Skanowanie portu....

[Gość: WANDAL]

Firewall z antyvira podskakuje mi kilka razy dziennie ponieważ ktoś skanuje
mi port...pytanie brzmi - jak utrzeć draniowi nosa albo choć pożądnie się
przed nim zabezpieczyć i 3-cie czy firewall to wystarczająca zapora?????
ufff kto zna odpowiedzi?

[Gość: ass]

Uruchom zapore Firewall /Windows XP/,jest juz w Windowsie.
Wystarczy uruchomic.

[Gość: WANDAL]

okej zacznijmy od tego ,że mam win2000 prof nie XP

[Gość: broch]

Mistrzu, tlumaczylem Ci to ze dwa lub trzy razy:
adres w Polsce poskarz sie do admina ISP skad jest IP leasowany. Jesli za
granica, to niz nie zrobisz.
Adres sprzwdzasz przez whois.
Przyczyna moze byc rowniez zle skonfigurowany OS na "skanujacym" komputerze.

Jaki port jest skanowany?

Jeszcze jedno, nikt nie skanuje jenego portu, chyba ze przed zalozeniem
firewall miales tam serwis dostepny z zewnatrz lub trojana (hmm.. tez "serwis")

[Gość: ass]

Mozna jeszcze tak,Zaintaluj DialerControl/za darmo , znajdziesz w Google/.
Pokaze kto to laczy sie i czy chcesz tego polaczenia.

[Gość: WANDAL]

jaki dialer? mam ethernet.kablówka

[Gość: WANDAL]

MIszczu tłumaczyłem,że znam te IP wszystkie zaczynają się tak samo - 81.15.132
lub 81.15..... coś tam coś tam ....to adresy z mojej lokalnej kablówy więc
sprawdzanie przez Whois daje wielkie "g" bo pokazuje mi tylko admina i
operatora przydzielającego zakres tych wyżej wymnienionych adresów!
Nie wiem jaki port jest skanowany a jeśli się dowiem nawet to co to zmienia?
Zanim wpisze adres agresora do mojego skanera i go pogonie to już się
odłącza......co czynić?-przecież nie pójde na skargę do opoeratora...he he?

[Gość: kell]

a co to ci przeszkadza, ze ktos tobie porty przeskanuje? to nie jest w
jakikolwiek sposob problemem dla ciebie, po prostu wylacz durnego firewalla,
albo przynajmniej informowanie o skanowaniu...

[Gość: WANDAL]

Oczywiście wyłącz firewalla ,odinstaluj service packi, i na forum podaj swój
NIP i nr konta w Banku ;)....

[kell99]

tylko co ma skanowanie portow do bezpieczenstwa transmisji? przeciez nie trzeba
skanowac by zobaczyc otwarty port 80 (http), przeciez tego nie zablokujesz, nie
wytniesz na firewallu;)
jezeli jestes taki przewrazliwiony to z pewnoscia pierwsza rzecza ktora
powinienes zrobic to instalacja mozilli. niestety polskie realia sa na tyle
dretwe, ze twoj bank moze nie obslugiwac bezpiecznego oprogramowania;)
ah polska, dziwny kraj;)))

[Gość: broch]

desktop/workstation standalone moze miec zamkniete wszystko ponizej portu 1027.
Nie potrzeba tcp80 aby sie laczyc bo to serwer musi miec otwarty tcp80, nie
workstation.
Jesli idzie o mozilla/firefox to wyedytuj prefs.js i zmien identyfikacje na
Nestcape 6.2 lub IE 6 i to wystarczy do oszukania serwera banku.

[Gość: kell]

hmm, wiec jezeli zamkniesz 80 dla swiata, to jak bedzie wygladac w takim razie
postback z jakiegos serwera?

ja tam nie mam problemow z bankiem, dziala znakomicie, zreszta wg mnie applet
javy to nie bardzo sie w dzisiejszych czasach nadaje do takich rzeczy, zreszta
i tak dzisiaj takie rzeczy robi sie przez .net czy j2ee i dynamicznie generowane
html
a co do zmiany identyfikacji to nie zawsze to przejdzie, na forum mozillpl.org
bylo sporo tego juz.

[Gość: broch]

serwer powinien sie laczyc na tcp80 klient zawsze wysoko obojetne.
Na zadnym workstation nie mam otwartego tcp80. Nie ma potrzeby.
Wdomu nie mam dualboot tylko FBSD, nie mam wiec IE. Do tej pory nie mialem
klopotow z zadnym bankiem.

[Gość: kell]

musisz miec duzo "bankow" ;) mnie tam jeden wystarczy.
firewalla tez nie mam, bo po co mi to?;)

[Gość: broch]

5

[Gość: broch]

a Ty myslales ze co pokaze? Zawsze whois pokazuje blok z adresem admina.
Piszesz. do admina ze sobie nie zyczysz a on zalatwia reszte.
Jak nie wiesz co skanuje, to skad wiesz ze skanuje?

Nie wiesz co za port skanowany: toz tlumacze, jeszcze raz: zaden tzw cracker nie
bedzie skanowal jednego portu. O.K? Kazda sciana mniej prymitywna niz MS produkt
bedzie miala log file z opisem skanowanych portow.
Radze poczytac jak skanowanie wyglada. Jaki sens ma na przyklad skanowanie
mojego box'u na jeden port 445 lub 139 jesli ja windows nie mam. Jesli ktos
skanuje to robi tzw fingerprint. Bazujac na podstawie m.in. (nie tylko)
otwartych portow jest w stanie powiedziec co to z OS. Przeciez nikt nie bedzie
staral sie wlamac na IIS jesli ja mam FreeBSD w domu.
Owszem czasem sie zdarza maniak - wannabie cracker ale z reguly nudzi sie po
chwili. Jak nie chcesz pisac do admina to czego oczekujesz? Ludzie maja
dynamiczne adresy: dzisiaj ten jutro inny. Jak napiszesz do admina to on w
logach znajdzie kto danego dnia o jakiejs godzinie mial specyficzny adres.

Proste. Albo pisz albo wzrusz ramionami (jesli masz firewall).

[e.111]

Gość portalu: broch napisał(a):

>Jak napiszesz do admina to on w
> logach znajdzie kto danego dnia o jakiejs godzinie mial specyficzny adres.

zwłaszcza jeśli ktoś skanował nmap'em z opcją -D albo -S...
;)

[Gość: broch]

to zainstaluj ettercap'a. Nie ma takiego sniffera ktorego nie mozna wykryc.

[Gość: broch]

albo snort. Duzo gorszy (bo laczy sie z portami) ale nez nmap wykryje jest port
sentry.

[Gość: e.111]

Gość portalu: broch napisał(a):
> albo snort. Duzo gorszy (bo laczy sie z portami) ale nez nmap wykryje jest port
> sentry.
...wykryć wykryje,tyle ze z fałszywym IP,a jeśli sobie jeszcze przytym gość MACa
zmieni...

[Gość: broch]

Jestes optymista, radze poczytac wiecej o nmap i snort. Jedyny problem to bedzie
faktyczny OS. Dlatgo z reguly scan przeprowadza kilka osob, nie jedna. Wtedy
mozna to interpretowac jako normale zjawisko w internecie. Ktona MAC zwraca uwage?
Aha z ciekawosci interesujace polskie narzedzie p0f. Poda nawet odleglosc od
atakujacego

[Gość: WANDAL]

oooo! to właśnie tego typu podpowiedzi czy programu szukałem ..po raz kolejny
thanks broch
bo do Admina nie będe pisał...znam go niestety osobiście:(

[netsec]

Gość portalu: broch napisał(a):

> Mistrzu, tlumaczylem Ci to ze dwa lub trzy razy:
> adres w Polsce poskarz sie do admina ISP skad jest IP leasowany. Jesli za
> granica, to niz nie zrobisz.
> Adres sprzwdzasz przez whois.
> Przyczyna moze byc rowniez zle skonfigurowany OS na "skanujacym" komputerze.
>
> Jaki port jest skanowany?
>
> Jeszcze jedno, nikt nie skanuje jenego portu, chyba ze przed zalozeniem
> firewall miales tam serwis dostepny z zewnatrz lub trojana (hmm.. tez "serwis")

To nie są US i u Nas dostawcy na takie e-maile nie reagują ;)

[Gość: WANDAL]

ha ha ha netsec faktycznie nie jsteśmy w US i nawet nie ide z taką prośbą do
operatora bo 1.wyśmieje mnie 2.znam go osobiście i patrz pkt.nr.1
Czytałem natomiast info na temat wglądu do sieci ,uprawnień w RP i okazuje
się ,że w przeciwueństwie własnie do US,Niemiec i innych cywilizowanych krajów
i nas owa ustawa mówi,że nie potrzeba nawet wniosku od prokuratury i taki
delikwent np. z policji musi mieć udostępniony wgląd do przesyłu w sieci nawet
bez udziału właściciela czy operatora sieci!!! - ciekawe co?

[netsec]

Gość portalu: WANDAL napisał(a):

> ha ha ha netsec faktycznie nie jsteśmy w US i nawet nie ide z taką prośbą do
> operatora bo 1.wyśmieje mnie 2.znam go osobiście i patrz pkt.nr.1
> Czytałem natomiast info na temat wglądu do sieci ,uprawnień w RP i okazuje
> się ,że w przeciwueństwie własnie do US,Niemiec i innych
> cywilizowanych krajów i nas owa ustawa mówi,że nie potrzeba nawet wniosku od
> prokuratury i taki delikwent np. z policji musi mieć udostępniony wgląd do
> przesyłu w sieci nawet
> bez udziału właściciela czy operatora sieci!!! - ciekawe co?

Powodzenia ;) jak się uda to daj znać :):)

[Gość: WANDAL]

nie rozumiem co ma się udać? Ja nie zamierzam wykorzystywać kolegów z lokalnej
Policji i mam ogólnie to gdzieś...raczej napisałem to aby "uśmiechnąć" sie do
polskich ustawodawców..,że potrafią stworzyć piękne państwo policyjne.

[netsec]

Gość portalu: WANDAL napisał(a):

> nie rozumiem co ma się udać? Ja nie zamierzam wykorzystywać kolegów
> z lokalnej Policji i mam ogólnie to gdzieś...raczej napisałem to aby
> "uśmiechnąć" sie do polskich ustawodawców..,że potrafią stworzyć piękne
> państwo policyjne.

aaa nie chyba Cię nie doceniam ;)

@ broch

[Gość: e.111]

Widzę, że nie do końca zrozumieliśmy się ;) więc może napiszę trochę
obszerniej i przy okazji jeśli pozwolisz ustosunkuję się "hurtem" do Twoich
wypowiedzi...
>
<broch>
>Dlatgo z reguly scan przeprowadza kilka osob, nie jedna. Wtedy
>mozna to interpretowac jako normale zjawisko w internecie.
>
nmap z opcją -D pozwala ukryć swój właściwy adres wśród wielu innych i
symulować w ten sposób skanowanie z różnych adresów np:
nmap -sX -v IPdocelowe -D IPx,IPy,IPz
i dlatego FW czy inny IDS widzi własnie potem adresy IPx,IPy,TwójIP,IPz które
wyglądają jak źródła skanowania.
natomiast odpalając nmap z opcją -S można sfałszować adres źródłowy skanu np:
nmap -S IPfake -e eth0 -P0 -sS -v IPdocelowe
i wtedy wygląda to jakby źródłem skanu był IPfake.
>
<broch>
> Ktona MAC zwraca uwage?
>
na MAC czyli adresy hardware'owe zwraca uwage(i to szczególną) każdy dobry
administrator w swojej sieci, gdyż pozwala mu to uniknąć wielu niespodzianek..
>
<broch>
>to zainstaluj ettercap'a.
>
bawić się ettercapem można jedynie w "amatorskich" sieciach osiedlowych.W
dobrze administrowanej sieci,z odpowiednimi urządzeniami(manageable switches)
które mają oddzielne tabele MAC na każdy port i odłączających go przy
próbie przepełnienia wewnętrznego bufora(ARP poisoning) oraz odpowiednią
security policy(pojedyńczy MAC przypisany do odpowiedniego portu) można o
ettercapie i snifferach zapomnieć...
>
<broch>
>Nie ma takiego sniffera ktorego nie mozna wykryc
>
otóż żeby wykryć w sieci kartę znajdującą się w promiscuous mode trzeba
przechwycić chociaż jeden pakiet(ramkę) przez nią wysyłaną.Jeśli WS z daną
kartą tylko nasłuchuje filtrując przychodzący traffic (outbound jest zablokowany) i nic nie
wysyła i nie odpowiada na żądania z sieci,dosyć trudno ;) ją wykryć...

rgds::E111

[Gość: broch]

mozemy sie tak przerzucac co mozna a co nie mozna. nmapa ze switchem -D tez
To co mowisz to jest dosc teoretyczne.
Innymi slowy nikt przy zdrowych zmyslach, jesli chce atakowac, nie instaluje
nmapa na wlasnym komputerze. Mowie o instalacji programu, nie o opcji -D.
Wtedy, to jest zeczywiscie trudne do wykrycia
Nie przekrecaj tego co piewiedzialem: MAC adres moze byc nieprawdziwy, dlatego
nikt przy zdrowych zmyslach nie bedzie sugerowal sie Medial Access Control.

"Bezpieczny" sniffing to nieco wuecej niz nmap -D

[Gość: e.111]

Gość portalu: broch napisał(a):
> To co mowisz to jest dosc teoretyczne.
Dobra ;)nie będziemy się licytować...
> Innymi slowy nikt przy zdrowych zmyslach, jesli chce atakowac, nie instaluje
> nmapa na wlasnym komputerze.
Hmm,nie wiedziałem że nmap'em można kogoś zaatakować , chyb a że przy pomocy
ping flooding<LOL>
> "Bezpieczny" sniffing to nieco wuecej niz nmap -D
Nie wiedziałem też że nmap umie przechwytywac/podsłuchiwać pakiety w sieci :P
No cóż, człowiek całe życie się uczy...
:)

rgds::E111

[Gość: broch]

Jesli scan jest czescia czyichs niecnych zamiarow to jest czescia ataku. W
zwiazku z czym nmap moze byc czescia ataku. Gdzie napisalem ze nmap sluzy do
DDOS czy czegos takiego? Masz niezwykla tendencje do nadinterpretacji. Nie ma
idealnej metody obrony czy ataku (o.k. bezkarnego skanowania).

[Gość: e.111]

...mam skrzywienie zawodowe...
;)))

pozdrawiam::E111

[Gość: dominik666]

Vulnerabilities - 1

High security vulnerabilities - 1

Miscellaneous vulnerabilities - 1
Remote OpenSSH Vulnerability
A remotely exploitable vulnerability exists in OpenSSH prior to version 3.3
(Version 3.3 is affected only if UsePrivilegeSeparation is disabled)
5093

;B

TCP ports - 4 open ports
389 [ LDAP => Light Directory Access Protocol ]
21 [ FTP => File Transfer Protocol ]
22 [ SSH => Remote Login Protocol ]
53 [ Domain => Domain Name Server ]

pełen scan 65550 portów jest dosyć powolny ... to że jakiś jest otwarty nic nie
znaczy - za nim musi być jakiś service np. trojan z defaultowym hasłem :)

ups ... to nie powinno być odostępnione :) ? 81.15.132.9/doc//

ps. wasze servery są dosyć dobrze zabezpieczone (wszystkie na linuxie)
pozdrawiam szczecinek :) i waszą televizje

[Gość: WANDAL]

Dominik to "sztuczka" na poziomie pralki frani -dorwałeś się do PUB-u i
co...tylko na tyle cię stać? - tam może wejść każdy patrząć na moje IP i
posiadając marny programik np.total commander z FTP :(

[Gość: dominik666]

Gość portalu: WANDAL napisał(a):

> Dominik to "sztuczka" na poziomie pralki frani -dorwałeś się do PUB-u i
> co...tylko na tyle cię stać? - tam może wejść każdy patrząć na moje IP i
> posiadając marny programik np.total commander z FTP :(

skanowanie portów to żadna "sztuczka" a total commander nic z tym nie ma
wspólnego ...

skanowanie portów polega na sprawdzaniu jakie servisy są im przyporzadkowane

np . IP Address : 81.15.132.3
Operating System : probably Unix
Time to live (TTL) : xxxxxxxxxxxxxx
Open Ports (5)
21 [ Ftp => File Transfer Protocol ]
22 [ Ssh => Remote Login Protocol ]
SSH-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1.woody.3
25 [ Smtp => Simple Mail Transfer Protocol ]
220 w3cache2.gawex.pl ESMTP
3128 [ Proxy/Socks ]
389 [ LDAP => Light Directory Access Protocol

i to nic nie ma wspólnego z jakimś "hakierstwem"

[Gość: WANDAL]

wybacz niedoceniłem cię. :) 62.87.137.? ;)

[Gość: dominik666]

Gość portalu: WANDAL napisał(a):

> wybacz niedoceniłem cię. :) 62.87.137.? ;)

i co to ma być ? mój IP ? :)

www.senderbase.org/search?searchString=wroclaw.dialog.net.pl+ zgadnij
który :) podałeś pierwszy od góry czy dołu ?

[Gość: WANDAL]

żaden nie ma tam ... .62,87,137, i np 105 :) i wcale nie powiedziałem
przecież,że to twoje IP:)

[broch]

...dlatego lepiej nie grzebac:
blok
xxx.30.128.0/20
lub
xxx.30.128.0 - xxx.30.153.255
zakladajac ze widoczny adres jest prawdziwy. Teraz wylacz DNS, www, mail i moze
ftp. I cala reszta zawiera tez adres dominika666

Poczatku nie podaje, nikt o to nie prosil (jak chcesz to sam znajdz). Nie mniej
to jest banalnie proste i nie ma nic wspolnego z "crackersami".

[Gość: dominik666]

> ...dlatego lepiej nie grzebac:
> blok
> xxx.30.128.0/20
> lub
> xxx.30.128.0 - xxx.30.153.255
> zakladajac ze widoczny adres jest prawdziwy. Teraz wylacz DNS, www, mail i
moze
> ftp. I cala reszta zawiera tez adres dominika666
>
> Poczatku nie podaje, nikt o to nie prosil (jak chcesz to sam znajdz). Nie
mniej
> to jest banalnie proste i nie ma nic wspolnego z "crackersami".

pudło ... :)

HINT - szukasz odresów przydzielanych modemowcom ... myślisz że mam łącze
modemowe .. ?

xxx.30.128.0 - xxx.30.153.255 no ... powinno się w to wliczyć OD 81.0.0.1 do
81.255.255.255 ... miłej zabawy :)

ps. mój komputer nazywa się "server-diabła" :)

[Gość: broch]

podalem zakres dla wroclaw.dialog.net.pl - to co w naglowku
Nie mam pojecia jakie masz polaczenie. Tak jak Ty nie wiesz jakie ja mam: T3,
T1, DSL, kabel czy satelita. Na podstawie czastkowego adresu i tak nie
dojdziesz jaki jest moj prawdziwy. To znaczy jak chcesz to sproboj. Znajdziesz
ewentualnie serwery i to wszystko.

[Gość: dominik666]

Gość portalu: broch napisał(a):

> podalem zakres dla wroclaw.dialog.net.pl - to co w naglowku
> Nie mam pojecia jakie masz polaczenie. Tak jak Ty nie wiesz jakie ja mam: T3,
> T1, DSL, kabel czy satelita. Na podstawie czastkowego adresu i tak nie
> dojdziesz jaki jest moj prawdziwy. To znaczy jak chcesz to sproboj.
Znajdziesz
> ewentualnie serwery i to wszystko.

MCG/MCGH I Internet....This is private system operated for and by the Medical
College of Georgia. Authorization from MCG/MCGHI management is ired to
use..this system. Use by unauthorized persons is prohibited...
....User Access
Verification....
Password:
<-----

[Gość: broch]

to nie zadna sztuka. Zaden z IP reszta nie jest moj he he a jak powiedzialem
znajdziesz kilka serwerow i to wszystko. Mnie sie nie chce nawet szukac ktore
adresy sa w Polsce "przydzielane modemowcom" a ktore ISDN czy tez DSL.