+ Responder ao Tópico



  1. #1
    Hacinn
    Visitante

    Padrão Porta 80 ouvindo sem WebServer?

    Olá,

    Executei o nessus em CL 8 e recebi a seguinte mensagem:

    Security Note: Port: www-http (80/tcp)

    Mas eu não tenho servidor Web rodando nessa máquina. Quando executo o netstat -anp a porta 80 não é mostrada. Agora quando executo o nmap a partir de outro micro, ele mostra a porta 80 como aberta.
    Já executei o chkrootkit e o clamav e nenhum deles acusou nada.

    Alguém pode me ajudar?

    Desde já agradeço.

  2. #2

    Padrão Porta 80 ouvindo sem WebServer?

    faz assim:
    fuser -n tcp 80
    ae ele vai te da o numero do processo
    depois vc faz ps ax | grep processo e vc descobre quem eh o engracadinho

  3. #3
    Hacinn
    Visitante

    Padrão Porta 80 ouvindo sem WebServer?

    Executei o comando, mas não retornou nada. Obrigado pela ajuda.

  4. #4

    Padrão Porta 80 ouvindo sem WebServer?

    Citação Postado originalmente por Hacinn
    Executei o comando, mas não retornou nada. Obrigado pela ajuda.
    faz um telnet endereço 80 pra ver o que aparece (pode usar o netcat, também)

    IMHO, vc tá com um problema maior do que pensa (rs)

    :twisted:

  5. #5
    Hacinn
    Visitante

    Padrão Porta 80 ouvindo sem WebServer?

    Dei um telnet na porta 80 e aconteceu isso:

    Trying 200.201.202.203 ....
    Connected to 200.201.202.203.
    Escape character is '^]'.

    Aí tentei dar um: GET / HTTP / 1.1
    Depois de um tempinho apareceu a mensagem:

    Connection closed by foreign host.

    Isso diz alguma coisa?

  6. #6
    lss
    Visitante

    Padrão Porta 80 ouvindo sem WebServer?

    tenta o fuser com outra sintaxe
    fuser -v 80/tcp
    se usar o slackware dá um socklist | grep 80

  7. #7
    Hacinn
    Visitante

    Padrão Porta 80 ouvindo sem WebServer?

    executei o fuser e não mostrou nada. Estou usando conectiva 8.

  8. #8
    lss
    Visitante

    Padrão Porta 80 ouvindo sem WebServer?

    vê o tráfego que está passando
    tcpdump -i eth0 dst port 80
    enquanto isso dá uma fechada nesta porta 80
    iptables -A FORWARD -p tcp --destination-port -j DROP
    iptables -A INPUT -p tcp --destination-port -j DROP
    Outra coisa, quais os serviços que vc roda nesta máquina ?

  9. #9
    Hacinn
    Visitante

    Padrão Porta 80 ouvindo sem WebServer?

    Mais uma informação, despluguei o cabo do servidor do roteador ADSL e tentei executar o nmap contra o IP do servidor ( que estava fora da rede ). Obtive como resposta que a porta 80 estava aberta. Ai executei contra o IP do routeador ADSL e deu o mesmo resultado.

    Não estou entendendo nada.

  10. #10

    Padrão Porta 80 ouvindo sem WebServer?

    nem nós estamos entendendo..

    êsse é um fwll/servidor conectado à internet? quais serviços são disponíveis? seus logs PARECEM estar integros (datas, etc)?

    netstat -nal o que diz pra vc?

    :?:

    o telnet que vc deu mostra que REALMENTE há um aplicativo escutando na porta 80.. ora, se não aparece (nos ps auxww) nem no fuser a idéia é de que a máquina FOI comprometida.. use o tcpdump (ou ethereal) como já sugerido por outro colega e analise o tráfego.

  11. #11
    Hacinn
    Visitante

    Padrão Porta 80 ouvindo sem WebServer?

    Obrigado pela ajuda de todos, abaixo tentei colocar tudo que já fiz e algumas informações.

    Máquina A:
    - O micro que estou usando para fazer os testes, de onde partem os testes com nessus e nmap.
    - IP 200.200.200.201

    Roteador R1:
    - Roteador ADSL (Speedy Business) que faz o conexão da máquina A com a internet.
    - IP 200.200.200.202

    Maquina B:
    - O servidor sob suspeita de invasão, que recebe os testes com nessus e nmap.
    - Conectiva 8
    - IP 200.200.201.201
    - Serviços rodando: Samba, Squid, Atalk, Postfix, Iptables, Snort, SSH, não tenho APACHE instalado.
    - O iptables está configurado para negar todos as conexões, com exceção do SSH vindo da máquina A.
    - No iptables não tem redirecionamento para a porta 80.

    Roteador R2:
    - Roteador ADSL (Speedy Business) que faz a conexão da maquina B com a internet.
    - IP 200.200.201.202

    Descrição do problema:
    Executei o nessus a partir da máquina A contra a máquina B, e recebi um Security Alert informando que a porta 80/tcp estava aberta e que um serviço desconhecido estava sendo executado.

    Comecei a investigar a máquina e executei os seguintes comandos na máquina B:
    netstat -tupan ( não mostra a porta 80 )
    lsof -i ( não mostra a porta 80 )
    fuser -n tcp 80 ( não mostra nada )
    tcpdump dst port 80 (não há tráfego nenhum nessa porta )
    chkrootkit ( não detecta nada )
    clamav ( não encontrou nenhum vírus )
    substitui o netstat por outro confiável e executei o netstat -tupan novamente e o resultado foi o mesmo.

    Nenhum dos comandos acima mostrou alguma informação sobre a porta 80, PID do processo ou a presença de algum rootkit ou vírus.

    - Desabilitei a porta 80/tcp e 80/udp no etc/services e reiniciei a máquina B.

    Dei um telnet na porta 80 e aconteceu isso:

    Trying 200.200.201.201 ....
    Connected to 200.200.201.201.
    Escape character is '^]'.

    Aí tentei dar um: GET / HTTP / 1.1
    Depois de um tempinho apareceu a mensagem:

    Connection closed by foreign host.


    A partir da máquina A, executei o nmap contra a máquina B usando o seguinte comando:
    nmap -vv -P0 -p 80-80 -sT 200.200.201.201

    Obtive como resposta que a porta 80/tcp estava aberta pelo servico http.

    Então fiz o seguinte teste, despluguei a máquina B do roteador, deixando ela fora da internet. A partir da máquina A, executei o mesmo comando do nmap acima, contra o IP da máquina B, e o resultado foi que a porta 80 estava aberta. Como isso, se a máquina está fora da internet?

    Depois, ainda com a máquina B fora da internet, executei o mesmo comando do nmap contra o IP do roteador R2 e a resposta foi que a porta 80 também estava aberta.

    Não estou conseguindo entender o que está acontecendo, será que alguém com as informações acima consegue me dar uma ajuda?
    Abaixo estão os resultados do netstat -tupan e do ps ax.

    Resultado do nestat -tupan:

    Conexões Internet Ativas (servidores e estabelecidas)
    Proto Recv-Q Send-Q Endereço Local Endereço Remoto Estado PID/Program name
    tcp 0 0 192.168.100.1:548 0.0.0.0:* OUÇA 2069/afpd
    tcp 0 0 192.168.100.1:139 0.0.0.0:* OUÇA 1895/smbd
    tcp 0 0 0.0.0.0:22 0.0.0.0:* OUÇA 1008/sshd
    tcp 0 0 192.168.100.1:3128 0.0.0.0:* OUÇA 2149/(squid)
    tcp 0 0 192.168.100.1:25 0.0.0.0:* OUÇA 1675/master
    tcp 0 0 127.0.0.1:25 0.0.0.0:* OUÇA 1675/master
    tcp 0 0 127.0.0.1:32898 127.0.0.1:32897 ESTABELECIDA2149/(squid)
    tcp 0 0 127.0.0.1:32897 127.0.0.1:32898 ESTABELECIDA2150/(ncsa_auth)
    tcp 0 0 127.0.0.1:32900 127.0.0.1:32899 ESTABELECIDA2149/(squid)
    tcp 0 0 192.168.100.1:548 192.168.100.3:49155 ESTABELECIDA2247/afpd
    tcp 0 0 127.0.0.1:32899 127.0.0.1:32900 ESTABELECIDA2151/(ncsa_auth)
    tcp 0 48 200.200.201.201:22 200.200.200.201:32806 ESTABELECIDA1399/sshd
    tcp 0 0 192.168.100.1:139 192.168.100.6:1027 ESTABELECIDA2203/smbd
    tcp 0 0 127.0.0.1:32902 127.0.0.1:32901 ESTABELECIDA2149/(squid)
    tcp 0 0 192.168.100.1:548 192.168.100.5:49155 ESTABELECIDA2330/afpd
    tcp 0 0 127.0.0.1:32901 127.0.0.1:32902 ESTABELECIDA2152/(ncsa_auth)
    tcp 0 0 127.0.0.1:32904 127.0.0.1:32903 ESTABELECIDA2149/(squid)
    tcp 0 0 127.0.0.1:32903 127.0.0.1:32904 ESTABELECIDA2153/(ncsa_auth)
    tcp 0 0 127.0.0.1:32906 127.0.0.1:32905 ESTABELECIDA2149/(squid)
    tcp 0 0 127.0.0.1:32905 127.0.0.1:32906 ESTABELECIDA2154/(ncsa_auth)
    tcp 0 0 192.168.100.1:139 192.168.100.7:1233 ESTABELECIDA1951/smbd
    udp 0 0 192.168.100.1:137 0.0.0.0:* 1908/nmbd
    udp 0 0 0.0.0.0:137 0.0.0.0:* 1908/nmbd
    udp 0 0 192.168.100.1:138 0.0.0.0:* 1908/nmbd
    udp 0 0 0.0.0.0:138 0.0.0.0:* 1908/nmbd
    udp 0 0 127.0.0.1:32786 0.0.0.0:* 1951/smbd
    udp 0 0 127.0.0.1:32791 127.0.0.1:32792 ESTABELECIDA2156/(pinger)
    udp 0 0 127.0.0.1:32792 127.0.0.1:32791 ESTABELECIDA2149/(squid)
    udp 0 0 127.0.0.1:32793 0.0.0.0:* 2203/smbd
    udp 0 0 0.0.0.0:32804 0.0.0.0:* 2149/(squid)

    Resultado do ps ax:

    4 ? SW 0:00 [kswapd]
    5 ? SW 0:00 [bdflush]
    6 ? SW 0:00 [kupdated]
    7 ? SW< 0:00 [mdrecoveryd]
    11 ? SW 0:02 [kjournald]
    129 ? SW 0:00 [khubd]
    256 ? SW 0:00 [kjournald]
    257 ? SW 0:00 [kjournald]
    701 ? SW 0:00 [eth0]
    782 ? SW 0:00 [eth1]
    868 ? S 0:00 syslogd -m 0
    880 ? S 0:00 klogd
    968 ? S 0:00 /usr/sbin/atd
    988 ? S 0:00 crond
    1008 ? S 0:00 /usr/sbin/sshd
    1133 ttyS0 S 0:00 gpm -t ms
    1314 ? R 0:08 /usr/bin/snort -d -D -i eth0 -p -l /var/log/snort -u
    1319 tty1 S 0:00 /sbin/mingetty tty1
    1320 tty2 S 0:00 /sbin/mingetty tty2
    1321 tty3 S 0:00 /sbin/mingetty tty3
    1322 tty4 S 0:00 /sbin/mingetty tty4
    1323 tty5 S 0:00 /sbin/mingetty tty5
    1324 tty6 S 0:00 /sbin/mingetty tty6
    1399 ? S 0:00 /usr/sbin/sshd
    1401 ? S 0:01 /usr/sbin/sshd
    1402 pts/0 S 0:00 -bash
    1415 pts/0 S 0:00 su
    1416 pts/0 S 0:00 bash
    1675 ? S 0:00 /usr/lib/postfix/master
    1682 ? S 0:00 pickup -l -t fifo -u
    1683 ? S 0:00 qmgr -l -t fifo -u
    1895 ? S 0:00 smbd -D
    1908 ? S 0:00 nmbd -D
    1909 ? S 0:00 nmbd -D
    1951 ? S 0:04 smbd -D
    2043 ? S 0:00 atalkd
    2056 ? S 0:00 papd
    2069 ? S 0:00 afpd -c 50 -n sp
    2147 ? S 0:00 /usr/bin/squid
    2149 ? S 0:00 (squid)
    2150 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
    2151 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
    2152 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
    2153 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
    2154 ? S 0:00 (ncsa_auth) /etc/squid/squid_passwd
    2155 ? S 0:00 (unlinkd)
    2156 ? S 0:00 (pinger)
    2203 ? S 0:01 smbd -D
    2247 ? S 0:00 afpd -c 50 -n sp
    2316 ? S 0:00 smtp -t unix -u
    2318 pts/0 R 0:00 ps ax

  12. #12

    Padrão squid

    Isso é ser o squid, pois você esta fazendo proxy transparente, ou seja todas as requisições que forem para a porta 80 são redirecionadas para a porta 3128 sendo a assim quando de outra maquina você tentar acessar a porta 80 que não tem serviço o iptables ira direcionar para a porta 3128.

    Para testar se é isso mesmo mate o squid, ou retire a regra de redirecionamento do iptables e tente usar o nmap novamente

    Marcelo Pickler

  13. #13
    Hacinn
    Visitante

    Padrão Porta 80 ouvindo sem WebServer?

    Não estou fazendo proxy transparente, a regra do iptables com redirect para a porta 80 esta comentada. Mesmo assim, parei o servico do squid e rodei o nmap, e mesmo assim a porta 80 continua aberta.

  14. #14

    Padrão Porta 80 ouvindo sem WebServer?

    Kra o seu server deve estar em ordem, o problema todo é causado pela sua provedora de internet, que provavelmente possui um cache gigantesco, tipo Telefonica, galera do speedy, quando realiza o nmap -sS -Su -P0 IP_SEU, com certeza ele vai te indicar a porta 80 como aberta, seguinte, entre em contato com sua provedora, pergunta se ela utiliza cache, se for a Telefônica, a resposta já é SIM!!!!!!

    Fallow!

  15. #15

    Padrão Porta 80 ouvindo sem WebServer?

    tente o lsof e veja o que vem.
    de um nmap localhost a principio, a maioria das coisas binda em todas as interfaces e nao e so em uma.