|
Может конечно и бред... Но помойму у тебя инфпрмации слишком мало, чтоб делать такие заключения. Наблюдаю за сервом уже дней 5, раньше портов было открыто в 2 раза меньше.
Там дыр немерено... Помойму прост ктото вместе со мной там обитает... Вот зацените- 21/tcp open ftp 22/tcp open ssh 25/tcp filtered smtp 42/tcp filtered nameserver 80/tcp open http 81/tcp filtered hosts2-ns 111/tcp filtered rpcbind 135/tcp filtered msrpc 137/tcp filtered netbios-ns 139/tcp filtered netbios-ssn 389/tcp filtered ldap 445/tcp filtered microsoft-ds 513/tcp open login 514/tcp open shell 636/tcp filtered ldapssl 1001/tcp filtered unknown 1022/tcp filtered unknown 1023/tcp filtered netvenuechat 1025/tcp filtered NFS-or-IIS 1080/tcp open socks 1433/tcp filtered ms-sql-s 2049/tcp filtered nfs 2766/tcp filtered listen 3128/tcp filtered squid-http 3268/tcp filtered globalcatLDAP 3269/tcp filtered globalcatLDAPssl 4045/tcp open lockd 4444/tcp filtered krb524 5800/tcp filtered vnc-http 5900/tcp filtered vnc 6667/tcp open irc 8080/tcp open elit 32776/tcp open sometimes-rpc15 32778/tcp open sometimes-rpc19 32779/tcp open sometimes-rpc21 32780/tcp open sometimes-rpc23 54320/tcp open bo2k Еще портов 5 открыто было... Почему ты думашь, что сканер ошибся? |
Bac9l
Судя по портам - там windows. А что пишет веб-шелл рст? Если какой-то unix - то вполне возможно, что это honeypot. |
2Bac9l
попробуй утилиту amap от THC, оредели баннеры сервисов, также отсканируй nmap c опциями -sV -O -vvv и отпишись здесь. Если это FreeBSD-сервер с таким количеством открытых портов, форумной репутацией бьюсь об заклад, что это подсава в виде honeypot. Цитата:
Цитата:
Цитата:
|
Про 5.4-RELEASE FreeBSD эт не я говорил... Серв на SunOS 5.10 Generic точно.
Вот че нмап сказал- Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2007-03-10 01:12 MSK Initiating SYN Stealth Scan against aux-209-217-33-203.oklahoma.net (209.217.33.203) [1663 ports] at 01:12 Discovered open port 22/tcp on 209.217.33.203 Discovered open port 80/tcp on 209.217.33.203 Discovered open port 21/tcp on 209.217.33.203 Discovered open port 32780/tcp on 209.217.33.203 Discovered open port 514/tcp on 209.217.33.203 Increasing send delay for 209.217.33.203 from 0 to 5 due to 39 out of 128 dropped probes since last increase. Discovered open port 32779/tcp on 209.217.33.203 SYN Stealth Scan Timing: About 29.13% done; ETC: 01:13 (0:01:13 remaining) Discovered open port 4045/tcp on 209.217.33.203 Discovered open port 32778/tcp on 209.217.33.203 Discovered open port 32776/tcp on 209.217.33.203 The SYN Stealth Scan took 75.38s to scan 1663 total ports. Initiating service scan against 9 services on aux-209-217-33-203.oklahoma.net (209.217.33.203) at 01:13 The service scan took 5.84s to scan 9 services on 1 host. Initiating RPCGrind Scan against aux-209-217-33-203.oklahoma.net (209.217.33.203) at 01:13 The RPCGrind Scan took 287.47s to scan 5 ports on aux-209-217-33-203.oklahoma.net (209.217.33.203). For OSScan assuming port 21 is open, 1 is closed, and neither are firewalled Host aux-209-217-33-203.oklahoma.net (209.217.33.203) appears to be up ... good. Interesting ports on aux-209-217-33-203.oklahoma.net (209.217.33.203): (The 1631 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION 21/tcp open ftp ProFTPD 1.3.0a 22/tcp open ssh SunSSH 1.1 (protocol 2.0) 25/tcp filtered smtp 42/tcp filtered nameserver 80/tcp open http Apache httpd 81/tcp filtered hosts2-ns 111/tcp filtered rpcbind 135/tcp filtered msrpc 137/tcp filtered netbios-ns 139/tcp filtered netbios-ssn 389/tcp filtered ldap 445/tcp filtered microsoft-ds 514/tcp open shell? 636/tcp filtered ldapssl 1001/tcp filtered unknown 1022/tcp filtered unknown 1023/tcp filtered netvenuechat 1025/tcp filtered NFS-or-IIS 1433/tcp filtered ms-sql-s 2049/tcp filtered nfs 2766/tcp filtered listen 3128/tcp filtered squid-http 3268/tcp filtered globalcatLDAP 3269/tcp filtered globalcatLDAPssl 4045/tcp open nlockmgr 1-4 (rpc #100021) 4444/tcp filtered krb524 5800/tcp filtered vnc-http 5900/tcp filtered vnc 32776/tcp open metad 1-2 (rpc #100229) 32778/tcp open rpc.unknown 32779/tcp open rpc.metamedd 1 (rpc #100242) 32780/tcp open rpc Device type: general purpose Running: Sun Solaris 9 OS details: Sun Solaris 9 OS Fingerprint: TSeq(Class=RI%gcd=2%SI=23F27%IPID=I%TS=100HZ) T1(Resp=Y%DF=Y%W=C0B7%ACK=S++%Flags=AS%Ops=NNTMNW) T2(Resp=N) T3(Resp=N) T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=) T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=) T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=) T7(Resp=N) PU(Resp=Y%DF=Y%TOS=0%IPLEN=70%RIPTL=148%RID=E%RIPC K=E%UCK=F%ULEN=134%DAT=E) Uptime 31.955 days (since Tue Feb 6 02:22:45 2007) TCP Sequence Prediction: Class=random positive increments Difficulty=147239 (Good luck!) TCP ISN Seq. Numbers: 9E182FF0 9E26F16A 9E2D6746 9E34CDAE 9E46CB3A 9E4FAE7C IPID Sequence Generation: Incremental Nmap finished: 1 IP address (1 host up) scanned in 373.539 seconds Raw packets sent: 2182 (87.6KB) | Rcvd: 1665 (66.9KB) IRC и соксы исчезли) ну и еще че-то |
Bac9l
Ты сказал, у тебя веб-шелл. Покажи вывод команды uname -a |
SunOS jupiter 5.10 Generic_118833-33 sun4u sparc SUNW,Ultra-Enterprise.
Днем там еще телнет открыт был. Не подскажешь, где webmin пароли хранит? |
Читай конфиг - /etc/webmin/miniserv.conf
Там указано, какие пароли он использует - из файла /etc/webmin/miniserv.users или /usr/local/etc/webmin/miniserv.users, либо системную авторизацию unix /etc/shadow. |
К /etc/webmin/ доступ закрыт, к /var/webmin/ тоже, есть ток /opt/webmin/ а там как я понял только скрипты.
|
Без рута ты их не прочитаешь.
|
Цитата:
telnet -l "-froot" <ip> Видимо, пока он был открыт - кто-то влез в неё, админ, обнаружив это, снёс демон in.telnetd и удалил весь срач, который оставил нерадивый хаксор. Хотя это мог и быть червь, который специально создан под данную уязвимость: Цитата:
Цитата:
|
| Время: 00:35 |