Port scan no ubuntu(muito estranho)

Iniciado por danacrj, 22 de Maio de 2006, 14:05

tópico anterior - próximo tópico
Imprimir
Ir para Fim Páginas1
Ações

danacrj

22 de Maio de 2006, 14:05
Pessoal,
            passei um port scan na minha maquina  e olha a relação de portas que listou, apesar de esta sendo filtrado estou preocupado, instalei o ubuntu a uma semana, como pode aparecer como filtrado essas portas umas ate worms e trojans e portas usadas somente pelo windows. Estou usando o iptables.


22/tcp    open     ssh
111/tcp   filtered rpcbind
135/tcp   filtered msrpc
137/tcp   filtered netbios-ns
138/tcp   filtered netbios-dgm
139/tcp   filtered netbios-ssn
143/tcp   filtered imap
445/tcp   filtered microsoft-d
513/tcp   filtered login
515/tcp   filtered printer
1080/tcp  filtered socks
3128/tcp  filtered squid-http
4444/tcp  filtered krb524
4480/tcp  filtered proxy-plus
6588/tcp  filtered analogx
17300/tcp filtered kuang2
27374/tcp filtered subseven

Alysson Neto

#1
22 de Maio de 2006, 14:09
Da esse comando e cola o resultado nmap -sS -O -P0 -v localhost, tem que rodar como root
"Eu rejeito sua realidade e substituo pela minha" Adam Savage,

danacrj

...
#2
22 de Maio de 2006, 15:07
Segue abaixo a o que ocorreu

root@danac:~# nmap -sS -O -P0 -v localhost

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-05-22 15:04 UTC
Could not determine what interface to route packets through, run again with -e <device>
QUITTING!

Uma das coisas estranhas que vem ocorrendo foi que não funciona o nmap com localhost, eu scaniei de uma maquina remota no trabalho.
Outra o acesso via ssh só funcionou depois que eu criei uma regra no iptables liberando a porta, pois mesmo sem regra nenhuma bloqueava.

danacrj

...
#3
24 de Maio de 2006, 09:28
Quando eu rodo o nmap de uma maquina remota na internet ocorre o problema mostrando todas aquelas portas como filtradasque eu achei estranho, ate mesmo de um site pra testar firewall acusou o mesmo do nmap, porem fiz o que vc falou rodando o nmap local e me mostrou somente a porta 22 que realmente esta aberta .

root@danac:~# nmap -sS -O -P0 -v localhost

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-05-24 09:26 UTC
Initiating SYN Stealth Scan against localhost.localdomain (127.0.0.1) [1663 ports] at 09:26
Discovered open port 22/tcp on 127.0.0.1
Discovered open port 631/tcp on 127.0.0.1
Discovered open port 32770/tcp on 127.0.0.1
The SYN Stealth Scan took 0.13s to scan 1663 total ports.
For OSScan assuming port 22 is open, 1 is closed, and neither are firewalled
Host localhost.localdomain (127.0.0.1) appears to be up ... good.
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1660 ports scanned but not shown below are in state: closed)
PORT      STATE SERVICE
22/tcp    open  ssh
631/tcp   open  ipp
32770/tcp open  sometimes-rpc3
Device type: general purpose
Running: Linux 2.4.X|2.5.X|2.6.X
OS details: Linux 2.5.25 - 2.6.3 or Gentoo 1.2 Linux 2.4.19 rc1-rc7)
Uptime 0.050 days (since Wed May 24 08:14:37 2006)
TCP Sequence Prediction: Class=random positive increments
                        Difficulty=4638985 (Good luck!)
IPID Sequence Generation: All zeros

Nmap finished: 1 IP address (1 host up) scanned in 2.297 seconds
              Raw packets sent: 1677 (67.4KB) | Rcvd: 3364 (136KB)
root@danac:~#

cafecraft

#4
24 de Maio de 2006, 12:29
a regra de bloqueio de portas tem que vir primeiro... depois as demais liberando portas...
[color=red]Assinatura removida conforme a regra 8. O prazo era até 13/02.[/color]

alexandreoz

#5
03 de Junho de 2006, 20:33
Seguinte pessoa, eu rodei o NMAP pra verificar as portas abertas

retornou o seguinte


nmap -sS -O -P0 -v localhost

Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2006-06-03 20:28 BRT
DNS resolution of 0 IPs took 0.00s. Mode: Async [#: 1, OK: 0, NX: 0, DR: 0, SF: 0, TR: 0, CN: 0]
Initiating SYN Stealth Scan against localhost (127.0.0.1) [1674 ports] at 20:28
Discovered open port 22/tcp on 127.0.0.1
Discovered open port 631/tcp on 127.0.0.1
Discovered open port 1241/tcp on 127.0.0.1
Discovered open port 8080/tcp on 127.0.0.1
Discovered open port 3306/tcp on 127.0.0.1
The SYN Stealth Scan took 0.16s to scan 1674 total ports.
For OSScan assuming port 22 is open, 1 is closed, and neither are firewalled
Host localhost (127.0.0.1) appears to be up ... good.
Interesting ports on localhost (127.0.0.1):
(The 1669 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
22/tcp   open  ssh
631/tcp  open  ipp
1241/tcp open  nessus
3306/tcp open  mysql
8080/tcp open  http-proxy
Device type: general purpose
Running: Linux 2.4.X
OS details: Linux 2.4.7 (x86)
TCP Sequence Prediction: Class=random positive increments
                        Difficulty=2956264 (Good luck!)
IPID Sequence Generation: All zeros

Nmap finished: 1 IP address (1 host up) scanned in 2.167 seconds
              Raw packets sent: 1689 (74.824KB) | Rcvd: 3387 (142.824KB)


Ok, ate ai tudo bem, to com o apache na porta 8080, o mysql na 3306, o ssh na 22 e o nessus na 1241
Oq me deixou um pouco assustado foi a aplicação IPP na porta 631.

Eu nao ativei nada, nao sei oq é o IPP.
E rodando o NESSUS ele me da a seguinte msg de vulnerabilidade

admin.cgi was detected on this server.
Shoutcast server installs a version that is vulnerable to a buffer overflow

Solution: upgrade Shoutcast to the latest version
Rick factor: high

Eu nao instalei nada do shoutcast.. sera q tem alguma aplicação utilizando essa porta? qual seria? alguem sabe?
Oq eu deixei instalado q tive q fazer um config foi apenas o no-ip, mas acredito que não seja ele, ele nao usa uma porta de entrada. Se algum souber, me ajuda, obrigado.

e.daniel-ct

#6
04 de Março de 2007, 18:43
Olha so sei p o topico ta morto, mas so tive oportunidade de ler agora, so queria atentar q acredito eu a porta 631 seja para o servidor cups, compartilhamento de impresora ou algo assim, nao tenho serteza, caso esteja errado por favor me digam. obrigado!!

rogeriojlle

#7
08 de Março de 2007, 13:33
estou usando o comando com a  opção "-R", que segundo esse site
http://www.ppgia.pucpr.br/~jamhour/Pessoal/Graduacao/Ciencia/Pratica/nmap.htm
diz que lista os nomes das máquinas, porém só mostra o nome da primeira:

Citarinfo@info-ubuntu:~$  nmap -R 150.162.92.0-255

Starting Nmap 4.10 ( http://www.insecure.org/nmap/ ) at 2007-03-08 13:10 BRT
Interesting ports on 150.162.92.50:
Not shown: 1678 closed ports
PORT    STATE SERVICE
139/tcp open  netbios-ssn

Interesting ports on 150.162.92.58:
Not shown: 1677 closed ports
PORT    STATE SERVICE
135/tcp open  msrpc
139/tcp open  netbios-ssn

Interesting ports on caaq66.caaq.ufsc.br (150.162.92.66):
Not shown: 1675 filtered ports
PORT    STATE SERVICE
80/tcp  open  http
139/tcp open  netbios-ssn
443/tcp open  https
445/tcp open  microsoft-ds
.................
................
e por aí vai

as máquinas em questão estão todas rodando Windows.
Na verdade estou a procura de algum programa que me mostre as máquinas com seu respectivos nomes na rede local, e que tenham determinada porta disponível, acredito que o nmap resolve isso, mas estou com dificuldades em acertar a linha de comando que mostre nomes e ip's.

tentei emular o "softperfect network scanner" < www.softperfect.com >, com o wine, porém sem sucesso
esse é o programa que uso no windows


Imprimir
Ir para Topo Páginas1
Ações