Oto wynik polecenia nmap -sS localhost:
Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-02-09 09:40 CET
Interesting ports on zeus (127.0.0.1):
(The 1633 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
1/tcp open tcpmux
11/tcp open systat
15/tcp open netstat
22/tcp open ssh
79/tcp open finger
80/tcp open http
111/tcp open rpcbind
119/tcp open nntp
139/tcp open netbios-ssn
143/tcp open imap
443/tcp open https
445/tcp open microsoft-ds
540/tcp open uucp
631/tcp open ipp
635/tcp open unknown
1080/tcp open socks
1524/tcp open ingreslock
2000/tcp open callbook
6001/tcp open X11:1
6667/tcp open irc
10000/tcp open snet-sensor-mgmt
12345/tcp open NetBus
12346/tcp open NetBus
27665/tcp open Trinoo_Master
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
54320/tcp open bo2k
Nmap run completed -- 1 IP address (1 host up) scanned in 0.164 seconds
Jak sami widzicie nie wyglada to rozowo. Z tego co sam widze to porty 12345,
27665, 31337, 32772-774, 54320 sa otwarte (jest tutaj jeszcze cos
niebezpiecznego co nie wpadlo mi w oko?)
Jak to sie stalo ze sa otwarte (wlamanie?)
Jak mozna je pozamykac?
Jak sprawdzic aktywne polaczenia sieciowe (netstat?)?
Jak sie zamyka porty pod Linuksem?
Konfiguracja:
Debian SID (knoppix).
Maszyna w sieci lokalnej za 2 routerami ktore forwarduja port amule na ta
wlasnie maszyne.
Wszelkie odpowiedzi (moze z wyjatkiem man xxx) beda mile widziane.
Dzieki
(The 1653 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
Czyli brak mi 3306 tak?
A na tej maszynie z MySQL jak robię netstat -lnt to mam tak
# netstat -lnt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 XX.XXX.XXX.XX:22 0.0.0.0:* LISTEN
tcp 0 0 10.0.0.9:22 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
Czyli nie słucha. Lokalnie mogę się zalogować na root i na siebie i
działa. Więc wydaje mi się że to zablokowany port?
Pozdrawiam
Piterek
microsoft-ds jak to zablokowac z poziomu serwera bo mi goscie siec zabijaja
chciaz mam zablokowane na serwerze
co zrobic ???
pozdrawiam
mario_xp
| miales limit to zalozylem ze masz mport...
| uzyj poszczegolnych portow... 135 i 139 sa nawazniejsze...
| Dla pewności, ma być tak?
| iptables -I INPUT -i ppp0 -p tcp --dport 135:139 -j DROP
| iptables -I INPUT -i ppp0 -p tcp --dport 445 -j DROP
| Nie wiem jeszcze do czego służy mport, ale doczytam.
| Jak chce sie samba podniesc to jej nie przeszkadzaj...
| Jesli braklo "nie" to napisz co mowia logi...
| Upsss, faktycznie brakowało "nie" :)
| Oto chodzi że po wpisaniu ./rc.samba
| Orzymuję:
| Starting Samba: /usr/sbin/smbd -D
| i nic się nie dzieje, dopiero ctrl+d pomaga,nawet logów nie ma, gdzyż
| poprzednie przeniosłem do innego folderu, a nowe się nie twożą.
| Nie bardzo wiem od czego zacząć aby ją uruchomić.
sugeruje zaczac od testparm, a potem opcja syslog i debug w smb.conf.
Pomogl dopiero restart serwera. Samba ruszyla, ale niestety logi sie mnoza:(
Na tych portach nie nie bylo (zadnych pakietow)
pkts bytes target prot opt in out source
destination
0 0 DROP tcp -- ppp0 any anywhere
anywhere tcp spts:loc-srv:netbios-ssn
0 0 DROP tcp -- ppp0 any anywhere
anywhere tcp spt:microsoft-ds
zrobilem sie ziolony, nie wiem co poradzic.
Pozdrawiam.
jeszcze inne pytanie dotyczace portow w w2k pro.
Komenda netstat -s pokazuje mi:
Aktywne połączenia
Protokół Adres lokalny Obcy adres Stan
TCP yaro:epmap yaro:0 NASŁUCHIWANIE
TCP yaro:microsoft-ds yaro:0 NASŁUCHIWANIE
TCP yaro:1025 yaro:0 NASŁUCHIWANIE
TCP yaro:1042 yaro:0 NASŁUCHIWANIE
TCP yaro:24837 yaro:0 NASŁUCHIWANIE
TCP yaro:1035 moj.server.pocztowy.pl:pop3
CZAS_OCZEKIWANIA
TCP yaro:1042 flis.man.torun.pl:nntp USTANOWIONO
UDP yaro:microsoft-ds *:*
UDP yaro:1039 *:*
UDP yaro:1645 *:*
UDP yaro:1646 *:*
UDP yaro:radius *:*
UDP yaro:radacct *:*
UDP yaro:1026 *:*
UDP yaro:1027 *:*
UDP yaro:isakmp *:*
Ktore z nich sa konieczne do poprawnego dzialania systemu, a ktore
podejrzane, albo niepotrzebne?
Yaro
Jak wyciąć połączenie TCP (microsoft-ds) w W2000 (static IP), chodzi o
dostęp do danego hosta bez konieczności przelogowywania się, aby uzyskać
ponowny monit o hasło.
y.
Użytkownik "Krzysztof Pawlowski" <mscic@darkzone.ma.cxnapisał w
wiadomości
Witam szanowncyh grupowiczow.
Czy ktos moglby mi powiedziec do czego sluza te porty.
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
5000/tcp open UPnP
Sporo kompow na wingrozie u mnie w sieci ma je pootwierane.
Ze strony:
http://isc.incidents.org
Services registered for this port 445 (from Neohapsis)
Protocol Service Name
tcp microsoft-ds Win2k+ Server Message Block
udp microsoft-ds Win2k+ Server Message Block
Services registered for this port 1025 (from Neohapsis)
Protocol Service Name
tcp blackjack network blackjack
tcp FraggleRock [trojan] Fraggle Rock
tcp listen listener RFS remote_file_sharing
tcp md5Backdoor [trojan] md5 Backdoor
tcp NetSpy [trojan] NetSpy
tcp RemoteStorm [trojan] Remote Storm
udp blackjack network blackjack
udp RemoteStorm [trojan] Remote Storm
Services registered for this port 5000 (from Neohapsis)
Protocol Service Name
tcp BackDoorSetup [trojan] Back Door Setup
tcp BackDoorSetup [trojan] Back Door Setup
tcp BioNetLite [trojan] BioNet Lite
tcp Blazer5 [trojan] Blazer5
tcp Bubbel [trojan] Bubbel
tcp commplex-main
tcp fics Free Internet Chess Server
tcp ICKiller [trojan] ICKiller
tcp pitou Pitou P2 CAM Emulator
tcp Ra1d [trojan] Ra1d
tcp SocketsdesTroie [trojan] Sockets des Troie
tcp upnp Universal Plug and Play
udp commplex-main
I poszukaj jeszcze tu:
http://www.practicallynetworked.com/sharing/app_port_list.htm
Pozdrawia
PP
Witam!!
niepokoi mnie polaczenie jakie mam wyszczegolnione w procesach tego
firewalla
mam polaczenie wychadzace ode mnie na porcie 44334 gdziestam a wychodzi z
programu PERSW.exe czyli od wlasnei tego firewalla!!!
predkosc jest ok 1,5KB co jest dosc dziwne
probowalem blokowac te porty ale mimo ze dalem regule wciaz to polaczenie
jest....
zalaczam wyciag z netstata ktory mowi chyba sam za siebie ze cos mi siedzi
jednak w kompie....
ProtokË Adres lokalny Obcy adres Stan
TCP mojkomp:44334 mojkomp:0 NASąUCHIWANIE
TCP mojkomp:1254 localhost:44334 USTANOWIONO
TCP mojkomp:44334 localhost:1254 USTANOWIONO
UDP mojkomp:microsoft-ds *:*
UDP mojkomp:isakmp *:*
UDP mojkomp:1028 *:*
UDP mojkomp:44334 *:*
UDP mojkomp:1900 *:*
UDP mojkomp:1900 *:*
jescze bylo kilka usug wlaczonych ale wywalilem je...
z kolei jak wylacze KERIO to mi sie nic nie laczy na tym porcie....
dziwne na maxa to jest.. a moze po prostu KERIO powinien sie laczyc z czyms
na tym porcie????
ale kiedys tak nie mialem....
prosze o porade bo strasznie mnie to irytuje......a wolalbym byc
spokojny....
.._ßßĂĂ<<::P0//3|23|) |3Y |<e|2!0 F!|23//4|_|_::| ĂĂßß_..
..::]_*^*_[=|\_T4|3|_||_4 |2454 ||!3 |)0TYC2Y P0|_5|<!_/|=]_*^*_[::..
ĹŽĹŽĹŽ_B4 U DIE U C THE RING_ĹŽĹŽĹŽ | odpowiadajac sprawdz dobrze adres @ ..
http://www.poznan4u.com.pl/pyrypy/pyrypy.php?state=showuser&userid=27...
Otóż od ponad 2 tygodni ktoś uparcie skanuje mi porty, często
zaledwie kilkadziesiąt sekund po połączeniu z inetrnetem. Jest to
o tyle dziwne, że nie mam przypisanego stałego IP (neostrada).
Wirus. Ja to mam na dial-up co jakieś 2-3 minuty (na 135).
Mało tego, przeskanowania następują jak napisałem zaraz po
połączeniu, a żadna aplikacja nie łączy się wówczas z siecią (tzn.
czasem GG/Tlen, ale poza komunikatorem firewall ma wszystkie
aplikacje zablokowane). Skanowane są najczęściej porty 445, 3127,
1025, 135, 2745, 80, 6129.
135 to na pewno wirus (lub Windows ;-)), jeśli jesteś odporny, to
olać. 80 to teoretycznie zapytania WWW, ale w praktyce może jakiś P2P.
Podobnie na wysokich portach. Poza tym:
microsoft-ds 445/tcp # SMB directly over IP
NFS-or-IIS 1025/tcp # IIS, NFS, or listener RFS
remote_file_sharing
Czyli raczej standard (teoretycznie).
Czy ktoś jest w stanie mi powiedzieć jak uniknąć tych przeskanowań
i jak się przed nimi na przyszłość zabezpieczyć?
Nie da się.
Skąd ktoś zna
moje IP kilkanaście sekund po połączeniu, zanim jakiekolwiek
aplikacje zostaną uruchomione? Sniffer? Trojan?
Walą na ślepo, ew. łączą się do tego, kto przed chwilą był na tym IP.
Co mam robić? Jest
to dla mnie tym bardziej niepokojące, iż komputer używany jest do
celów firmowych, są w nim przechowywane informacje, których
wydostanie się na zewnątrz jest, delikatnie mówiąc, nieporządane
(mam nadzieję, że nikogo nie zachęciłem :-).
Postawić firewall na innej maszynie/systemie przed nim i
wpuścić/wypuścić tylko wybrane porty. Przy poważniejszym zastosowaniu
zasoby i firewall na jednej maszynie są... średnie.
135 to na pewno wirus (lub Windows ;-))
IMO nie robi to większej różnicy ;-)
jeśli jesteś odporny, to olać.
Testy zabezpieczeń utwierdzają mnie w przekonaniu, że jestem :-)
Podobnie na wysokich portach. Poza tym:
microsoft-ds 445/tcp # SMB directly over IP
NFS-or-IIS 1025/tcp # IIS, NFS, or listener RFS
remote_file_sharing
Czyli raczej standard (teoretycznie).
Uff...
| Czy ktoś jest w stanie mi powiedzieć jak uniknąć tych przeskanowań
| i jak się przed nimi na przyszłość zabezpieczyć?
Nie da się.
Już się z tym pogodziłem :-)
Walą na ślepo, ew. łączą się do tego, kto przed chwilą był na tym IP.
Na to wygląda.
Postawić firewall na innej maszynie/systemie przed nim i
wpuścić/wypuścić tylko wybrane porty.
Zastanawiam się nad tym właśnie. Jakś słaba konfiguracja, bez monitorka,
linuxik...
Przy poważniejszym zastosowaniu
zasoby i firewall na jednej maszynie są... średnie.
No tak, zdaję sobie z tego sprawę, ale do aż tak poważażnych zastosowań
komputera/inbternetu nie używam. Choć na pewno byłbym spokojniejszy.
PS: Bardzo chciałem wszystkim podziękować - Wasze wyjaśnienia mocno mnie
uspokoiły a podsunięte pomysły postaram się jak najszybciej wprowadzić w życie.
Jeszcze raz dzięki, pełen profesjonalizm Panowie (wazeliny nigdy za mało ;-)).
Przeglądałem dzisiaj logi swojego serwerka stojącego na neo (a więc
zmienne IP) i zauważyłem kilka ciągów zdarzeń, świadczących o tym, że
ktoś z jednego adresu IP próbował wedrzeć się do mojego systemu
podając w krotkim okresie czasu różnego rodzaju dziwne loginy i
najprawdopodobniej hasła. W międzyczasie, próbował odnaleźć hasło na
roota ze skutkiem negatywnym, a koniec końców, darował sobie po kilku
minutach. Wpisy wyglądają tak:
Wpis na pół godziny przed atakiem:
sshd(18546): Did not receive identification string from 200.71.52.31
Następnie ciąg:
Failed Password for nobody from 200.71.52.31 port 3695 ssh2
Illegal user patrick from 200.71.52.31
Co się powtarza dla kilkunastu różnych userów (żadnego o takiej nazwie
nie mam w systemie), i co ciekawe, zawsze tylko jeden raz dla
konkretnego użytkwonika, natomiast prob na roota jest stosunkowo
więcej, od 3 do ponad 30.
Z ripe.net, uzyskałem tylko coś takiego:
//
remarks: The country is really worldwide.
remarks: This address space is assigned at various other places in
remarks: the world and might therefore not be in the RIPE database.
//
Zeskanowałem klienta i wyszlo coś takiego:
Interesting ports on cr200715231.cable.net.co (200.71.52.31):
(The 1645 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
111/tcp open rpcbind
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
1521/tcp open oracle
6000/tcp open X11
8080/tcp open http-proxy
32770/tcp open sometimes-rpc3
Device type: general purpose
Running: Linux 2.4.X|2.5.X
OS details: Linux Kernel 2.4.0 - 2.5.20
Uptime 8.575 days (since Thu Dec 2 14:01:48 2004)
Nmap run completed -- 1 IP address (1 host up) scanned in 38.026 seconds
A więc mamy adres delikwenta w jego sieci: 'cr200715231.cable.net.co'.
Pytanie brzmi - czym gość mnie chciał i potraktował? Co
mogę/powinienem z tym zrobić?
Z góry dzięki za pomoc
Pozdrawiam
Rafał
fragment z netstat:
Aktywne po Ączenia
ProtokË Adres lokalny Obcy adres Stan
TCP maro:2857 27.36.117.69:microsoft-ds WYSąANO_SYN
TCP maro:2858 130.204.228.183:microsoft-ds WYSąANO_SYN
TCP maro:2859 147.142.38.202:microsoft-ds WYSąANO_SYN
TCP maro:2861 191.17.88.196:microsoft-ds WYSąANO_SYN
TCP maro:2862 72.201.146.139:microsoft-ds WYSąANO_SYN
TCP maro:2863 108.36.23.221:microsoft-ds WYSąANO_SYN
TCP maro:2865 99.17.253.59:microsoft-ds WYSąANO_SYN
TCP maro:2866 168.174.82.241:microsoft-ds WYSąANO_SYN
TCP maro:2867 150.250.4.154:microsoft-ds WYSąANO_SYN
... i tak juz bez konca do poki nie odlacze sie od sieci
Ustalilem ze microsoft-ds to port 445, dlaczego wogole te dane sa teraz
przesylane?? wczesniej tego nie mialem. przy okazji tego problemu pojawia sie
ogromny spadek predkosci internetu. Pingujac onet czy wp, nieraz pakiety
wogole zostaja zgubione a czas wacha sie od 40ms do 2000 ms ci sie dzieje?
poczytalem juz troche o tym porcie wie, ze jest bardzo podatny na wirusy,
sciagnolem wiec latki do WIN XP, skanowalem dysk 3 roznymi programami nic nie
wykrylo.
Zostaje albo wylaczyc ten port 455 ale nie wiem jak to zrobic albo znalezc
przyczyne.
Porsze pomozcie
witam od niedawna w logach z polecenia stat pojawia mi sie cos takiego
fragment z netstat:
Aktywne po Ączenia
ProtokË Adres lokalny Obcy adres Stan
TCP maro:2857 27.36.117.69:microsoft-ds WYSąANO_SYN
TCP maro:2858 130.204.228.183:microsoft-ds WYSąANO_SYN
TCP maro:2859 147.142.38.202:microsoft-ds WYSąANO_SYN
TCP maro:2861 191.17.88.196:microsoft-ds WYSąANO_SYN
TCP maro:2862 72.201.146.139:microsoft-ds WYSąANO_SYN
TCP maro:2863 108.36.23.221:microsoft-ds WYSąANO_SYN
TCP maro:2865 99.17.253.59:microsoft-ds WYSąANO_SYN
TCP maro:2866 168.174.82.241:microsoft-ds WYSąANO_SYN
TCP maro:2867 150.250.4.154:microsoft-ds WYSąANO_SYN
... i tak juz bez konca do poki nie odlacze sie od sieci
Ustalilem ze microsoft-ds to port 445, dlaczego wogole te dane sa teraz
przesylane?? wczesniej tego nie mialem. przy okazji tego problemu
pojawia sie ogromny spadek predkosci internetu. Pingujac onet czy wp,
nieraz pakiety wogole zostaja zgubione a czas wacha sie od 40ms do 2000
ms ci sie dzieje? poczytalem juz troche o tym porcie wie, ze jest bardzo
podatny na wirusy, sciagnolem wiec latki do WIN XP, skanowalem dysk 3
roznymi programami nic nie wykrylo.
Zostaje albo wylaczyc ten port 455 ale nie wiem jak to zrobic albo
znalezc przyczyne.
Porsze pomozcie
Na wirusy to może być podatny Twój port 445 ale tutaj mamy do czynienia z
połączeniem wychodzącym na port 445. Uruchom netstat z parametrem -o.
Zobaczysz wtedy jaki program próbuje się łączyć i (prawie) wszystko stanie
się jasne. Jeśli masz publiczne IP to oczywiście zablokuj ruch przychodzący
na port 445. O wychodzącym pomyślimy jak powiesz co to za program. Aha,
netstat pokaże ci PID procesu, włącz menedżer zadań i sprawdź do jakiego
programu należy ten PID. Jak menedżer zadań nie będzie pokazywać PIDów to
włącz je w opcjach.
wadus <wa@op.plnapisał(a):
| witam od niedawna w logach z polecenia stat pojawia mi sie cos takiego
| fragment z netstat:
| Aktywne po Ączenia
| ProtokË Adres lokalny Obcy adres Stan
| TCP maro:2857 27.36.117.69:microsoft-ds WYSąANO_SYN
| TCP maro:2858 130.204.228.183:microsoft-ds WYSąANO_SYN
| TCP maro:2859 147.142.38.202:microsoft-ds WYSąANO_SYN
| TCP maro:2861 191.17.88.196:microsoft-ds WYSąANO_SYN
| TCP maro:2862 72.201.146.139:microsoft-ds WYSąANO_SYN
| TCP maro:2863 108.36.23.221:microsoft-ds WYSąANO_SYN
| TCP maro:2865 99.17.253.59:microsoft-ds WYSąANO_SYN
| TCP maro:2866 168.174.82.241:microsoft-ds WYSąANO_SYN
| TCP maro:2867 150.250.4.154:microsoft-ds WYSąANO_SYN
| ... i tak juz bez konca do poki nie odlacze sie od sieci
| Ustalilem ze microsoft-ds to port 445, dlaczego wogole te dane sa teraz
| przesylane?? wczesniej tego nie mialem. przy okazji tego problemu
| pojawia sie ogromny spadek predkosci internetu. Pingujac onet czy wp,
| nieraz pakiety wogole zostaja zgubione a czas wacha sie od 40ms do 2000
| ms ci sie dzieje? poczytalem juz troche o tym porcie wie, ze jest bardzo
| podatny na wirusy, sciagnolem wiec latki do WIN XP, skanowalem dysk 3
| roznymi programami nic nie wykrylo.
| Zostaje albo wylaczyc ten port 455 ale nie wiem jak to zrobic albo
| znalezc przyczyne.
| Porsze pomozcie
Witam ,
Mam taki sam problem :( Na niektorych komputerach udało mi sie zablokowac
port 445. Niestety niektore pozostają nieczułe :) na moje starania. Zna ktos
moze sposb jak to zrobic raz a dobrze ??
Pozdrawiam
Robert
Bronek Kozicki <b@rubikon.plwrote:
W przypadku Win2K zablokuj porty:
U mnie w sieci dominuja windy 98.
netbios-ns 137/tcp nbname #Usluga nazw NETBIOS
netbios-ns 137/udp nbname #Usluga nazw NETBIOS
netbios-dgm 138/udp nbdatagram #Usluga datagramów
NETBIOS
netbios-ssn 139/tcp nbsession #Usluga sesji NETBIOS
microsoft-ds 445/tcp
microsoft-ds 445/udp
A to ostatnie, to co to?
... oraz wszystkie powyzej 1024 (niektóre procesy systemowe Windows
nasluchuja na wysokich portach zadania RPC).
Hm... gdybym zablokowal wszystkie porty powyzej 1024, to siec stracilaby
calkowicie lacznosc z Internetem, bo zaden proces nie dostalby odpowiedzi na
wysylane pakiety! (z reguly z portow 1024 wlasnie).
Chyba ze zrobiles skrot myslowy i chodzilo ci nie o blokade *portow* jako takich,
tylko o blokade przychodzacych TCP na te porty, o czym piszesz nizej...
A najlepiej zablokuj wszystkie
przychodzace TCP :) oraz prawie wszystkie UDP .
Mysle nad tym... :-) Tylko widzisz, to jest siec dosc specyficzna. Nie mozna
ludziom utrudniac korzystania z Internetu. W tym takze odbierania polaczen
przychodzacych. Chodzi o to, zeby takie roznego rodzaju programy jak np.
X-servery, VNC, telefony internetowe, ICQ czy podobne, Napstery czy inne Gnutelle
mogly nasluchiwac na swoich portach polaczen z zewnatrz. Nie wspominajac juz o
"normalnych" serwisach, takich jak serwery ftp, WWW itp. Wiec musze sie dokladnie
zastanowic nad lista portow, ktorych nie blokowac.
Czy ktos ma moze liste portow wykorzystywanych przez popularne ale
"nietypowe" aplikacje internetowe - takie jak np. wspomniane telefony internetowe,
ICQ, Napster czy inne? Jezeli tak, to bede wdzieczny za takowa...
Pozdrowienia,
Jaroslaw Rafa
r@inf.wsp.krakow.pl
| sytuacja wygląda tak
| są 2 sieci i serwer vpn
| z sieci z której się wdzwaniam na serwer vpn wszystko jest bez zarzutu
| natomiast odwrotnie już nie, tzn. z sieci gdzie stoi serwer vpn gdy klikam
na
| otoczenie sieciowe i próbuję się dostać do zasobów komputera z tej drugiej
| sieci to pokazuje mi figę z makiem, no chyba że wyłączę zaporę
| moje pytanie brzmi:
| które porty muszę włączyć, żebym nie musiał wyłączać zapory i żebym mógł
się
| dostać na kompa z tej drugiej sieci
| z góry dzięki
hexio@localhost ~ $ grep netbios /etc/services
netbios-ns    137/tcp             # NETBIOS Name Service
netbios-ns    137/udp
netbios-dgm   138/tcp             # NETBIOS Datagram Service
netbios-dgm   138/udp
netbios-ssn   139/tcp             # NETBIOS Session Service
netbios-ssn   139/udp
hexio@localhost ~ $ grep microsoft /etc/services
microsoft-ds   445/tcp     Microsoft-DS
microsoft-ds   445/udp     Microsoft-DS
nadal bez zmian
owszem mogę pingować ten komputer, ale nie mogę się dostać do jego
udostępnionych zasobow, ani przez otoczenie sieciowe, ani klikajac \ipkompa
dostać się mogę dopiero wtedy jak wyłączę zaporę na kompie, który udostępnia
zasoby
Witam,
skonfigurowalem sambe by nasluchiwala tylko na ip lokalnej podsieci
(192.168.1.20) i sprawdzam netstatem czy uzyskałem oczekiwany efekt.
Netstat pokazuje prawidłowo usługę samby na wskazanym ip (tcp), jednak
udp nadal wskazuje na wszystkich interfejsach serwera.
Fragment wyniku netstata: (netstat -a)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 192.168.1.2:netbios-ssn *:* LISTEN
tcp 0 0 192.168.1.20:http *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 192.168.1.20:https *:* LISTEN
tcp 0 0 192.168.1.:microsoft-ds *:* LISTEN
Z tego trudno wywnioskować, czy nasłuchuje tylko na jednym, ale
zakładam, że masz tylko 1 adres w grupie 192.168.1.*
udp 0 0 192.168.1.20:netbios-ns *:*
udp 0 0 *:netbios-ns *:*
udp 0 0 192.168.1.2:netbios-dgm *:*
udp 0 0 *:netbios-dgm *:*
Czy tak ma być, czy jeszcze mogę coś zrobić, by pozbyć się
*.netbios-ns i *:netbios-dgm w protokole udp?
w smb.conf mam wpis:
bind interfaces only = True
interfaces = 192.168.1.20
Hmmm, chyba się nie da. W kazdym razie mi się nie udało tego znaleźć.
U siebie mam tak samo:
udp 0 0 192.168.12.2:137 0.0.0.0:*
udp 0 0 0.0.0.0:137 0.0.0.0:*
udp 0 0 192.168.12.2:138 0.0.0.0:*
udp 0 0 0.0.0.0:138 0.0.0.0:*
Nie wiem, czym to jest spowodowane. Możliwe, że po UDP rozchodzą się
komunikaty, które muszą trafić do wszystkiego, co jest podłączone do
sieci, więc nasłuchiwanie na każdym interfejsie jest wskazane.
Dostęp do tych portów możesz zablokować adresom spoza podanej sieci
przy użyciu firewalla. W ostatecznej ostateczności jest jeszcze edycja
źródeł i własnoręczna kompilacja samby, choć skłaniam się ku
rozwiązaniu opartemu na firewallu :)
| Witam
| mam nastepujacy problemik:
| Mam neostrade, podaaczona do routerka asmax'a... wszysciutkie porty sa
| przekierowane z routera, na serwer który dalej rozdziela internet.
| Problem w tym, ze z sieci lokalnej, nie dzialaja mi ani vhosty do
| apacha, które dotycza serwera, baa... nawet po zewnetrzej domence nic
| nie dziala (ftp, samba, ssh, etc ;p)
| Problem tkwi zapewne w tym, ze jak skanuje swój serwerek z locala
| (skanuje zewnetrzny adres) to otrzymuje:
| [root@loBotoMia:~ $nmap -sS -P0 ja241.neoplus.adsl.tpnet.pl
| Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-05-05 18:43
| CEST Interesting ports on ja241.neoplus.adsl.tpnet.pl (83.28.8.241):
| (The 1655 ports scanned but not shown below are in state: closed)
| PORT Â Â STATE SERVICE
| 23/tcp  open  telnet
| 254/tcp open  unknown
| 255/tcp open  unknown
| 666/tcp open  doom
| Nmap run completed -- 1 IP address (1 host up) scanned in 12.261 seconds
| A z kompa poza lokalem:
| [root@flumber root]# nmap -sS -P0 ja241.neoplus.adsl.tpnet.pl
| Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2004-05-05 18:41
| CEST Interesting ports on ja241.neoplus.adsl.tpnet.pl (83.28.8.241):
| (The 1646 ports scanned but not shown below are in state: closed)
| PORT Â Â STATE SERVICE
| 21/tcp  open  ftp
| 22/tcp  open  ssh
| 53/tcp  open  domain
| 80/tcp  open  http
| 113/tcp  open  auth
| 139/tcp  open  netbios-ssn
| 443/tcp  open  https
| 445/tcp  open  microsoft-ds
| 901/tcp  open  samba-swat
| 1550/tcp open  3m-image-lm
| 1551/tcp open  hecmtl-db
| Nmap run completed -- 1 IP address (1 host up) scanned in 14.851 seconds
| [root@flumber root]#
| Moze ktos ma jakis pomysl jak "ukryc, ze polaczenia pochodza z lokalnego
| IP" (pomijam tutaj serwery proxy, bo to mija sie z celem (szybkosc
| polaczen)), jestem otwarty na propozycje
| Pozdrawiam
| Marcin Rybak vel Savage
masz tak: neo-router-linux
z asmaxa przekierowanie na linuxa
teraz kwestia, czy asmax jest na tyle inteligentny, ze oprocz
przekierowania z portu WAN na LAN potrafi tez zapytania przychodzace
przez LAN przekierowac do LAN. Jestem prawie pewien, ze nie.
No faktycznie nie jest na tyle mądry :]
No i to co widac po skanowaniu to potwierdza. Z zewnatrz - wszystkie
porty przekierowane, trafiaja do linuxa i masz to co potrzeba. Skanujac
z wewnatrz skanujesz tak na prawde routerek asmaxa (83.28.8.241 to tak
na prawde IP asmaxa, a siec pomiedzy asmaxem a linuxem masz na jakiejs
innej adresacji, nie?)
zgadza sie asmax z linuxem jest polączony bezposredio do eth (w asmaxie jest
eth), a przez drugi eth w serwerku wychodzi necik na lan
Musisz zrobic tak, ze wszystkie zapytania, ktore przychodza z sieci
lokalnej i sa skierowane do 'serwerka' musisz kierowac do np.
ip.lokalnej.bramy i powinno dzialac
pytanie jak to zrobic?
pozdr
gembasz
aha... sorki, ze tak "wiele" razy tego posta wysłałem, ale exim mnie
delikatnie mówiac oszukał... w logach nie miałem zadnej wyslanej wiad (a
uzywam jakiegos debilnego czytnika news pod windowsa, w którym nawet hasla do
autoryzacji smtp nie mozna ustawic)... wiec uznalem, ze wiadomosc po prostu
nie poszła...
lanman wrote:
Witam grupowiczow
Otoz jest linux slackware z dwoma interfejsami eth0 - internet, eth1 -
lan (NAT dla uzytkownikow). Dodatkowo przed eth0 zainstalowany jest D-
link G-624T, ktory podaje internet na to eth0. Jako ze d-link posiada
wifi to zamierzylem udostepnic sambe z serwera ludziom z wifi. Teraz
pojawil sie problem polegajacy na tym ze jesli zrestartuje serwer (ten
z eth0 i eth1) i uruchomie dowolny komputer laczacy sie przez wifi (d-
link) do samby na serwerze, to wyswietla mi ze komputer nie mozna
polaczyc sie z zasobami (tak jakby na serwerze nie bylo uruchomionej
samby)
logi z iptrafa pokazuja cos takiego:
18:21:09.418554 IP 192.168.100.50.1066 gw-wifi.microsoft-ds: S
2791244463:2791244463(0)
win 16384 <mss 1460,nop,nop,sackOK
18:21:09.419348 IP 192.168.100.50.instl_boots gw-wifi.netbios-ssn:
S
500433954:500433954(0) win 16384 <mss 1460,nop,nop,sackOK
...
...ciągle ta sama sekwencja
...
routing:
Destination Gateway Genmask Flags Metric Ref
Use Iface
192.168.100.50 0.0.0.0 255.255.255.255 UH 0 0
0 eth0
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0
0 eth0
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0
0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0
0 lo
0.0.0.0 192.168.100.1 0.0.0.0 UG 0 0
0 eth0
opis:
gw-wifi to adres ip 192.168.100.10 eth0 polaczonego z routerem d-link.
a 192.168.100.50 to adres komputera pracujacego przez wifi
Aby zasoby samby pojawily sie w sieci wifi po stronie eth0, musze
przeladowac firewall
Po przeladowaniu firewalla, przy wczesniej wlaczonym komputerze po
stronie wifi, wszystko dziala tak jak powinno.. do nastepnego dnia gdy
jako pierwszy zostanie wlaczony serwer i w jakis nieznany mi sposob
nie powiaze zasad firewalla z brakujacymi hostami..
W firewallu operuje na adresach IP (nie na nazwach z /etc/hosts)
Jeszcze jedno - komputery (lapek i serwer przez d-linka) pingaja sie
wiec jest miedzy nimi polaczenie.
Walczę z tym od kilku miesiecy. Dzieki za wszelka pomoc.
Witam,
a co sie pojawia w logach samby gdy najpierw odpalisz serwer z samba, a
potem (niesktutecznie) starasz sie polaczyc z udziałem samby z latopa?
Chodzi mi o loga z smbd i nmbd.
Pozdrawiam,
Leszek
[root@server2 ~]# smbstatus
Samba version 3.0.8pre1-0.pre1.3
PID Username Group Machine
-------------------------------------------------------------------
25270 rc rc komputer7 (192.168.33.7)
Service pid machine Connected at
-------------------------------------------------------
kopia_zapa 25270 komputer7 Tue May 24 09:19:58 2005
IPC$ 25270 komputer7 Mon May 23 20:51:34 2005
Locked files:
Pid DenyMode Access R/W Oplock Name
--------------------------------------------------------------
25270 DENY_NONE 0x20089 RDONLY EXCLUSIVE+BATCH
/home/kopia_zapasowa/Certyfikaty_CE/Trafo_TRP40xy.BMP Tue May 24 09:33:46
2005
[root@server2 ~]# hdparm /dev/hda
/dev/hda:
multcount = 16 (on)
IO_support = 0 (default 16-bit)
unmaskirq = 0 (off)
using_dma = 1 (on)
keepsettings = 0 (off)
readonly = 0 (off)
readahead = 256 (on)
geometry = 65535/16/63, sectors = 40027029504, start = 0
[root@server2 rc.d]# tcpdump -i eth0 port ! 22
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:14:03.216721 IP Komputer7.4804 server2.microsoft-ds: . ack 2441232553
win 65535
10:14:03.217098 IP server2.microsoft-ds Komputer7.4804: . 1:1461(1460) ack
0 win 5840
10:14:03.217173 IP server2.microsoft-ds Komputer7.4804: . 1461:2921(1460)
ack 0 win 5840
10:14:03.217241 IP server2.microsoft-ds Komputer7.4804: . 2921:4381(1460)
ack 0 win 5840
10:14:03.217295 IP server2.microsoft-ds Komputer7.4804: . 4381:5841(1460)
ack 0 win 5840
10:14:03.217347 IP server2.microsoft-ds Komputer7.4804: . 5841:7301(1460)
ack 0 win 5840
10:14:03.217400 IP server2.microsoft-ds Komputer7.4804: . 7301:8761(1460)
ack 0 win 5840
10:14:03.217453 IP server2.microsoft-ds Komputer7.4804: . 8761:10221(1460)
ack 0 win 5840
10:14:03.217504 IP server2.microsoft-ds Komputer7.4804: .
10221:11681(1460) ack 0 win 5840
10:14:03.217553 IP server2.microsoft-ds Komputer7.4804: .
11681:13141(1460) ack 0 win 5840
10:14:03.417591 IP Komputer7.4804 server2.microsoft-ds: . ack 13141 win
65535
10:14:03.417790 IP server2.microsoft-ds Komputer7.4804: .
13141:14601(1460) ack 0 win 5840
10:14:03.417863 IP server2.microsoft-ds Komputer7.4804: .
14601:16061(1460) ack 0 win 5840
10:14:03.417952 IP server2.microsoft-ds Komputer7.4804: .
16061:17521(1460) ack 0 win 5840
10:14:03.418004 IP server2.microsoft-ds Komputer7.4804: .
17521:18981(1460) ack 0 win 5840
10:14:03.418047 IP server2.microsoft-ds Komputer7.4804: P 18981:19692(711)
ack 0 win 5840
10:14:03.418860 IP Komputer7.4804 server2.microsoft-ds: P 0:63(63) ack
19692 win 64824
10:14:03.419753 IP server2.microsoft-ds Komputer7.4804: .
19692:21152(1460) ack 63 win 5840
10:14:03.419824 IP server2.microsoft-ds Komputer7.4804: .
21152:22612(1460) ack 63 win 5840
10:14:03.419901 IP server2.microsoft-ds Komputer7.4804: .
22612:24072(1460) ack 63 win 5840
10:14:03.419955 IP server2.microsoft-ds Komputer7.4804: .
24072:25532(1460) ack 63 win 5840
10:14:03.420005 IP server2.microsoft-ds Komputer7.4804: .
25532:26992(1460) ack 63 win 5840
10:14:03.420051 IP server2.microsoft-ds Komputer7.4804: .
26992:28452(1460) ack 63 win 5840
10:14:03.420099 IP server2.microsoft-ds Komputer7.4804: .
28452:29912(1460) ack 63 win 5840
10:14:03.420146 IP server2.microsoft-ds Komputer7.4804: .
29912:31372(1460) ack 63 win 5840
10:14:03.420193 IP server2.microsoft-ds Komputer7.4804: .
31372:32832(1460) ack 63 win 5840
Wiec wczoraj, tuz przed 16, moj kompek nagle... zwisl.
(Aurox 8.0, jądro fabryczne - 2.4.18-17.8.0).
sprzęt: ECS K7S5A, Seagate Barracuda IV 40 GB, 1.1 Duron, 256 RAM w SDR
(2x różne)
Dzisiaj sprawdzam sobie logi. secure w porządku nic nie ma, ale w
messages, znalazłem coś takiego:
Mar 18 15:55:09 ADMIN2L kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:02:44:0e:b4:fa:08:00 SRC=192.168.0.67 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=40334 PROTO=UDP SPT=137 DPT=137 LEN=58
Mar 18 15:55:12 ADMIN2L kernel: IN= OUT=eth1 SRC=moj_adres_ip DST=64.71.174.253 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=1013 DF PROTO=TCP SPT=44792 DPT=80 WINDOW=8688 RES=0x00 ACK URGP=0
Mar 18 15:59:13 ADMIN2L syslogd 1.4.1: restart.
Jak widać, zaraz po zdarzeniu zawieszki, uruchomiłem ponownie kompa i nic
więcej się nie działo...
"Odpytałem" tego kompa na 64..... i jak się okazuje, jest dziurawy jak ser
szwajcarski, na pewno stoi na nim jakiś Windows z mysql...:
//
(The 1580 ports scanned but not shown below are in state: closed)
Port State Service
1/tcp open tcpmux
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop-3
111/tcp open sunrpc
135/tcp filtered loc-srv
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
143/tcp open imap2
161/tcp filtered snmp
162/tcp filtered snmptrap
443/tcp open https
445/tcp filtered microsoft-ds
465/tcp open smtps
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
\
Tak, pomyślałem sobie, że może to być jakaś witryna, na którą wchodziłem,
ale po wstukaniu IP w przeglądarkę, dostałem... domyślną stronę serwera
Apache...
Ponadto, przeglądając logi, znalazłem również tego typu wpisy:
lub:
//
Mar 17 04:04:50 ADMIN2L kernel: attempt to access beyond end of device
Mar 17 04:04:50 ADMIN2L kernel: 02:00: rw=0, want=10, limit=4
Mar 17 04:04:50 ADMIN2L kernel: Directory sread (sector 0x13) failed
Mar 17 04:04:50 ADMIN2L kernel: attempt to access beyond end of device
\
i to:
//
Mar 17 07:42:15 ADMIN2L kernel: attempt to access beyond end of device
Mar 17 07:42:15 ADMIN2L kernel: 02:00: rw=0, want=10962, limit=1440
Mar 17 07:42:15 ADMIN2L kernel: Filesystem panic (dev 02:00).
Mar 17 07:42:15 ADMIN2L kernel: FAT error
Mar 17 07:42:15 ADMIN2L kernel: File system has been set read-only
Mar 17 07:42:15 ADMIN2L kernel: Directory 1101: bad FAT
Mar 17 07:42:15 ADMIN2L kernel: attempt to access beyond end of device
Mar 17 07:42:15 ADMIN2L kernel: 02:00: rw=0, want=3603, limit=1440
Mar 17 07:42:15 ADMIN2L kernel: Filesystem panic (dev 02:00).
Mar 17 07:42:15 ADMIN2L kernel: FAT error
\
To ostatnie najbardziej mnie niepokoi. Dodam, że nie mam podmontowanej
partycji z FAT'em...
Proszę o pomoc...
Pozdrawiam
Rafał
Mon, 7 May 2007 14:13:41 +0000 (UTC)
Andrzej Kosmala <kos@cyberia.pl napisał(a):
| Wystawiłem swój komputer na świat na oddzielnym ip a więc musiałem
| ustawić na nim firewalla. Reguły są takie:
| iptables -P INPUT DROP
| iptables -A INPUT -p icmp -j ACCEPT
| iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
| iptables -A INPUT -i eth0 -p tcp -m multiport --dports ssh,6885,6886,
| 6887,6888,6889,6890,6891,51111,5112,5800,5902 -j ACCEPT
| iptables -A INPUT -i eth0 -p tcp -m multiport --dports rsync,137,138,139
| -j ACCEPT iptables -A INPUT -i eth0 -p udp -m multiport --dports
| 137,138,139,6890, 6891,51111,51112 -j ACCEP
| pierwotnie firewall chodził bez reguł dotyczących portów
| rsync,137,138,139. Bez względu na to czy z tymi portami czy bez smbtree,
| findsmb,smbclient nie działają przy włączonym firewallu. Przy wyłączonym
| firewalu komputery windziane w sieci lokalnej są widoczne.
| Jaką regułę należy dodać do firewalla aby samba w sieci lokalnej działała?
Zapewne dopuścić do portu 445 TCP.
Niestety nie pomogło, włączyłem również udp to jest jakaś inna przyczyna.
iptables -L daje:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
DROP 0 -- kosmalowie anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere multiport dports ssh,rsync,
microsoft-ds,6885,6886,6887,6888,6889,6890,6891,51111,51112,5800,5902
ACCEPT tcp -- anywhere anywhere multiport dports smtp,ftp,
ftp-data,www,sftp,irc,https,ircd
^^^^^^^^powyższe reguły dopisałem na wszelki wypadek i nie są mi potrzebne
ACCEPT udp -- anywhere anywhere multiport dports
microsoft-ds,6890,6891,51111,51112
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Pozdrawiam
Andrzej
telnet: Unable to connect to remote host: Connection refused
Spradzałem z zewnątrz także nmap'em. Oto wynik:
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
110/tcp open pop3
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
143/tcp open imap
445/tcp filtered microsoft-ds
Jak pisałem lokalnie port jest dostępny. Szukam przyczyny zamknięcia
portu z zewnątrz i nie mogę znaleźć.
Iptables w całości mam na ACCEPT
# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
# Netstat -nat | grep LISTEN
tcp 0 0 127.0.0.1:3306 0.0.0.0:*
LISTEN
tcp 0 0 127.0.0.1:783 0.0.0.0:*
LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:*
LISTEN
tcp6 0 0 :::110 :::*
LISTEN
tcp6 0 0 :::143 :::*
LISTEN
tcp6 0 0 :::80 :::*
LISTEN
tcp6 0 0 :::22 :::*
LISTEN
Jak widać nie ma portu 25. Kurcze nie wiem o co chodzi, gdzie może
być przyczyna zamkniętego portu 25.
Tak wygląda plik /etc/exim4/update-exim4.conf.conf
dc_eximconfig_configtype='internet'
dc_other_hostnames=''
dc_local_interfaces='127.0.0.1'
dc_readhost=''
dc_relay_domains=''
dc_minimaldns='false'
dc_relay_nets=''
dc_smarthost=''
CFILEMODE='644'
dc_use_split_config='true'
dc_hide_mailname=''
dc_mailname_in_oh='true'
dc_localdelivery='maildir_home'
Kurcze, czytam szukam i nie mogę znaleźć gdzie może leżeć przyczyna.
Czy może ktoś pochylić się nad moim problemem? Dzięki za wszelkie
podpowiedzi.
oto garstka ciekawych informacji na temat kogos kto strasznie weszyl
dookola faq'ow i generalnie byl "niekulturnyj"
[root@s80 root]# nmap -sS -O -v -v 217.98.4.65
21Host pe65.warszawa.adsl.tpnet.pl (217.98.4.65) appears to be up ... good.
Initiating SYN Stealth Scan against pe65.warszawa.adsl.tpnet.pl
(217.98.4.65)
Interesting ports on pe65.warszawa.adsl.tpnet.pl (217.98.4.65):
Port State Service
7/tcp open echo
9/tcp open discard
13/tcp open daytime
17/tcp open qotd
19/tcp open chargen
25/tcp open smtp
42/tcp open nameserver
53/tcp open domain
80/tcp open http
135/tcp open loc-srv
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
1002/tcp open unknown
Remote OS guesses: Windows Me or Windows 2000 RC1 through final release,
Windows Millenium Edition v4.90.3000
[root@s80 root]# smbclient -L 217.98.4.65
added interface ip=213.25.115.80 bcast=213.25.115.255 nmask=255.255.255.0
Password:
Domain=[WORKGROUP] OS=[Windows 5.0] Server=[Windows 2000 LAN Manager]
Sharename Type Comment
--------- ---- -------
E$ Disk Default share
IPC$ IPC Remote IPC
D$ Disk Default share
g$ Disk
F$ Disk Default share
ADMIN$ Disk Remote Admin
C$ Disk Default share
InterChk Disk
pozdrawiam
Marcin
Byly_OS2-Fan wrote:
......
By niebyc goloslownym wklejam ponizej kilka raportow (logow) mojego domowego
linuxowego firewolla-routera (IpCop)
Pokazuja kto, kiedy i przez jakie porty "pukal" do mojej sieci
Prosze zwrocic uwage w jak krotkim czasie to nastepuje...
00:26:59 87.123.15.88 3264 ::::: 87.123.221.111 445(MICROSOFT-DS)
00:27:02 87.123.15.88 3264 ::::: 87.123.221.111 445(MICROSOFT-DS)
00:27:56 87.123.200.56 2640 ::::: 87.123.221.111 445(MICROSOFT-DS)
00:27:59 87.123.200.56 2640 ::::: 87.123.221.111 445(MICROSOFT-DS)
00:31:01 87.123.213.135 4452 ::::: 87.123.221.111 2967
00:31:04 87.123.213.135 4452 ::::: 87.123.221.111 2967
00:32:32 80.139.222.135 30912 ::::: 87.123.221.111 1026
00:33:40 87.123.123.152 1546 ::::: 87.123.221.111 445(MICROSOFT-DS)
00:33:40 87.123.123.152 1547 ::::: 87.123.221.111 139(NETBIOS-SSN)
00:33:43 87.123.123.152 1547 ::::: 87.123.221.111 139(NETBIOS-SSN)
00:33:43 87.123.123.152 1546 ::::: 87.123.221.111 445(MICROSOFT-DS)
00:33:49 87.123.123.152 1547 ::::: 87.123.221.111 139(NETBIOS-SSN)
00:33:49 87.123.123.152 1546 ::::: 87.123.221.111 445(MICROSOFT-DS)
00:34:29 87.72.132.178 1157 ::::: 87.123.221.111 135(EPMAP)
00:34:32 87.72.132.178 1157 ::::: 87.123.221.111 135(EPMAP)
00:35:10 24.64.11.228 5899 ::::: 87.123.221.111 1026
00:35:10 24.64.11.228 5899 ::::: 87.123.221.111 1027
00:35:10 24.64.11.228 5899 ::::: 87.123.221.111 1028
00:35:24 87.123.104.155 3166 ::::: 87.123.221.111 445(MICROSOFT-DS)
00:35:51 87.123.192.176 3844 ::::: 87.123.221.111 135(EPMAP)
00:35:55 87.123.192.176 3844 ::::: 87.123.221.111 135(EPMAP)
00:36:00 87.123.192.176 4105 ::::: 87.123.221.111 445(MICROSOFT-DS)
00:36:03 87.123.192.176 4105 ::::: 87.123.221.111 445(MICROSOFT-DS)
00:40:08 87.123.200.56 2742 ::::: 87.123.221.111 139(NETBIOS-SSN)
00:40:11 87.123.200.56 2742 ::::: 87.123.221.111 139(NETBIOS-SSN)
00:42:13 201.134.85.90 30912 ::::: 87.123.221.111 1026
00:45:21 204.16.210.206 38998 ::::: 87.123.221.111 1026
00:45:21 204.16.210.206 38998 ::::: 87.123.221.111 1027
00:45:40 87.123.185.63 4412 ::::: 87.123.221.111 139(NETBIOS-SSN)
00:45:43 87.123.185.63 4412 ::::: 87.123.221.111 139(NETBIOS-SSN)
00:51:19 87.122.87.181 4623 ::::: 87.123.221.111 2967
00:51:25 87.123.213.135 4648 ::::: 87.123.221.111 445(MICROSOFT-DS)
00:51:28 87.123.213.135 4648 ::::: 87.123.221.111 445(MICROSOFT-DS)
00:55:38 87.123.185.63 4141 ::::: 87.123.221.111 445(MICROSOFT-DS)
00:55:41 87.123.185.63 4141 ::::: 87.123.221.111 445(MICROSOFT-DS)
00:56:33 67.161.163.21 30912 ::::: 87.123.221.111 1026
01:02:14 204.16.209.141 47037 ::::: 87.123.221.111 1026
01:02:14 204.16.209.141 47037 ::::: 87.123.221.111 1027
01:03:19 204.16.211.9 49538 ::::: 87.123.221.111 1026
01:03:19 204.16.211.9 49538 ::::: 87.123.221.111 1027
01:05:36 87.123.65.28 9922 ::::: 87.123.221.111 445(MICROSOFT-DS)
01:05:39 87.123.65.28 9922 ::::: 87.123.221.111 445(MICROSOFT-DS)
I tak w kolko, okragle 24 godz....
Szanowni Grupowicze, czy ktoś może mi uprzejmie wyjaśnić, jakie usługi
rezydują na opisanych poniżej portach (w2k), na 1234 mam ftp'a, ale inne ???
pozdrawiam,
Jacek
Protokół Adres lokalny Obcy adres Stan
TCP jacek:epmap jacek:0 NASŁUCHIWANIE
TCP jacek:microsoft-ds jacek:0 NASŁUCHIWANIE
TCP jacek:1025 ??? jacek:0 NASŁUCHIWANIE
TCP jacek:1027 ??? jacek:0 NASŁUCHIWANIE
TCP jacek:1028 ??? jacek:0 NASŁUCHIWANIE
TCP jacek:1030 ??? jacek:0 NASŁUCHIWANIE
TCP jacek:1234 jacek:0 NASŁUCHIWANIE
TCP jacek:4873 ??? jacek:0 NASŁUCHIWANIE
TCP jacek:4876 ??? jacek:0 NASŁUCHIWANIE
TCP jacek:4878 ??? jacek:0 NASŁUCHIWANIE
TCP jacek:4880 ??? jacek:0 NASŁUCHIWANIE
TCP jacek:1234 212.160.141.103:2134 USTANOWIONO
TCP jacek:1234 pb218.pabianice.sdi.tpnet.pl:62288
USTANOWIONO
TCP jacek:4873 www.us.microsoft.com:http OSTATNIE_POTW
TCP jacek:4876 www.us.microsoft.com:http
OCZEKIWANIE_FIN__1
TCP jacek:4878 www.us.microsoft.com:http OSTATNIE_POTW
TCP jacek:4880 www.us.microsoft.com:http
OCZEKIWANIE_FIN__1
TCP jacek:60009 ??? jacek:0 NASŁUCHIWANIE
TCP jacek:60009 ???! 212.160.141.103:2144 USTANOWIONO
TCP jacek:1029 ??? jacek:0 NASŁUCHIWANIE
TCP jacek:1029 ???! jacek:1030 USTANOWIONO
TCP jacek:1030 ???! jacek:1029 USTANOWIONO
UDP jacek:epmap *:*
UDP jacek:microsoft-ds *:*
UDP jacek:1026 *:*
UDP jacek:isakmp *:*
desperacko licze na pomoc w moim sledztwie, bo moja skromna wiedza sie wlasnie
skonczyla. sprawa jest taka:
od dwoch dni mam nieustajace proby wlamania (przez 30-pare godzin w sumie moze
bylo tego z 1000). mam neo 640. uzywam w2k i Norton AV 2002 i Personal
Firewalla 2002.
niestety nie udalo mi sie ustalic co jest przyczyna, choc podjalem takie kroki
i ustalilem takie rzeczy:
1. Firewall zglasza probe polaczenia na porcie 5000 za kazdym razem wedlug
ponizszego wzoru:
Intrusion attempt detected from address 83.30.86.186 by rule
"Default Block Sokets de Trois v1. Trojan horse".
Blocked further access for 30 minutes.
2. mniej 3/4 adresow ip spod ktorych jestem atakowany to adresy tpnet,
zaczynajace sie od 83.
3. przeskanowalem calego kompa NAV, poprawilem skanerem online MKS. komp czysty.
4. przejrzalem wszystkie procesy i zaden (jak na moja moja umiejetnosc
poszukiwania info o procesach) nie wyglada podejrzanie.
Wyczytalem na grupach ze to jest czesto falszywy alarm typowy dla NIS, a
wywolany przez zle rozpoznanie softu (nie bijcie jesli cos pokrecilem).
I tutaj pewnie bym sie uspokoil gdyby nie ponizsze:
A. niczego nie instalowalem nowego od dawna i w ogole nie mialem zadnych
szczegolnych zmian w systemie od co najmniej 2 tygodni. wiec nie zaistniala
zadna nowa okolicznosc, ktora teraz moglaby "wprowadzac w blad" firewalla.
B. tak wyglada zrzut z przegladania polaczen za pomoca netstat:
Protokół Adres lokalny Obcy adres Stan
TCP my_comp:epmap my_comp:0 NASŁUCHIWANIE
TCP my_comp:microsoft-ds my_comp:0 NASŁUCHIWANIE
TCP my_comp:1026 my_comp:0 NASŁUCHIWANIE
TCP my_comp:3991 my_comp:0 NASŁUCHIWANIE
TCP my_comp:epmap aic202.neoplus.adsl.tpnet.pl:4934 USTANOWIONO
TCP my_comp:epmap lo109.neoplus.adsl.tpnet.pl:3867 ODEBRANO_SYN
TCP my_compr:netbios-ssn my_comp:0 NASŁUCHIWANIE
TCP my_comp:3005 my_comp:0 NASŁUCHIWANIE
TCP my_comp:3005 my_comp:4706 CZAS_OCZEKIWANIA
TCP my_comp:3002 my_comp:0 NASŁUCHIWANIE
TCP my_comp:3003 my_comp:0 NASŁUCHIWANIE
TCP my_comp:3004 my_comp:0 NASŁUCHIWANIE
UDP my_comp:microsoft-ds *:*
UDP my_comp:3001 *:*
UDP my_comp:netbios-ns *:*
UDP my_comp:netbios-dgm *:*
UDP my_comp:isakmp *:*
UDP my_comp:4146 *:*
UDP my_comp:4182 *:*
UDP my_comp:domain *:*
UDP my_comp:bootps *:*
UDP my_comp:bootpc *:*
UDP my_comp:isakmp *:*
wynika mi z tego ze mam ustanowione polaczenie z (na pewno) obcym ip tpnet i
jeszcze jedno - tez z tpnet - ktorego statusu do konca nie rozumiem, bo jestem
lama:). nie przegladalem zadnych stron w tym czasie, nie uzywalem softu.
polaczenia sie zmieniaja w czasie: z jednymi IP sie koncza inne sie pojawiaja.
maksymalnie widzialem 5 roznych. propowcjonalnie 3/4 takij 'nieznanych' mi
polaczen znow jest z tpnet, co mi sie jakos wiaze, choc nie wiem czy dobrze.
dziennik raportow NIS potwierdza mnostwo takich polaczen. wszystkie one sa na
emap(135) oraz wysylaja od 100 do 1257 bitow. odbieraja 0.
pomocy potrzebuje waszej bardzo, bo wiecej sprawdzic nie umiem (choc po
dlugosci maila widac chyba ze probowalem:D). nie wiem jak sprawdzic co wysyla
ode mnie te bity. nie wiem co ustanawia te polaczenie i nie wiem co mnie
bombarduje az trzeszczy firewall. pomocy dobrzy ludzie
toxy
Pewniem koleś chce od kilku dni włamać mi się do komputera. Mam jego IP
(stałe IP, bo to Chello).
Zanim zgłoszę do to Chello chciałbym się Was poradzić, czy ten typ jest
niebezpieczny?
Mam Sygate Firewall. Trzy razy wykrył coś takiego (w odstępie około dnia
lub pół):
* Port Scan Minor Incoming ...(i dalej różne dane: IP, MAC, godzina)
* Response Major Incoming None ...(i dalej różne dane: IP, MAC, godzina)
* Active Response Disengaged Information None None ...(i dalej różne
dane: IP, MAC, godzina)
---- wynik nmap (w Linuxie): ----
Adding open port 3531/tcp
Adding open port 113/tcp
Adding open port 1025/tcp
Adding open port 559/tcp
Adding open port 5000/tcp
The SYN Stealth Scan took 131 seconds to scan 1659 ports.
Interesting ports on /bleble/ (62.179./bleble/):
(The 1625 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
90/tcp filtered dnsix
113/tcp open auth
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
220/tcp filtered imap3
285/tcp filtered unknown
348/tcp filtered csi-sgwp
368/tcp filtered qbikgdp
445/tcp filtered microsoft-ds
499/tcp filtered iso-ill
512/tcp filtered exec
558/tcp filtered sdnskmp
559/tcp open teedtap
602/tcp filtered unknown
652/tcp filtered unknown
657/tcp filtered unknown
696/tcp filtered unknown
1025/tcp open NFS-or-IIS
1395/tcp filtered iclpv-wsm
1407/tcp filtered dbsa-lm
1474/tcp filtered telefinder
1506/tcp filtered utcd
1526/tcp filtered pdap-np
1672/tcp filtered netview-aix-12
2431/tcp filtered venus-se
3531/tcp open peerenabler
4343/tcp filtered unicall
5000/tcp open UPnP
5550/tcp filtered sdadmind
9090/tcp filtered zeus-admin
12346/tcp filtered NetBus
32775/tcp filtered sometimes-rpc13
---------------------------------
Czy to co on tam ma, to są jakieś niebezpieczne hackerskie narzędzia,
czy to może po prostu mały gnojek się bawi?
Bo jeśli to drugie to go zablokuje w firewallu po prostu. Właśnie: czy
takie blokowanie jego IP w moim firewallu dużo da? Teraz mam zablokowane
i nie wiem czy on widzi mój komputer, czy nie? Co to pomaga?
Pozdrawiam i dzięki za ewentualną pomoc.
© 2009 Najlepszy miesiąc kawalerski w Polsce !!! - Ceske - Sjezdovky .cz. Design downloaded from free website templates