Forum » Informacijska varnost » OMG, my box is r00ted? :-)
OMG, my box is r00ted? :-)
poweroff ::
Torej, včeraj zvečer se SSHjam na službeni računalnik in poženem nmap mojega domačega IPja.
1. Iz službe -> domači IP
sudo nmap ******* -PN
Starting Nmap 4.62 ( http://nmap.org ) at 2009-04-05 11:32 CEST
Interesting ports on ******* (***):
Not shown: 1707 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
113/tcp closed auth
143/tcp open imap
443/tcp open https
WTF? Moja domača kišta je totalno rootnjena?
So... lets try telnet.
2. Iz službe -> domači IP
telnet ******* 21
Trying *******...
Connected to *******.
Escape character is '^]'.
Connection closed by foreign host.
telnet ******* 25
Trying *******...
Connected to *******.
Escape character is '^]'.
Connection closed by foreign host.
OMG, I'm r00ted...
But...!
Poizkusimo nmap pognati še iz neke VPS kištice...
3. VPS -> domači IP
sudo nmap ******* -PN
Starting Nmap 4.53 ( http://insecure.org ) at 2009-04-05 11:44 CEST
Interesting ports on ******* (***):
Not shown: 1713 filtered ports
PORT STATE SERVICE
80/tcp open http
Hmm, to je pričakovano. Poizkusim še iz ene lokacije... isto, odprt le port 80.
Poženem netstat na routerju: aktivno posluša le na 22, 53, 80 in 443, s tem da je navzven vse razen 80 zaprto.
Za konec pa še posladek. Doma sem izključil router (imam statičen IP), zdajle iz službe poženem nmap - in še vedno so odprti vsi zgoraj navedeni porti. Plus - če se telnetam, se dejansko vzpostavi povezava, vendar remote server ne da nič od sebe.
Plus, vedno se lahko povežem na poljuben IP na port 25, le da je server neaktiven in seja po nekaj časa timeoutne.
Torej - je problem v kakšnem čudnem routingu v mojem službenem omrežju? Ali pa se kdo igra s honeypotom?
1. Iz službe -> domači IP
sudo nmap ******* -PN
Starting Nmap 4.62 ( http://nmap.org ) at 2009-04-05 11:32 CEST
Interesting ports on ******* (***):
Not shown: 1707 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
113/tcp closed auth
143/tcp open imap
443/tcp open https
WTF? Moja domača kišta je totalno rootnjena?
So... lets try telnet.
2. Iz službe -> domači IP
telnet ******* 21
Trying *******...
Connected to *******.
Escape character is '^]'.
Connection closed by foreign host.
telnet ******* 25
Trying *******...
Connected to *******.
Escape character is '^]'.
Connection closed by foreign host.
OMG, I'm r00ted...
But...!
Poizkusimo nmap pognati še iz neke VPS kištice...
3. VPS -> domači IP
sudo nmap ******* -PN
Starting Nmap 4.53 ( http://insecure.org ) at 2009-04-05 11:44 CEST
Interesting ports on ******* (***):
Not shown: 1713 filtered ports
PORT STATE SERVICE
80/tcp open http
Hmm, to je pričakovano. Poizkusim še iz ene lokacije... isto, odprt le port 80.
Poženem netstat na routerju: aktivno posluša le na 22, 53, 80 in 443, s tem da je navzven vse razen 80 zaprto.
Za konec pa še posladek. Doma sem izključil router (imam statičen IP), zdajle iz službe poženem nmap - in še vedno so odprti vsi zgoraj navedeni porti. Plus - če se telnetam, se dejansko vzpostavi povezava, vendar remote server ne da nič od sebe.
Plus, vedno se lahko povežem na poljuben IP na port 25, le da je server neaktiven in seja po nekaj časa timeoutne.
Torej - je problem v kakšnem čudnem routingu v mojem službenem omrežju? Ali pa se kdo igra s honeypotom?
sudo poweroff
jype ::
Matthai> Torej - je problem v kakšnem čudnem routingu v mojem službenem omrežju?
Seveda. V službi za navedene servise očitno skrbi t.i. "transparent proxy".
Precej nenavadno, ampak ne tako neverjetno, glede na nesposobnost administratorjev, o kateri tako rad govoriš.
Seveda. V službi za navedene servise očitno skrbi t.i. "transparent proxy".
Precej nenavadno, ampak ne tako neverjetno, glede na nesposobnost administratorjev, o kateri tako rad govoriš.
Zgodovina sprememb…
- spremenilo: jype ()
Daedalus ::
Heh, uni-lj admini so res cvetke. Kot ona zgodba z novim firewallom - mi sam pridemo, pa pastavimo. Pol pa se še pol leta borijo z besnimi uporabniki, ker so recimo pocrkali vsi IM programčki. Kar je precej zoprno, če delaš na članku s kolegom iz drugega konca sveta, pa na lepem ne moreš več normalno komunicirat. Pa outgoing ssh je menda tud zelo nevaren, če one tam vprašaš.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
zee ::
uni-lj admini so peki. Na FKKT ze ~3 leta migrirajo domeno...Jaz se sicer sprasujem, kam le jo migrirajo...
Da napol delujocega streznika za odhodno posto niti ne omenjam. Ker sem bil sit tecnarjenja uporabnikov, sem jih precej enostavno zmigriral na Gmail, kjer sem nastavil, da se v polju From: prikaze unverzitetni email naslov. Oni happy, jaz happy.
Da napol delujocega streznika za odhodno posto niti ne omenjam. Ker sem bil sit tecnarjenja uporabnikov, sem jih precej enostavno zmigriral na Gmail, kjer sem nastavil, da se v polju From: prikaze unverzitetni email naslov. Oni happy, jaz happy.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
Zgodovina sprememb…
- spremenilo: zee ()
poweroff ::
Seveda. V službi za navedene servise očitno skrbi t.i. "transparent proxy".
Samo malo. A to potem pomeni, da oni PRESTREZAJO kompletno ves promet, ki gre na te porte???
sudo poweroff
jype ::
Matthai> Samo malo. A to potem pomeni, da oni PRESTREZAJO kompletno ves promet, ki gre na te porte???
Ja, seveda. Saj to samo po sebi ni nič spornega, praktično vsaka naprava PRESTREZA ves promet, ki gre skoznjo - da ga lahko pravilno usmerja, recimo, ali pa da se lahko odloči, če bo dovolila dostop ali ne.
Ja, seveda. Saj to samo po sebi ni nič spornega, praktično vsaka naprava PRESTREZA ves promet, ki gre skoznjo - da ga lahko pravilno usmerja, recimo, ali pa da se lahko odloči, če bo dovolila dostop ali ne.
poweroff ::
Ja, ampak razlika med prestrezanjem routerja in transparent proxya pa vendar le obstaja...
sudo poweroff
jype ::
Matthai> Ja, ampak razlika med prestrezanjem routerja in transparent proxya pa vendar le obstaja...
Jasno, da obstaja, ampak ni bistvena. Oba lahko zlorabiš in to kar ti opažaš ni nujno zloraba. Jaz v bistvu stavim, da gre zgolj za nesposobnost :)
Jasno, da obstaja, ampak ni bistvena. Oba lahko zlorabiš in to kar ti opažaš ni nujno zloraba. Jaz v bistvu stavim, da gre zgolj za nesposobnost :)
Daedalus ::
No ja, veš pa ne:> Jaz bi jih malo povprašal, uradno seveda, kaj se grejo.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
poweroff ::
Ja, saj jaz sem načeloma tudi mnenja da ni hudobija, pač pa nesposobnost.
Razen seveda če jim je kdo rootnil cel network. To bi bil pa hud žur.
Razen seveda če jim je kdo rootnil cel network. To bi bil pa hud žur.
sudo poweroff
BlueRunner ::
Ja, saj jaz sem načeloma tudi mnenja da ni hudobija, pač pa nesposobnost.
Razen seveda če jim je kdo rootnil cel network. To bi bil pa hud žur.
Misliš morda nekako tako?
poweroff ::
"Nadaljevanje" zgodbe - danes zjutraj.
Zdaj so šle zadeve čez rob. Za začetek sem zadevo prijavil na SI-CERT.
MITM napad...
...s fake certifikatom
Zdaj so šle zadeve čez rob. Za začetek sem zadevo prijavil na SI-CERT.
sudo poweroff
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Dnsmasq problemOddelek: Omrežja in internet | 978 (605) | BlaY0 |
| » | Windows network share preko interneta?Oddelek: Omrežja in internet | 2060 (1758) | Mr.B |
| » | Odkrita ranljivost v usmerjevalnikih Linksys, Netgear in nekaj drugihOddelek: Novice / Varnost | 14281 (3300) | wungad |
| » | ProtFtp Passive mode in iptablesOddelek: Programska oprema | 2115 (1937) | SasoS |
| » | WLAN rešitevOddelek: Strojna oprema | 1492 (1199) | CCfly |