Página 3 de 3 PrimeiroPrimeiro 123
+ Responder ao Tópico



  1. #11
    Hacinn
    Obrigado pela ajuda de todos, abaixo tentei colocar tudo que já fiz e algumas informações.

    Máquina A:
    - O micro que estou usando para fazer os testes, de onde partem os testes com nessus e nmap.
    - IP 200.200.200.201

    Roteador R1:
    - Roteador ADSL (Speedy Business) que faz o conexão da máquina A com a internet.
    - IP 200.200.200.202

    Maquina B:
    - O servidor sob suspeita de invasão, que recebe os testes com nessus e nmap.
    - Conectiva 8
    - IP 200.200.201.201
    - Serviços rodando: Samba, Squid, Atalk, Postfix, Iptables, Snort, SSH, não tenho APACHE instalado.
    - O iptables está configurado para negar todos as conexões, com exceção do SSH vindo da máquina A.
    - No iptables não tem redirecionamento para a porta 80.

    Roteador R2:
    - Roteador ADSL (Speedy Business) que faz a conexão da maquina B com a internet.
    - IP 200.200.201.202

    Descrição do problema:
    Executei o nessus a partir da máquina A contra a máquina B, e recebi um Security Alert informando que a porta 80/tcp estava aberta e que um serviço desconhecido estava sendo executado.

    Comecei a investigar a máquina e executei os seguintes comandos na máquina B:
    netstat -tupan ( não mostra a porta 80 )
    lsof -i ( não mostra a porta 80 )
    fuser -n tcp 80 ( não mostra nada )
    tcpdump dst port 80 (não há tráfego nenhum nessa porta )
    chkrootkit ( não detecta nada )
    clamav ( não encontrou nenhum vírus )
    substitui o netstat por outro confiável e executei o netstat -tupan novamente e o resultado foi o mesmo.

    Nenhum dos comandos acima mostrou alguma informação sobre a porta 80, PID do processo ou a presença de algum rootkit ou vírus.

    - Desabilitei a porta 80/tcp e 80/udp no etc/services e reiniciei a máquina B.

    Dei um telnet na porta 80 e aconteceu isso:

    Trying 200.200.201.201 ....
    Connected to 200.200.201.201.
    Escape character is '^]'.

    Aí tentei dar um: GET / HTTP / 1.1
    Depois de um tempinho apareceu a mensagem:

    Connection closed by foreign host.


    A partir da máquina A, executei o nmap contra a máquina B usando o seguinte comando:
    nmap -vv -P0 -p 80-80 -sT 200.200.201.201

    Obtive como resposta que a porta 80/tcp estava aberta pelo servico http.

    Então fiz o seguinte teste, despluguei a máquina B do roteador, deixando ela fora da internet. A partir da máquina A, executei o mesmo comando do nmap acima, contra o IP da máquina B, e o resultado foi que a porta 80 estava aberta. Como isso, se a máquina está fora da internet?

    Depois, ainda com a máquina B fora da internet, executei o mesmo comando do nmap contra o IP do roteador R2 e a resposta foi que a porta 80 também estava aberta.

    Não estou conseguindo entender o que está acontecendo, será que alguém com as informações acima consegue me dar uma ajuda?
    Abaixo estão os resultados do netstat -tupan e do ps ax.

    Resultado do nestat -tupan:

    Conexões Internet Ativas (servidores e estabelecidas)
    Proto Recv-Q Send-Q Endereço Local Endereço Remoto Estado PID/Program name
    tcp 0 0 192.168.100.1:548 0.0.0.0:* OUÇA 2069/afpd
    tcp 0 0 192.168.100.1:139 0.0.0.0:* OUÇA 1895/smbd
    tcp 0 0 0.0.0.0:22 0.0.0.0:* OUÇA 1008/sshd
    tcp 0 0 192.168.100.1:3128 0.0.0.0:* OUÇA 2149/(squid)
    tcp 0 0 192.168.100.1:25 0.0.0.0:* OUÇA 1675/master
    tcp 0 0 127.0.0.1:25 0.0.0.0:* OUÇA 1675/master
    tcp 0 0 127.0.0.1:32898 127.0.0.1:32897 ESTABELECIDA2149/(squid)
    tcp 0 0 127.0.0.1:32897 127.0.0.1:32898 ESTABELECIDA2150/(ncsa_auth)
    tcp 0 0 127.0.0.1:32900 127.0.0.1:32899 ESTABELECIDA2149/(squid)
    tcp 0 0 192.168.100.1:548 192.168.100.3:49155 ESTABELECIDA2247/afpd
    tcp 0 0 127.0.0.1:32899 127.0.0.1:32900 ESTABELECIDA2151/(ncsa_auth)
    tcp 0 48 200.200.201.201:22 200.200.200.201:32806 ESTABELECIDA1399/sshd
    tcp 0 0 192.168.100.1:139 192.168.100.6:1027 ESTABELECIDA2203/smbd
    tcp 0 0 127.0.0.1:32902 127.0.0.1:32901 ESTABELECIDA2149/(squid)
    tcp 0 0 192.168.100.1:548 192.168.100.5:49155 ESTABELECIDA2330/afpd
    tcp 0 0 127.0.0.1:32901 127.0.0.1:32902 ESTABELECIDA2152/(ncsa_auth)
    tcp 0 0 127.0.0.1:32904 127.0.0.1:32903 ESTABELECIDA2149/(squid)
    tcp 0 0 127.0.0.1:32903 127.0.0.1:32904 ESTABELECIDA2153/(ncsa_auth)
    tcp 0 0 127.0.0.1:32906 127.0.0.1:32905 ESTABELECIDA2149/(squid)
    tcp 0 0 127.0.0.1:32905 127.0.0.1:32906 ESTABELECIDA2154/(ncsa_auth)
    tcp 0 0 192.168.100.1:139 192.168.100.7:1233 ESTABELECIDA1951/smbd
    udp 0 0 192.168.100.1:137 0.0.0.0:* 1908/nmbd
    udp 0 0 0.0.0.0:137 0.0.0.0:* 1908/nmbd
    udp 0 0 192.168.100.1:138 0.0.0.0:* 1908/nmbd
    udp 0 0 0.0.0.0:138 0.0.0.0:* 1908/nmbd
    udp 0 0 127.0.0.1:32786 0.0.0.0:* 1951/smbd
    udp 0 0 127.0.0.1:32791 127.0.0.1:32792 ESTABELECIDA2156/(pinger)
    udp 0 0 127.0.0.1:32792 127.0.0.1:32791 ESTABELECIDA2149/(squid)
    udp 0 0 127.0.0.1:32793 0.0.0.0:* 2203/smbd
    udp 0 0 0.0.0.0:32804 0.0.0.0:* 2149/(squid)

    Resultado do ps ax:

    4 ? SW 0:00 [kswapd]
    5 ? SW 0:00 [bdflush]
    6 ? SW 0:00 [kupdated]
    7 ? SW< 0:00 [mdrecoveryd]
    11 ? SW 0:02 [kjournald]
    129 ? SW 0:00 [khubd]
    256 ? SW 0:00 [kjournald]
    257 ? SW 0:00 [kjournald]
    701 ? SW 0:00 [eth0]
    782 ? SW 0:00 [eth1]
    868 ? S 0:00 syslogd -m 0
    880 ? S 0:00 klogd
    968 ? S 0:00 /usr/sbin/atd
    988 ? S 0:00 crond
    1008 ? S 0:00 /usr/sbin/sshd
    1133 ttyS0 S 0:00 gpm -t ms
    1314 ? R 0:08 /usr/bin/snort -d -D -i eth0 -p -l /var/log/snort -u
    1319 tty1 S 0:00 /sbin/mingetty tty1
    1320 tty2 S 0:00 /sbin/mingetty tty2
    1321 tty3 S 0:00 /sbin/mingetty tty3
    1322 tty4 S 0:00 /sbin/mingetty tty4
    1323 tty5 S 0:00 /sbin/mingetty tty5
    1324 tty6 S 0:00 /sbin/mingetty tty6
    1399 ? S 0:00 /usr/sbin/sshd
    1401 ? S 0:01 /usr/sbin/sshd
    1402 pts/0 S 0:00 -bash
    1415 pts/0 S 0:00 su
    1416 pts/0 S 0:00 bash
    1675 ? S 0:00 /usr/lib/postfix/master
    1682 ? S 0:00 pickup -l -t fifo -u
    1683 ? S 0:00 qmgr -l -t fifo -u
    1895 ? S 0:00 smbd -D
    1908 ? S 0:00 nmbd -D
    1909 ? S 0:00 nmbd -D
    1951 ? S 0:04 smbd -D
    2043 ? S 0:00 atalkd
    2056 ? S 0:00 papd
    2069 ? S 0:00 afpd -c 50 -n sp
    2147 ? S 0:00 /usr/bin/squid
    2149 ? S 0:00 (squid)
    2150 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
    2151 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
    2152 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
    2153 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
    2154 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
    2155 ? S 0:00 (unlinkd)
    2156 ? S 0:00 (pinger)
    2203 ? S 0:01 smbd -D
    2247 ? S 0:00 afpd -c 50 -n sp
    2316 ? S 0:00 smtp -t unix -u
    2318 pts/0 R 0:00 ps ax

  2. Isso é ser o squid, pois você esta fazendo proxy transparente, ou seja todas as requisições que forem para a porta 80 são redirecionadas para a porta 3128 sendo a assim quando de outra maquina você tentar acessar a porta 80 que não tem serviço o iptables ira direcionar para a porta 3128.

    Para testar se é isso mesmo mate o squid, ou retire a regra de redirecionamento do iptables e tente usar o nmap novamente

    Marcelo Pickler



  3. #13
    Hacinn
    Não estou fazendo proxy transparente, a regra do iptables com redirect para a porta 80 esta comentada. Mesmo assim, parei o servico do squid e rodei o nmap, e mesmo assim a porta 80 continua aberta.

  4. Kra o seu server deve estar em ordem, o problema todo é causado pela sua provedora de internet, que provavelmente possui um cache gigantesco, tipo Telefonica, galera do speedy, quando realiza o nmap -sS -Su -P0 IP_SEU, com certeza ele vai te indicar a porta 80 como aberta, seguinte, entre em contato com sua provedora, pergunta se ela utiliza cache, se for a Telefônica, a resposta já é SIM!!!!!!

    Fallow!



  5. tente o lsof e veja o que vem.
    de um nmap localhost a principio, a maioria das coisas binda em todas as interfaces e nao e so em uma.






Tópicos Similares

  1. Porta 80 fica sem controle de banda com proxy
    Por phmenoni no fórum Redes
    Respostas: 6
    Último Post: 19-07-2006, 07:53
  2. Apache ouvindo na porta 80 E 443
    Por barretozol no fórum Servidores de Rede
    Respostas: 3
    Último Post: 02-09-2005, 15:03
  3. Redirecionar porta 80 para 3128
    Por giuliano no fórum Servidores de Rede
    Respostas: 2
    Último Post: 22-01-2004, 18:51
  4. Liberar porta 80 externa, segurança
    Por karluqs no fórum Servidores de Rede
    Respostas: 9
    Último Post: 26-09-2003, 12:59
  5. Kazaa na porta 80
    Por no fórum Servidores de Rede
    Respostas: 3
    Último Post: 22-07-2003, 10:11

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L