Porta 80 ouvindo sem WebServer?
Obrigado pela ajuda de todos, abaixo tentei colocar tudo que já fiz e algumas informações.
Máquina A:
- O micro que estou usando para fazer os testes, de onde partem os testes com nessus e nmap.
- IP 200.200.200.201
Roteador R1:
- Roteador ADSL (Speedy Business) que faz o conexão da máquina A com a internet.
- IP 200.200.200.202
Maquina B:
- O servidor sob suspeita de invasão, que recebe os testes com nessus e nmap.
- Conectiva 8
- IP 200.200.201.201
- Serviços rodando: Samba, Squid, Atalk, Postfix, Iptables, Snort, SSH, não tenho APACHE instalado.
- O iptables está configurado para negar todos as conexões, com exceção do SSH vindo da máquina A.
- No iptables não tem redirecionamento para a porta 80.
Roteador R2:
- Roteador ADSL (Speedy Business) que faz a conexão da maquina B com a internet.
- IP 200.200.201.202
Descrição do problema:
Executei o nessus a partir da máquina A contra a máquina B, e recebi um Security Alert informando que a porta 80/tcp estava aberta e que um serviço desconhecido estava sendo executado.
Comecei a investigar a máquina e executei os seguintes comandos na máquina B:
netstat -tupan ( não mostra a porta 80 )
lsof -i ( não mostra a porta 80 )
fuser -n tcp 80 ( não mostra nada )
tcpdump dst port 80 (não há tráfego nenhum nessa porta )
chkrootkit ( não detecta nada )
clamav ( não encontrou nenhum vírus )
substitui o netstat por outro confiável e executei o netstat -tupan novamente e o resultado foi o mesmo.
Nenhum dos comandos acima mostrou alguma informação sobre a porta 80, PID do processo ou a presença de algum rootkit ou vírus.
- Desabilitei a porta 80/tcp e 80/udp no etc/services e reiniciei a máquina B.
Dei um telnet na porta 80 e aconteceu isso:
Trying 200.200.201.201 ....
Connected to 200.200.201.201.
Escape character is '^]'.
Aí tentei dar um: GET / HTTP / 1.1
Depois de um tempinho apareceu a mensagem:
Connection closed by foreign host.
A partir da máquina A, executei o nmap contra a máquina B usando o seguinte comando:
nmap -vv -P0 -p 80-80 -sT 200.200.201.201
Obtive como resposta que a porta 80/tcp estava aberta pelo servico http.
Então fiz o seguinte teste, despluguei a máquina B do roteador, deixando ela fora da internet. A partir da máquina A, executei o mesmo comando do nmap acima, contra o IP da máquina B, e o resultado foi que a porta 80 estava aberta. Como isso, se a máquina está fora da internet?
Depois, ainda com a máquina B fora da internet, executei o mesmo comando do nmap contra o IP do roteador R2 e a resposta foi que a porta 80 também estava aberta.
Não estou conseguindo entender o que está acontecendo, será que alguém com as informações acima consegue me dar uma ajuda?
Abaixo estão os resultados do netstat -tupan e do ps ax.
Resultado do nestat -tupan:
Conexões Internet Ativas (servidores e estabelecidas)
Proto Recv-Q Send-Q Endereço Local Endereço Remoto Estado PID/Program name
tcp 0 0 192.168.100.1:548 0.0.0.0:* OUÇA 2069/afpd
tcp 0 0 192.168.100.1:139 0.0.0.0:* OUÇA 1895/smbd
tcp 0 0 0.0.0.0:22 0.0.0.0:* OUÇA 1008/sshd
tcp 0 0 192.168.100.1:3128 0.0.0.0:* OUÇA 2149/(squid)
tcp 0 0 192.168.100.1:25 0.0.0.0:* OUÇA 1675/master
tcp 0 0 127.0.0.1:25 0.0.0.0:* OUÇA 1675/master
tcp 0 0 127.0.0.1:32898 127.0.0.1:32897 ESTABELECIDA2149/(squid)
tcp 0 0 127.0.0.1:32897 127.0.0.1:32898 ESTABELECIDA2150/(ncsa_auth)
tcp 0 0 127.0.0.1:32900 127.0.0.1:32899 ESTABELECIDA2149/(squid)
tcp 0 0 192.168.100.1:548 192.168.100.3:49155 ESTABELECIDA2247/afpd
tcp 0 0 127.0.0.1:32899 127.0.0.1:32900 ESTABELECIDA2151/(ncsa_auth)
tcp 0 48 200.200.201.201:22 200.200.200.201:32806 ESTABELECIDA1399/sshd
tcp 0 0 192.168.100.1:139 192.168.100.6:1027 ESTABELECIDA2203/smbd
tcp 0 0 127.0.0.1:32902 127.0.0.1:32901 ESTABELECIDA2149/(squid)
tcp 0 0 192.168.100.1:548 192.168.100.5:49155 ESTABELECIDA2330/afpd
tcp 0 0 127.0.0.1:32901 127.0.0.1:32902 ESTABELECIDA2152/(ncsa_auth)
tcp 0 0 127.0.0.1:32904 127.0.0.1:32903 ESTABELECIDA2149/(squid)
tcp 0 0 127.0.0.1:32903 127.0.0.1:32904 ESTABELECIDA2153/(ncsa_auth)
tcp 0 0 127.0.0.1:32906 127.0.0.1:32905 ESTABELECIDA2149/(squid)
tcp 0 0 127.0.0.1:32905 127.0.0.1:32906 ESTABELECIDA2154/(ncsa_auth)
tcp 0 0 192.168.100.1:139 192.168.100.7:1233 ESTABELECIDA1951/smbd
udp 0 0 192.168.100.1:137 0.0.0.0:* 1908/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 1908/nmbd
udp 0 0 192.168.100.1:138 0.0.0.0:* 1908/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 1908/nmbd
udp 0 0 127.0.0.1:32786 0.0.0.0:* 1951/smbd
udp 0 0 127.0.0.1:32791 127.0.0.1:32792 ESTABELECIDA2156/(pinger)
udp 0 0 127.0.0.1:32792 127.0.0.1:32791 ESTABELECIDA2149/(squid)
udp 0 0 127.0.0.1:32793 0.0.0.0:* 2203/smbd
udp 0 0 0.0.0.0:32804 0.0.0.0:* 2149/(squid)
Resultado do ps ax:
4 ? SW 0:00 [kswapd]
5 ? SW 0:00 [bdflush]
6 ? SW 0:00 [kupdated]
7 ? SW< 0:00 [mdrecoveryd]
11 ? SW 0:02 [kjournald]
129 ? SW 0:00 [khubd]
256 ? SW 0:00 [kjournald]
257 ? SW 0:00 [kjournald]
701 ? SW 0:00 [eth0]
782 ? SW 0:00 [eth1]
868 ? S 0:00 syslogd -m 0
880 ? S 0:00 klogd
968 ? S 0:00 /usr/sbin/atd
988 ? S 0:00 crond
1008 ? S 0:00 /usr/sbin/sshd
1133 ttyS0 S 0:00 gpm -t ms
1314 ? R 0:08 /usr/bin/snort -d -D -i eth0 -p -l /var/log/snort -u
1319 tty1 S 0:00 /sbin/mingetty tty1
1320 tty2 S 0:00 /sbin/mingetty tty2
1321 tty3 S 0:00 /sbin/mingetty tty3
1322 tty4 S 0:00 /sbin/mingetty tty4
1323 tty5 S 0:00 /sbin/mingetty tty5
1324 tty6 S 0:00 /sbin/mingetty tty6
1399 ? S 0:00 /usr/sbin/sshd
1401 ? S 0:01 /usr/sbin/sshd
1402 pts/0 S 0:00 -bash
1415 pts/0 S 0:00 su
1416 pts/0 S 0:00 bash
1675 ? S 0:00 /usr/lib/postfix/master
1682 ? S 0:00 pickup -l -t fifo -u
1683 ? S 0:00 qmgr -l -t fifo -u
1895 ? S 0:00 smbd -D
1908 ? S 0:00 nmbd -D
1909 ? S 0:00 nmbd -D
1951 ? S 0:04 smbd -D
2043 ? S 0:00 atalkd
2056 ? S 0:00 papd
2069 ? S 0:00 afpd -c 50 -n sp
2147 ? S 0:00 /usr/bin/squid
2149 ? S 0:00 (squid)
2150 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
2151 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
2152 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
2153 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
2154 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
2155 ? S 0:00 (unlinkd)
2156 ? S 0:00 (pinger)
2203 ? S 0:01 smbd -D
2247 ? S 0:00 afpd -c 50 -n sp
2316 ? S 0:00 smtp -t unix -u
2318 pts/0 R 0:00 ps ax
Porta 80 ouvindo sem WebServer?
Não estou fazendo proxy transparente, a regra do iptables com redirect para a porta 80 esta comentada. Mesmo assim, parei o servico do squid e rodei o nmap, e mesmo assim a porta 80 continua aberta.
Porta 80 ouvindo sem WebServer?
Kra o seu server deve estar em ordem, o problema todo é causado pela sua provedora de internet, que provavelmente possui um cache gigantesco, tipo Telefonica, galera do speedy, quando realiza o nmap -sS -Su -P0 IP_SEU, com certeza ele vai te indicar a porta 80 como aberta, seguinte, entre em contato com sua provedora, pergunta se ela utiliza cache, se for a Telefônica, a resposta já é SIM!!!!!!
Fallow!
Porta 80 ouvindo sem WebServer?
tente o lsof e veja o que vem.
de um nmap localhost a principio, a maioria das coisas binda em todas as interfaces e nao e so em uma.