsc do siebie bo wywala blad. Czytalem ze moze to byc spowodowane
firewallem ale chyba odpowiednie porty sa otwarte (bo jedyne reguly mam do
maskarady a policy na ACCEPT):
PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-ds
Nie wiem ju¿ czego szukaÌ. B³¹d w konfigu? A mo¿e brak jakiejœ us³ugi?
skonfigurowalem sambe by nasluchiwala tylko na ip lokalnej podsieci
(192.168.1.20) i sprawdzam netstatem czy uzyskałem oczekiwany efekt.
Netstat pokazuje prawidłowo usługę samby na wskazanym ip (tcp), jednak
udp nadal wskazuje na wszystkich interfejsach serwera.
Fragment wyniku netstata: (netstat -a)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 192.168.1.2:netbios-ssn *:* LISTEN
tcp 0 0 192.168.1.20:http *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 192.168.1.20:https *:* LISTEN
tcp 0 0 192.168.1.:microsoft-ds *:* LISTEN
udp 0 0 192.168.1.20:netbios-ns *:*
udp 0 0 *:netbios-ns *:*
udp 0 0 192.168.1.2:netbios-dgm *:*
udp 0 0 *:netbios-dgm *:*
Czy tak ma być, czy jeszcze mogę coś zrobić, by pozbyć się
*.netbios-ns i *:netbios-dgm w protokole udp?
w smb.conf mam wpis:
bind interfaces only = True
interfaces = 192.168.1.20
z góry dziękuję za wyjaśnienia
iu1j4
Mam taki problem, ze nie moge podgladnac plikow na drugim komputerze
znajdujacym sie w tej samej grupie roboczej. Moj komputer widzi ten drugi
kompw miejscach sieciowych, ale nie mozna wejsc do niego z katalogu 'moje
miejsca sieciowe'. Bez problemu mozna wejsc na drugi komputer dopiero po
wpisaniu jego adresu ip w przegladarce. Wylaczenie firewalli (NIS 2003) na
obydwu komputerach nic nie daje. Jeden komputer to laptop z Win XP HE,
podpiety po wifi do Linsysa wrtg45g, a drugi to stacjonarny z win XP PE,
podpiety tez do wrt54g po kablu. Wrt54g jest podpiety do asmaxa ar701u,
ktory dziala w trybie bridge i laczy sie tpsa. Jezeli zepne obydwa komputery
bezposrednio to nie ma problemu. dodam jeszcze ze na obydwu komputerach
ustawiony jest dynamiczny ip.
Kto pomoze?
pozdrawiam
Wlad
PS. Ponizej zamieszczona jest lista uruchomionych procesow z laptopa
lsass.exe:768 UDP LEPPER:isakmp *:*
snmp.exe:320 UDP LEPPER:snmp *:*
svchost.exe:1128 UDP LEPPER:1028 *:*
svchost.exe:1128 UDP LEPPER:1119 *:*
svchost.exe:976 UDP LEPPER:ntp *:*
svchost.exe:976 UDP lepper:ntp *:*
svchost.exe:976 UDP lepper:router *:*
System:4 UDP LEPPER:microsoft-ds *:*
System:4 UDP lepper:netbios-ns *:*
System:4 UDP lepper:netbios-dgm *:*
CCPXYSVC.EXE:1856 TCP lepper:2577 195.50.96.94:http ESTABLISHED
CCPXYSVC.EXE:1856 TCP lepper:2571 212.162.0.30:http FIN_WAIT2
CCPXYSVC.EXE:1856 TCP lepper:2575 64.215.172.62:http ESTABLISHED
CCAPP.EXE:1416 TCP LEPPER:1033 LEPPER:0 LISTENING
CCPXYSVC.EXE:1856 TCP LEPPER:1027 LEPPER:0 LISTENING
svchost.exe:924 TCP LEPPER:epmap LEPPER:0 LISTENING
svchost.exe:976 TCP LEPPER:1025 LEPPER:0 LISTENING
System:4 TCP LEPPER:microsoft-ds LEPPER:0 LISTENING
System:4 TCP LEPPER:1029 LEPPER:0 LISTENING
System:4 TCP lepper:netbios-ssn LEPPER:0 LISTENING
CCPXYSVC.EXE:1856 TCP LEPPER:2571 LEPPER:0 LISTENING
getright.exe:2640 TCP LEPPER:2574 LEPPER:0 LISTENING
CCPXYSVC.EXE:1856 TCP LEPPER:2575 LEPPER:0 LISTENING
getright.exe:2640 TCP LEPPER:2576 LEPPER:0 LISTENING
CCPXYSVC.EXE:1856 TCP LEPPER:2577 LEPPER:0 LISTENING
[System Process]:0 TCP LEPPER:2570 localhost:1027 TIME_WAIT
getright.exe:2640 TCP LEPPER:2574 localhost:1027 ESTABLISHED
getright.exe:2640 TCP LEPPER:2576 localhost:1027 ESTABLISHED
CCPXYSVC.EXE:1856 TCP LEPPER:1027 localhost:2574 ESTABLISHED
CCPXYSVC.EXE:1856 TCP LEPPER:1027 localhost:2576 ESTABLISHED
mam pytanie, wpadła mi w ręce karta na Ralinku... ma ona
wiele ciekawych opcji, między innymi pokazuje jakość sygnału
(u mnie 90%) i moc (-52dBm)... oraz! ilość błędne odebranych
ramek i aktualny transfer... tu dzieją się rzeczy bardzo dla
mnie dziwne... otóż cały czas ktoś nadaje do mnie z
prędkością 10-15 kB/s z czego 80% to ramki ze złym CRC...
cóż to może być? oczywiście ja wysyłam w okolicach 0...
kolega doradził mi coś - wklejam...
Microsoft Windows XP [Wersja 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:Documents and Settings ojanetstat
Aktywne połączenia
Protokół Adres lokalny Obcy adres Stan
TCP elwis:1063 205.209.161.59:7222
USTANOWIONO
TCP elwis:1275 192.168.0.40:microsoft-ds
WYSŁANO_SYN
TCP elwis:1277 192.168.0.25:microsoft-ds
WYSŁANO_SYN
TCP elwis:1278 192.168.0.41:microsoft-ds
WYSŁANO_SYN
TCP elwis:1279 192.168.0.26:microsoft-ds
WYSŁANO_SYN
TCP elwis:1280 192.168.0.42:microsoft-ds
WYSŁANO_SYN
TCP elwis:1281 192.168.0.27:microsoft-ds
WYSŁANO_SYN
TCP elwis:1282 192.168.0.28:microsoft-ds
WYSŁANO_SYN
TCP elwis:1283 192.168.0.43:microsoft-ds
WYSŁANO_SYN
TCP elwis:1284 192.168.0.44:microsoft-ds
WYSŁANO_SYN
TCP elwis:1285 192.168.0.29:microsoft-ds
WYSŁANO_SYN
TCP elwis:1568 host-93.gadugadu.pl:https
USTANOWIONO
C:Documents and Settings oja
czy ktoś z Was umie wyciągnać z tego wnioski?
On 2004-10-31, SirMike wrote:
To ja sie tez wypowiem w kwestii bezpieczenstw mojego OS'a.
Nasuwa mi sie tez pare pytan ale po kolei.
Juz dawno zrezygnowalem z IE + OE na rzecz: najpierw Opery, teraz
Firefoxa + Thunderbirda. Przesiadka okazala sie strzalem w 10. Nie ma z
nimi problemow. Jednak glowe zawraca mi inna sprawa - firewall.
Probowalem juz wiele "ognioscianek" - glowny wyznacznik jakim sie
kieruje to "darmowy" i "nie zamulajacy kompa".
Zapora z WinXP (SP2) - totalna porazka. Nie wiem po co w ogole
programisci z Microsoftu ja zrobili skoro i tak puszcza prawie wszystko.
O Leak Testach w ogole nie wspomne bo szkoda pisania :)
Sygate - dla mnie klapa glownie z uwagi na kiepski interfejs (tak z
sprzed kilku lat ;)). Funkcjonalnosci nie sprawdzilem do konca.
Zone Alarm - nastepna kiszka do tego dziurawa jak dobry ser - porty
zostaja otwarte i co chwila jakies buraki mi sie laduja do kompa. Jedyny
plus dla niego to prostota konfiguracji oraz ladny wyglad.
Outpost - ladny, przejrzysty interfejs - dosc dobrze chronil mi kompa
ale jego wersja 2.x nie jest darmowa :(
Kerio - mam go aktualnie ale od czasu do czasu ktos mi sie polaczy -
glownie przez porty "epmap" i "microsoft-ds" - wie ktos jak to
diabelstwo zalokowac ?
A co Wy macie w swoich kompach ?? Tylko prosze o jakies normalne
argumenty a nie "Zone Alarm jest the best" jak to bywa w necie czesto.
A ja mam Slackware 9.1 + Mutt + Firefox. Spisuja sie bezblednie,
stabilnie i nie boje sie wirusow ani trojanow. Firewall mi niepotrzebny,
bo to, co mam uruchomione (DNS, POP3s, HTTP, HTTPs, SSH, FTP i SMTP),
odpalalem sam. Jakbym potrzebowal firewalla, to iptables jest
fantastyczne -- latwa konfiguracja mimo braku klikanego interfejsu,
ekstra mozliwosci netfiltra z jadra.
UDP duron850:epmap *:*
UDP duron850:microsoft-ds *:*
UDP duron850:1028 *:*
UDP duron850:1030 *:*
UDP duron850:1086 *:*
UDP duron850:3456 *:*
UDP duron850:38037 *:*
UDP duron850:netbios-ns *:*
UDP duron850:netbios-dgm *:*
UDP duron850:1062 *:*
UDP duron850:1071 *:*
Wersja 1:
Jesli skrypt ma cos takiego:
if (/UDP/) {
my($Proto)=
/^(w+)/;
$Protos{$Proto}++;
}
print "Ilosc UDP = $Protos{'UDP'}
";
#sekcja na wyniki
Ilosc UDP = 11 # tu mi wyswietli 11 jako sume UDP i wszystko sie
zgadza
Lecz z nastepujacym mam problem
Wersja 2:
if (/UDP/) {
my($Proto, $LocalAddress)=
/^(w+) (s+)/;
$Protos{$Proto}++;
$LocalAddresses{$LocalAddress)++;
}
print "Ilosc UDP = $Protos{'UDP'}
";
print "Ilosc duron = $LocalAddresses{'duron'}
";
#sekcja na wyniki
Ilosc UDP = 11 # tu mi wyswietli 11 jako sume UDP i wszystko
sie zgadza
Use of uninitialized value in concatenation (.) or string at... # tu mam
blad
Ilosc duron = # to jest puste
Czy ma ktos jakies wskazówki?
/^(w+) (s+)/
powinno bylo byc
/^(w+)s+(S+)/
"Troll" <ab@microsoft.comwrote in message
Chce szukac wzorow i policzyc ile razy wystepuja. Na przyklad tutaj chce
policzyc ile razy wystepuje UDP i ile razy wystepuje duron:
UDP duron850:epmap *:*
UDP duron850:microsoft-ds *:*
UDP duron850:1028 *:*
UDP duron850:1030 *:*
UDP duron850:1086 *:*
UDP duron850:3456 *:*
UDP duron850:38037 *:*
UDP duron850:netbios-ns *:*
UDP duron850:netbios-dgm *:*
UDP duron850:1062 *:*
UDP duron850:1071 *:*
Wersja 1:
Jesli skrypt ma cos takiego:
if (/UDP/) {
my($Proto)=
/^(w+)/;
$Protos{$Proto}++;
}
print "Ilosc UDP = $Protos{'UDP'}
";
#sekcja na wyniki
Ilosc UDP = 11 # tu mi wyswietli 11 jako sume UDP i wszystko sie
zgadza
Lecz z nastepujacym mam problem
Wersja 2:
if (/UDP/) {
my($Proto, $LocalAddress)=
/^(w+) (s+)/;
$Protos{$Proto}++;
$LocalAddresses{$LocalAddress)++;
}
print "Ilosc UDP = $Protos{'UDP'}
";
print "Ilosc duron = $LocalAddresses{'duron'}
";
#sekcja na wyniki
Ilosc UDP = 11 # tu mi wyswietli 11 jako sume UDP i wszystko
sie zgadza
Use of uninitialized value in concatenation (.) or string at... # tu
mam
blad
Ilosc duron = # to jest puste
Czy ma ktos jakies wskazówki?
"Piotr Piatkowski" <kom@ceti.plwrote in message
Troll <ab@microsoft.comwrote:
| Chce szukac wzorow i policzyc ile razy wystepuja. Na przyklad tutaj chce
| policzyc ile razy wystepuje UDP i ile razy wystepuje duron:
| UDP duron850:epmap *:*
| UDP duron850:microsoft-ds *:*
| UDP duron850:1028 *:*
| UDP duron850:1030 *:*
| UDP duron850:1086 *:*
| UDP duron850:3456 *:*
| UDP duron850:38037 *:*
| UDP duron850:netbios-ns *:*
| UDP duron850:netbios-dgm *:*
| UDP duron850:1062 *:*
| UDP duron850:1071 *:*
| Wersja 1:
| Jesli skrypt ma cos takiego:
| if (/UDP/) {
| my($Proto)=
| /^(w+)/;
| $Protos{$Proto}++;
| }
| print "Ilosc UDP = $Protos{'UDP'}
";
| #sekcja na wyniki
| Ilosc UDP = 11 # tu mi wyswietli 11 jako sume UDP i wszystko sie
| zgadza
| Lecz z nastepujacym mam problem
| Wersja 2:
| if (/UDP/) {
| my($Proto, $LocalAddress)=
| /^(w+) (s+)/;
| Ilosc duron = # to jest puste
s to spacja - chyba nie to miałeś na myśli?
--
Piotr Piątkowski, Kraków
perl -le 's**02).4&9%4^[./4(%2^0%2,^([#+%2&**y%& -;^[%"`-{ a%%s%%$_%ee'
| Opcje pakietu tak jak akurat pasowało deweloperowi.
| W każdej dystrybucji pakiety są budowane _jakoś_, z _jakimiś_
| opcjami... :-)
Ale na ogół są budowane z takimi, coby było odpowiadało większości.
Dokładnie :-)
Jak komuś bardzo zależy. Ani w SuSE, ani w Ubuntu nic kompilować
nie musiałem. W odróżnieniu od PLD, gdzie jak coś chciałem mieć,
to trzeba było jakieś deweloperskie wersje z CVS-a wyciągać, używać
narzędzi dla deweloperów dystrybucji, takich jak np. wspomniany
powyżej builder itd.
nmap localhost
[...]
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
25/tcp open smtp
80/tcp open http
110/tcp open pop3
113/tcp filtered auth
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
515/tcp open printer
995/tcp open pop3s
2064/tcp open dnet-keyproxy
3064/tcp open dnet-tstproxy
4000/tcp open remoteanything
Maszynka aktualnie więc serwuje chyba wszelkie możliwe usługi :-)
Z ręką na sercu mówię, że nic nie hakowałem, kompilowałem ani nie
builderowałem. Co takiego chciałeś mieć, co wymagało developerskich
wersji z CVS-u?
Pozdrawiam
Artur
| Opcje pakietu tak jak akurat pasowało deweloperowi.
| W każdej dystrybucji pakiety są budowane _jakoś_, z _jakimiś_
| opcjami... :-)
| Ale na ogół są budowane z takimi, coby było odpowiadało większości.
Dokładnie :-)
Cóż, ja PLD używałem dawno, ale zdarzały się pakiety, które były
budowane z opcjami dosyć dziwnymi.
| Jak komuś bardzo zależy. Ani w SuSE, ani w Ubuntu nic kompilować
| nie musiałem. W odróżnieniu od PLD, gdzie jak coś chciałem mieć,
| to trzeba było jakieś deweloperskie wersje z CVS-a wyciągać, używać
| narzędzi dla deweloperów dystrybucji, takich jak np. wspomniany
| powyżej builder itd.
nmap localhost
[...]
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
25/tcp open smtp
80/tcp open http
110/tcp open pop3
113/tcp filtered auth
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
515/tcp open printer
995/tcp open pop3s
2064/tcp open dnet-keyproxy
3064/tcp open dnet-tstproxy
4000/tcp open remoteanything
Maszynka aktualnie więc serwuje chyba wszelkie możliwe usługi :-)
Z ręką na sercu mówię, że nic nie hakowałem, kompilowałem ani nie
builderowałem. Co takiego chciałeś mieć, co wymagało developerskich
wersji z CVS-u?
Jakieśtam aktualne wersje KDE na przykład. Ale PLD z desktopa to ja
dosyć szybko wywaliłem. Na miniserwerku przetrwało długo. Głównie
ze względu na zasadę "działa -- nie dotykaj". Tyle, że przyszedł
moment w którym wsadziłem większy dysk i uznałem to za dobrą okazję
na zmianę systemu na coś lepszego.
bart
Przeczytaj wszystkie posty z tego wątkumam nastepujacy problemik:
Mam neostrade, podaaczona do routerka asmax'a... wszysciutkie porty sa
przekierowane z routera, na serwer który dalej rozdziela internet.
Problem w tym, ze z sieci lokalnej, nie dzialaja mi ani vhosty do
apacha, które dotycza serwera, baa... nawet po zewnetrzej domence nic
nie dziala (ftp, samba, ssh, etc ;p)
Problem tkwi zapewne w tym, ze jak skanuje swój serwerek z locala
(skanuje zewnetrzny adres) to otrzymuje:
[root@loBotoMia:~ $nmap -sS -P0 ja241.neoplus.adsl.tpnet.pl
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-05-05 18:43
CEST Interesting ports on ja241.neoplus.adsl.tpnet.pl (83.28.8.241):
(The 1655 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
23/tcp open telnet
254/tcp open unknown
255/tcp open unknown
666/tcp open doom
Nmap run completed -- 1 IP address (1 host up) scanned in 12.261 seconds
A z kompa poza lokalem:
[root@flumber root]# nmap -sS -P0 ja241.neoplus.adsl.tpnet.pl
Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2004-05-05 18:41
CEST Interesting ports on ja241.neoplus.adsl.tpnet.pl (83.28.8.241):
(The 1646 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
53/tcp open domain
80/tcp open http
113/tcp open auth
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
901/tcp open samba-swat
1550/tcp open 3m-image-lm
1551/tcp open hecmtl-db
Nmap run completed -- 1 IP address (1 host up) scanned in 14.851 seconds
[root@flumber root]#
Moze ktos ma jakis pomysl jak "ukryc, ze polaczenia pochodza z lokalnego
IP" (pomijam tutaj serwery proxy, bo to mija sie z celem (szybkosc
polaczen)), jestem otwarty na propozycje
Pozdrawiam
Marcin Rybak vel Savage
Niestety na grupie linux hmm nie pomogli możę tu coś da radę się
dowiedziec.
Mam postawiony system i na nim MySQL. Niestety nie mogę do niego się
podlączyć z zewątrz. Zrobiłem usera w mysql który może się
łączyć z każdego hosta i nic nadal nie działa. Zaczołem kombinować
siecią i mam takie wyniki:
nmap XX.XXX.XXX.XX
(The 1653 ports scanned but not shown below are in state: closed) PORT
STATE SERVICE
21/tcp open ftp
22/tcp open ssh
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
Czyli brak mi 3306 tak?
Potem na maszynie z MySQL wydałem polecenie
# netstat -lnt
Active Internet connections (only servers) Proto Recv-Q Send-Q Local
Address Foreign Address State tcp 0 0
0.0.0.0:21 0.0.0.0:* LISTEN tcp 0 0
XX.XXX.XXX.XX:22 0.0.0.0:* LISTEN tcp 0 0
10.0.0.9:22 0.0.0.0:* LISTEN tcp 0 0
127.0.0.1:25 0.0.0.0:* LISTEN Czyli nie słucha.
Kurcze i też nie słuch 3306. Więc zaczołem próbować :
iptables -A INPUT -i eth0 -p tcp -d XX.XXX.XXX.XX --dport 3306 -j ACCEPT
Niby reguła się dodaje ale nadal nie mogę się połączyć do mysql.
Może ktoś z Państwa mi pomóc?. Może źle piszę dodawanie łańcucha
do iptables?
Pozdrawiam
Piterek
Witam,
Niestety na grupie linux hmm nie pomogli możę tu coś da radę się
dowiedziec.
Mam postawiony system i na nim MySQL. Niestety nie mogę do niego się
podlączyć z zewątrz. Zrobiłem usera w mysql który może się
łączyć z każdego hosta i nic nadal nie działa. Zaczołem kombinować
siecią i mam takie wyniki:
nmap XX.XXX.XXX.XX
(The 1653 ports scanned but not shown below are in state: closed) PORT
STATE SERVICE
21/tcp open ftp
22/tcp open ssh
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
Czyli brak mi 3306 tak?
Potem na maszynie z MySQL wydałem polecenie
# netstat -lnt
Active Internet connections (only servers) Proto Recv-Q Send-Q Local
Address Foreign Address State tcp 0 0
0.0.0.0:21 0.0.0.0:* LISTEN tcp 0 0
XX.XXX.XXX.XX:22 0.0.0.0:* LISTEN tcp 0 0
10.0.0.9:22 0.0.0.0:* LISTEN tcp 0 0
127.0.0.1:25 0.0.0.0:* LISTEN Czyli nie słucha.
Kurcze i też nie słuch 3306. Więc zaczołem próbować :
iptables -A INPUT -i eth0 -p tcp -d XX.XXX.XXX.XX --dport 3306 -j ACCEPT
Niby reguła się dodaje ale nadal nie mogę się połączyć do mysql.
Może ktoś z Państwa mi pomóc?. Może źle piszę dodawanie łańcucha
do iptables?
Pozdrawiam
Piterek
A czy zahashowałeś opcję skip-networking w konfigu od mysql-a ?
Sebastian Bobrecki
se@mgt.net.pl
www.mgt.net.pl
logi z iptrafa pokazuja cos takiego:
18:21:09.418554 IP 192.168.100.50.1066 gw-wifi.microsoft-ds: S
2791244463:2791244463(0)
win 16384 <mss 1460,nop,nop,sackOK
18:21:09.419348 IP 192.168.100.50.instl_boots gw-wifi.netbios-ssn:
S
500433954:500433954(0) win 16384 <mss 1460,nop,nop,sackOK
...
...ciągle ta sama sekwencja
...
routing:
Destination Gateway Genmask Flags Metric Ref
Use Iface
192.168.100.50 0.0.0.0 255.255.255.255 UH 0 0
0 eth0
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0
0 eth0
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0
0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0
0 lo
0.0.0.0 192.168.100.1 0.0.0.0 UG 0 0
0 eth0
opis:
gw-wifi to adres ip 192.168.100.10 eth0 polaczonego z routerem d-link.
a 192.168.100.50 to adres komputera pracujacego przez wifi
Aby zasoby samby pojawily sie w sieci wifi po stronie eth0, musze
przeladowac firewall
Po przeladowaniu firewalla, przy wczesniej wlaczonym komputerze po
stronie wifi, wszystko dziala tak jak powinno.. do nastepnego dnia gdy
jako pierwszy zostanie wlaczony serwer i w jakis nieznany mi sposob
nie powiaze zasad firewalla z brakujacymi hostami..
W firewallu operuje na adresach IP (nie na nazwach z /etc/hosts)
Jeszcze jedno - komputery (lapek i serwer przez d-linka) pingaja sie
wiec jest miedzy nimi polaczenie.
Walczę z tym od kilku miesiecy. Dzieki za wszelka pomoc.
Mam mały problem z firewallem w iptables. Polega on na tym że po
włączeniu firewall'a po jakimś czasie wysypują się dns'y (BIND).
Czy mależy cos dopisać aby serwer nazw dzialał prawidłowo ? Czy wogóle
otwarcie portu 42 jest potrzebne ?
Po uruchomieniu firewalla i przeskanowaniu z innego kompa nmap'em np.
pierwszego hosta 80.80.80.80 dostaje nast wynik:
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
80/tcp open http
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
515/tcp filtered printer
1900/tcp filtered UPnP
co to za filtrowane serwisy ? Można je jakoś wyłączyć ?
Firewall wygląda mniej wiecej tak:
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -d 80.80.80.80 --dport 22 -m state --state NEW
-j ACCEPT
iptables -A INPUT -p tcp -d 80.80.80.80 --dport 42 -m state --state NEW
-j ACCEPT
iptables -A INPUT -p udp -d 80.80.80.80 --dport 42 -m state --state NEW
-j ACCEPT
iptables -A INPUT -p tcp -d 80.80.80.80 --dport 53 -m state --state NEW
-j ACCEPT
iptables -A INPUT -p udp -d 80.80.80.80 --dport 53 -m state --state NEW
-j ACCEPT
iptables -A INPUT -p tcp -d 80.80.80.81 --dport 80 -m state --state NEW
-j ACCEPT
iptables -A INPUT -p tcp -d 80.80.80.81 --dport 25 -m state --state NEW
-j ACCEPT
iptables -A INPUT -p tcp -d 80.80.80.81 --dport 110 -m state --state NEW
-j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp -i eth1 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p udp -i eth1 -j REJECT --reject-with
icmp-port-unreachable
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-03-27 23:46 CET
Interesting ports on nieznalski.mshome.net (192.168.0.1):
(The 1651 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
1550/tcp open 3m-image-lm
1720/tcp open H.323/Q.931
5000/tcp open UPnP
No exact OS matches for host (If you know what OS is running on it, see
http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=3.50%P=i686-pc-linux-gnu%D=3/27%Time=40660464%O=135%C=1)
TSeq(Class=RI%gcd=1%SI=368F%IPID=I%TS=0)
TSeq(Class=RI%gcd=1%SI=1B58%IPID=I%TS=0)
TSeq(Class=RI%gcd=1%SI=2A4C%IPID=I%TS=0)
T1(Resp=Y%DF=Y%W=6270%ACK=S++%Flags=AS%Ops=MNWNNT)
T2(Resp=N)
T3(Resp=N)
T4(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=N)
PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)
Nmap run completed -- 1 IP address (1 host up) scanned in 19.304 seconds
przejrzałem logi w swoim systemie. No i znalazłem w:
/var/log/syslog takie np. wpisy:
Mar 17 22:00:34 VNV wu-ftpd[1146]: connect from 192.168.0.55
Mar 17 22:01:11 VNV wu-ftpd[1147]: connect from 192.168.0.55
Mar 19 10:43:24 VNV wu-ftpd[1508]: connect from 211.98.161.2
Mar 19 10:43:28 VNV wu-ftpd[1508]: FTP session closed
/var/log/messages coś między innymi takiego:
Mar 17 22:03:25 VNV wu-ftpd[1146]: FTP session closed
Mar 17 22:03:52 VNV wu-ftpd[1147]: lost connection to 192.168.0.55 [192.168.0.55]
a w logach wuftpd cisza o takich wydarzeniach.
Prawdopodobnie zwykle skanowania portow.
A w razie czego, to zwieksz poziom debugu w konfiguracji wu-ftpd (lub zmien
go na cos innego).
Oprócz tego z ciekawości poprzyglądałem się cóż tam iptraf pokazuje.
Całość na komputerze (o IP 192.168.0.98) który nie ma w tej chwili dostępu do
Internetu, jest tylko w sieci lokalnej, do zasobów której też zresztą nie ma
dostępu - po prostu administrator chwilowo zablokował dostęp dla tego
komputera, reszta komputerów w sieci ma pełny dostęp, przez proxy zresztą.
No i iptraf wyświetla między innymi:
..TCP; eth0; 48 bytes; from 213.216.90.219:3911 to 192.168.0.98:1025; first
packet (SYN)
..TCP; eth0; 48 bytes; from 213.216.249.173:3874 to 192.168.0.98:microsoft-;
first packet (SYN)
..TCP; eth0; 40 bytes; from 192.168.0.98:microsoft- to 213.216.249.173:3874;
Connection reset; 1 packets, 40 bytes, avg flow rate 0.00 kbytes/s; opposite
direction 1 packets, 48 bytes; avg flow rate 0.00 kbytes/s
1. dostep nie jest zablokowany (a moze tylko 1 port?)
2. jest komputer za natem i to on wysyla zadania do tych hostow.
Trochę mnie dziwi, że do komputera bez dostępu do Internetu takie pakiety
dochodzą. Czy to normalne? I do tego taki port?
Port jak kazdy inny (cat /etc/services):
microsoft-ds 445/tcp
PS: zapewne jakis msblaster sie probuje dobic do kompa...
Ale chciałbym znać trochę więcej szczegółów, kto i co próbuje
Jak juz napisalem - skanowania. Nic wiecej (ale swoja droga, to wu-ftpd
dawniej byl tak dziurawy, ze ja sie nie dziwie tym skanowaniom).
Jacek
445/tcp open microsoft-ds
445/tcp open microsoft-ds
ta usługa się nazywa Windows w wersji 2000 lub XP
ewentualnie samba pod linuxem w wersji 3 otwiera taki port
W Twoim liście datowanym 26 lutego 2005 (19:32:27) można przeczytać:
Phmm co to za usluga chodzi na tym porcie ????
P445/tcp open microsoft-ds
ta usługa to saser albo blaster - wyciąć w pierony jasne
© 2009 Najlepszy miesiąc kawalerski w Polsce !!! - Ceske - Sjezdovky .cz. Design downloaded from free website templates