Porta 80 ouvindo sem WebServer?

Hacinn · 29-06-2004, 15:35

Olá,

Executei o nessus em CL 8 e recebi a seguinte mensagem:

Security Note: Port: www-http (80/tcp)

Mas eu não tenho servidor Web rodando nessa máquina. Quando executo o netstat -anp a porta 80 não é mostrada. Agora quando executo o nmap a partir de outro micro, ele mostra a porta 80 como aberta.
Já executei o chkrootkit e o clamav e nenhum deles acusou nada.

Alguém pode me ajudar?

Desde já agradeço.

**1c3m4n** · 29-06-2004, 15:46

faz assim:
fuser -n tcp 80
ae ele vai te da o numero do processo
depois vc faz ps ax | grep processo e vc descobre quem eh o engracadinho

Hacinn · 29-06-2004, 16:14

Executei o comando, mas não retornou nada. Obrigado pela ajuda.

**irado** · 30-06-2004, 05:54

Postado originalmente por Hacinn

Executei o comando, mas não retornou nada. Obrigado pela ajuda.

faz um telnet endereço 80 pra ver o que aparece (pode usar o netcat, também)

IMHO, vc tá com um problema maior do que pensa (rs)

:twisted:

Hacinn · 30-06-2004, 11:45

Dei um telnet na porta 80 e aconteceu isso:

Trying 200.201.202.203 ....
Connected to 200.201.202.203.
Escape character is '^]'.

Aí tentei dar um: GET / HTTP / 1.1
Depois de um tempinho apareceu a mensagem:

Connection closed by foreign host.

Isso diz alguma coisa?

lss · 30-06-2004, 11:50

tenta o fuser com outra sintaxe
fuser -v 80/tcp
se usar o slackware dá um socklist | grep 80

Hacinn · 30-06-2004, 11:53

executei o fuser e não mostrou nada. Estou usando conectiva 8.

lss · 30-06-2004, 12:27

vê o tráfego que está passando
tcpdump -i eth0 dst port 80
enquanto isso dá uma fechada nesta porta 80
iptables -A FORWARD -p tcp --destination-port -j DROP
iptables -A INPUT -p tcp --destination-port -j DROP
Outra coisa, quais os serviços que vc roda nesta máquina ?

Hacinn · 30-06-2004, 14:24

Mais uma informação, despluguei o cabo do servidor do roteador ADSL e tentei executar o nmap contra o IP do servidor ( que estava fora da rede ). Obtive como resposta que a porta 80 estava aberta. Ai executei contra o IP do routeador ADSL e deu o mesmo resultado.

Não estou entendendo nada.

**irado** · 01-07-2004, 06:01

nem nós estamos entendendo..

êsse é um fwll/servidor conectado à internet? quais serviços são disponíveis? seus logs PARECEM estar integros (datas, etc)?

netstat -nal o que diz pra vc?

:?:

o telnet que vc deu mostra que REALMENTE há um aplicativo escutando na porta 80.. ora, se não aparece (nos ps auxww) nem no fuser a idéia é de que a máquina FOI comprometida.. use o tcpdump (ou ethereal) como já sugerido por outro colega e analise o tráfego.

Hacinn · 01-07-2004, 09:11

Obrigado pela ajuda de todos, abaixo tentei colocar tudo que já fiz e algumas informações.

Máquina A:
- O micro que estou usando para fazer os testes, de onde partem os testes com nessus e nmap.
- IP 200.200.200.201

Roteador R1:
- Roteador ADSL (Speedy Business) que faz o conexão da máquina A com a internet.
- IP 200.200.200.202

Maquina B:
- O servidor sob suspeita de invasão, que recebe os testes com nessus e nmap.
- Conectiva 8
- IP 200.200.201.201
- Serviços rodando: Samba, Squid, Atalk, Postfix, Iptables, Snort, SSH, não tenho APACHE instalado.
- O iptables está configurado para negar todos as conexões, com exceção do SSH vindo da máquina A.
- No iptables não tem redirecionamento para a porta 80.

Roteador R2:
- Roteador ADSL (Speedy Business) que faz a conexão da maquina B com a internet.
- IP 200.200.201.202

Descrição do problema:
Executei o nessus a partir da máquina A contra a máquina B, e recebi um Security Alert informando que a porta 80/tcp estava aberta e que um serviço desconhecido estava sendo executado.

Comecei a investigar a máquina e executei os seguintes comandos na máquina B:
netstat -tupan ( não mostra a porta 80 )
lsof -i ( não mostra a porta 80 )
fuser -n tcp 80 ( não mostra nada )
tcpdump dst port 80 (não há tráfego nenhum nessa porta )
chkrootkit ( não detecta nada )
clamav ( não encontrou nenhum vírus )
substitui o netstat por outro confiável e executei o netstat -tupan novamente e o resultado foi o mesmo.

Nenhum dos comandos acima mostrou alguma informação sobre a porta 80, PID do processo ou a presença de algum rootkit ou vírus.

- Desabilitei a porta 80/tcp e 80/udp no etc/services e reiniciei a máquina B.

Dei um telnet na porta 80 e aconteceu isso:

Trying 200.200.201.201 ....
Connected to 200.200.201.201.
Escape character is '^]'.

Aí tentei dar um: GET / HTTP / 1.1
Depois de um tempinho apareceu a mensagem:

Connection closed by foreign host.

A partir da máquina A, executei o nmap contra a máquina B usando o seguinte comando:
nmap -vv -P0 -p 80-80 -sT 200.200.201.201

Obtive como resposta que a porta 80/tcp estava aberta pelo servico http.

Então fiz o seguinte teste, despluguei a máquina B do roteador, deixando ela fora da internet. A partir da máquina A, executei o mesmo comando do nmap acima, contra o IP da máquina B, e o resultado foi que a porta 80 estava aberta. Como isso, se a máquina está fora da internet?

Depois, ainda com a máquina B fora da internet, executei o mesmo comando do nmap contra o IP do roteador R2 e a resposta foi que a porta 80 também estava aberta.

Não estou conseguindo entender o que está acontecendo, será que alguém com as informações acima consegue me dar uma ajuda?
Abaixo estão os resultados do netstat -tupan e do ps ax.

Resultado do nestat -tupan:

Conexões Internet Ativas (servidores e estabelecidas)
Proto Recv-Q Send-Q Endereço Local Endereço Remoto Estado PID/Program name
tcp 0 0 192.168.100.1:548 0.0.0.0:* OUÇA 2069/afpd
tcp 0 0 192.168.100.1:139 0.0.0.0:* OUÇA 1895/smbd
tcp 0 0 0.0.0.0:22 0.0.0.0:* OUÇA 1008/sshd
tcp 0 0 192.168.100.1:3128 0.0.0.0:* OUÇA 2149/(squid)
tcp 0 0 192.168.100.1:25 0.0.0.0:* OUÇA 1675/master
tcp 0 0 127.0.0.1:25 0.0.0.0:* OUÇA 1675/master
tcp 0 0 127.0.0.1:32898 127.0.0.1:32897 ESTABELECIDA2149/(squid)
tcp 0 0 127.0.0.1:32897 127.0.0.1:32898 ESTABELECIDA2150/(ncsa_auth)
tcp 0 0 127.0.0.1:32900 127.0.0.1:32899 ESTABELECIDA2149/(squid)
tcp 0 0 192.168.100.1:548 192.168.100.3:49155 ESTABELECIDA2247/afpd
tcp 0 0 127.0.0.1:32899 127.0.0.1:32900 ESTABELECIDA2151/(ncsa_auth)
tcp 0 48 200.200.201.201:22 200.200.200.201:32806 ESTABELECIDA1399/sshd
tcp 0 0 192.168.100.1:139 192.168.100.6:1027 ESTABELECIDA2203/smbd
tcp 0 0 127.0.0.1:32902 127.0.0.1:32901 ESTABELECIDA2149/(squid)
tcp 0 0 192.168.100.1:548 192.168.100.5:49155 ESTABELECIDA2330/afpd
tcp 0 0 127.0.0.1:32901 127.0.0.1:32902 ESTABELECIDA2152/(ncsa_auth)
tcp 0 0 127.0.0.1:32904 127.0.0.1:32903 ESTABELECIDA2149/(squid)
tcp 0 0 127.0.0.1:32903 127.0.0.1:32904 ESTABELECIDA2153/(ncsa_auth)
tcp 0 0 127.0.0.1:32906 127.0.0.1:32905 ESTABELECIDA2149/(squid)
tcp 0 0 127.0.0.1:32905 127.0.0.1:32906 ESTABELECIDA2154/(ncsa_auth)
tcp 0 0 192.168.100.1:139 192.168.100.7:1233 ESTABELECIDA1951/smbd
udp 0 0 192.168.100.1:137 0.0.0.0:* 1908/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 1908/nmbd
udp 0 0 192.168.100.1:138 0.0.0.0:* 1908/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 1908/nmbd
udp 0 0 127.0.0.1:32786 0.0.0.0:* 1951/smbd
udp 0 0 127.0.0.1:32791 127.0.0.1:32792 ESTABELECIDA2156/(pinger)
udp 0 0 127.0.0.1:32792 127.0.0.1:32791 ESTABELECIDA2149/(squid)
udp 0 0 127.0.0.1:32793 0.0.0.0:* 2203/smbd
udp 0 0 0.0.0.0:32804 0.0.0.0:* 2149/(squid)

Resultado do ps ax:

4 ? SW 0:00 [kswapd]
5 ? SW 0:00 [bdflush]
6 ? SW 0:00 [kupdated]
7 ? SW< 0:00 [mdrecoveryd]
11 ? SW 0:02 [kjournald]
129 ? SW 0:00 [khubd]
256 ? SW 0:00 [kjournald]
257 ? SW 0:00 [kjournald]
701 ? SW 0:00 [eth0]
782 ? SW 0:00 [eth1]
868 ? S 0:00 syslogd -m 0
880 ? S 0:00 klogd
968 ? S 0:00 /usr/sbin/atd
988 ? S 0:00 crond
1008 ? S 0:00 /usr/sbin/sshd
1133 ttyS0 S 0:00 gpm -t ms
1314 ? R 0:08 /usr/bin/snort -d -D -i eth0 -p -l /var/log/snort -u
1319 tty1 S 0:00 /sbin/mingetty tty1
1320 tty2 S 0:00 /sbin/mingetty tty2
1321 tty3 S 0:00 /sbin/mingetty tty3
1322 tty4 S 0:00 /sbin/mingetty tty4
1323 tty5 S 0:00 /sbin/mingetty tty5
1324 tty6 S 0:00 /sbin/mingetty tty6
1399 ? S 0:00 /usr/sbin/sshd
1401 ? S 0:01 /usr/sbin/sshd
1402 pts/0 S 0:00 -bash
1415 pts/0 S 0:00 su
1416 pts/0 S 0:00 bash
1675 ? S 0:00 /usr/lib/postfix/master
1682 ? S 0:00 pickup -l -t fifo -u
1683 ? S 0:00 qmgr -l -t fifo -u
1895 ? S 0:00 smbd -D
1908 ? S 0:00 nmbd -D
1909 ? S 0:00 nmbd -D
1951 ? S 0:04 smbd -D
2043 ? S 0:00 atalkd
2056 ? S 0:00 papd
2069 ? S 0:00 afpd -c 50 -n sp
2147 ? S 0:00 /usr/bin/squid
2149 ? S 0:00 (squid)
2150 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
2151 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
2152 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
2153 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
2154 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
2155 ? S 0:00 (unlinkd)
2156 ? S 0:00 (pinger)
2203 ? S 0:01 smbd -D
2247 ? S 0:00 afpd -c 50 -n sp
2316 ? S 0:00 smtp -t unix -u
2318 pts/0 R 0:00 ps ax

**loxamir** · 01-07-2004, 10:35

Isso é ser o squid, pois você esta fazendo proxy transparente, ou seja todas as requisições que forem para a porta 80 são redirecionadas para a porta 3128 sendo a assim quando de outra maquina você tentar acessar a porta 80 que não tem serviço o iptables ira direcionar para a porta 3128.

Para testar se é isso mesmo mate o squid, ou retire a regra de redirecionamento do iptables e tente usar o nmap novamente

Marcelo Pickler

Hacinn · 01-07-2004, 11:09

Não estou fazendo proxy transparente, a regra do iptables com redirect para a porta 80 esta comentada. Mesmo assim, parei o servico do squid e rodei o nmap, e mesmo assim a porta 80 continua aberta.

**osmousf** · 01-07-2004, 12:29

Kra o seu server deve estar em ordem, o problema todo é causado pela sua provedora de internet, que provavelmente possui um cache gigantesco, tipo Telefonica, galera do speedy, quando realiza o nmap -sS -Su -P0 IP_SEU, com certeza ele vai te indicar a porta 80 como aberta, seguinte, entre em contato com sua provedora, pergunta se ela utiliza cache, se for a Telefônica, a resposta já é SIM!!!!!!

Fallow!

**mistymst** · 01-07-2004, 12:49

tente o lsof e veja o que vem.
de um nmap localhost a principio, a maioria das coisas binda em todas as interfaces e nao e so em uma.

Porta 80 ouvindo sem WebServer?

Ferramentas de Tópicos