פורסם: 12/05/2012 - 14:03
נושא ההודעה: מנסח מחדש את הבעייה: פורט 520 מגיב לניסיון התחברות מבחוץ
|
|
"הזמנתי" סריקת מקוונת של פורטים (0-1055) במחשב שלי באמצעות אתר חיצוני grc.com
כל הפורטים נמצאו stealth חוץ מפורט 520 - closed.
הפלט בדיקה שקבלתי
Solicited TCP Packets: RECEIVED (FAILED) — As detailed in the port report below, one or more of your system's ports actively responded to our deliberate attempts to establish a connection. It is generally possible to increase your system's security by hiding it from the probes of potentially hostile hackers.
מהתגובות כאן הבנתי שאין מה לחשוב על סוג של וירוס/backdoor/רוגלה או איך שקוראים לזה,
כי "אין כאלה בלינוקס"
שורה תחתונה: הבדיקה נכשלה
נא עצתכם - מה אני עושה הלאה ?
|
|
|
| חזרה לתוכן הדיון |
פורסם: 12/05/2012 - 14:48
נושא ההודעה:
|
|
החשיבה שלך לא נכונה. והסריקה מבחוץ, אינה בהכרח מראה מה קיים אצלך במערכת.
נגיד ואתה עובר איזשהו נתב, והפורט שמתגלה הוא שלו, אז זה לא אמור להשפיע עלייך במחשב שלך.
במידה וזה פיזית במחשב שלך (ולא אפילו המודם שאתה מתחבר דרכו), במידה ושום דבר לא מגיב בפורט שנראה על פניו פתוח, אז אין לך בעיה, כי הפורט לא באמת פעיל, וצריך להבין האם פנימית הוא פתוח או לא.
במידה והוא כן פתוח, אבל לא מגיב (אולי לא מגיב כי מצפה למשהו מסויים וכל דבר שהוא לא זה, הוא לא מגיב אליו), צריך לגלות מה הפרוסס שפותח את הפורט ואז להחליט האם צריך אותו או לא.
אם הפרוסס לא נחוץ, ואינו מוכר, אולי זה ווירוס, רוגלה, או rootkit כלשהו.
זה לא אומר שזה זה, זה רק מעלה את הייתכנות לזה. ומי שאמור שאין rootkit ללינוקס, לא יודע על מה הוא מדבר. זה פשוט לא כזה נפוץ, וזה משהו אחר.
תתחיל להבין מה פותח אצלך את הפורט, במידה וזה באמת אצלך, ואז תהיה חכם יותר ויהיו לך כלים להבין במה מדובר.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 12/05/2012 - 15:11
נושא ההודעה: מי פותח את הפורט?
|
|
אתה צריך לדעת קודם כל מי פותח את הפורט. כבה את כל המחשבים בבית, בצע סריקה מבחוץ. אם הפורט פתוח - אז זה לא אחד המחשבים.
אם הדבר היחיד שדולק זה הנתב, ברר עם הספק של הנתב מדוע הפורט פתוח ואיך סוגרים אותו (אתה גם יכול לחפש בגוגל, את הנתב ומספר הפורט ולראות מה אחרים כותבים על זה).
|
|
|
| חזרה לתוכן הדיון |
פורסם: 12/05/2012 - 15:12
נושא ההודעה:
|
| ציטוט: |
מי שאמור שאין rootkit ללינוקס, לא יודע על מה הוא מדבר. זה פשוט לא כזה נפוץ, וזה משהו אחר.
|
משהו אחר כלומר לא ווירוס רוגלה או איזשהי תוכנה שהותקנה אצלך מבלי שידעת.
לשואל אין שום קשר בין סריקת פורטים לווירוסים או לפחות לא קשר ישיר.
כדי לדעת מה הפורטים הפתוחים אצלך במערכת תקליד netstat -tcp.
מן הסתם תראה שם הרבה מאוד פורטים פתוחים אף אחד מהם לא ווירוס.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 12/05/2012 - 19:13
נושא ההודעה:
|
| Anonymous : | | ציטוט: |
מי שאמור שאין rootkit ללינוקס, לא יודע על מה הוא מדבר. זה פשוט לא כזה נפוץ, וזה משהו אחר.
|
משהו אחר כלומר לא ווירוס רוגלה או איזשהי תוכנה שהותקנה אצלך מבלי שידעת.
לשואל אין שום קשר בין סריקת פורטים לווירוסים או לפחות לא קשר ישיר.
כדי לדעת מה הפורטים הפתוחים אצלך במערכת תקליד netstat -tcp.
מן הסתם תראה שם הרבה מאוד פורטים פתוחים אף אחד מהם לא ווירוס. |
או שהוא הוריד מאיזה אתר קקיוני במקום המאגר הרשמי, או שהמערכת מאוד ישנה וניצלו פרצה מסויימת עצלה ודרכה חדרו למחשב, והרבה מאוד אפשרויות אחרות.
זה לא שאין באגים בתוכנות השייכות ללינוקס, או בקרנל עצמו אפילו.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 13/05/2012 - 07:07
נושא ההודעה:
|
| ik_5 : | | Anonymous : | | ציטוט: |
מי שאמור שאין rootkit ללינוקס, לא יודע על מה הוא מדבר. זה פשוט לא כזה נפוץ, וזה משהו אחר.
|
משהו אחר כלומר לא ווירוס רוגלה או איזשהי תוכנה שהותקנה אצלך מבלי שידעת.
לשואל אין שום קשר בין סריקת פורטים לווירוסים או לפחות לא קשר ישיר.
כדי לדעת מה הפורטים הפתוחים אצלך במערכת תקליד netstat -tcp.
מן הסתם תראה שם הרבה מאוד פורטים פתוחים אף אחד מהם לא ווירוס. |
או שהוא הוריד מאיזה אתר קקיוני במקום המאגר הרשמי, או שהמערכת מאוד ישנה וניצלו פרצה מסויימת עצלה ודרכה חדרו למחשב, והרבה מאוד אפשרויות אחרות.
זה לא שאין באגים בתוכנות השייכות ללינוקס, או בקרנל עצמו אפילו. |
לא אמרתי שאין. אמרתי שאין ווירוסים ללינוקס. יש פרצות אבטחה אבל אתה מערבב בין מערכת לשימשו ביתי ובין שרתים שהפגיעות שלהם מטבע הדברים הרבה יותר גדולה. במערכת ביתית שאין שום שרותים חיצונים גם אין ווירוסים.
לגבי התקנות ממאגרים לא רשמיים זה לא דבר כזה שכיח וגם אם עושים את זה לא אומר שזה רוגלה.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 13/05/2012 - 11:11
נושא ההודעה: האם פירמוט של המחשב+התקנה מחדש מע' הפעלה+reset לראוטר
|
|
יכולים להביא את פורט 520 למצב של שאר הפורטים (stealth)
|
|
|
| חזרה לתוכן הדיון |
פורסם: 13/05/2012 - 12:08
נושא ההודעה: Re: האם פירמוט של המחשב+התקנה מחדש מע' הפעלה+reset לראוטר
|
| פותח השירשור : | | יכולים להביא את פורט 520 למצב של שאר הפורטים (stealth) |
אולי, ואולי לא.
כל עוד אתה לא יודע מה מקור הבעיה - זה עלול לחזור. בין אם הפורט פתוח בראוטר, ובין אם זה במחשב.
עשית את הבדיקה שרם און הציע? כל': כיבוי כל המחשבים, ובדיקת פורטים חיצונית? מה היתה התוצאה? קריטי לדעת תשובה על שאלה זו כדי לראות כיצד להתקדם. במילים אחרות, לא תוכל להתקדם (ופירמוט לא נקרא להתקדם) בפיתרון הבעיה אם לא תבודד אותה.
באופן כללי, פרמוט איננו מומלץ ב 99% מהמקרים. הוא פשוט לא פותר כלום.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 14/05/2012 - 00:33
נושא ההודעה: Re: מי פותח את הפורט?
|
| רם און : | אתה צריך לדעת קודם כל מי פותח את הפורט. כבה את כל המחשבים בבית, בצע סריקה מבחוץ. אם הפורט פתוח - אז זה לא אחד המחשבים.
אם הדבר היחיד שדולק זה הנתב, ברר עם הספק של הנתב מדוע הפורט פתוח ואיך סוגרים אותו (אתה גם יכול לחפש בגוגל, את הנתב ומספר הפורט ולראות מה אחרים כותבים על זה). |
רם און:
א. אני משתמש במחשב אחד וראוטר
ב. בבקשה תסביר בכמה מילים איך עושים "סריקה מבחוץ" - תצורה, תוכנה וכו
|
|
|
| חזרה לתוכן הדיון |
פורסם: 14/05/2012 - 01:42
נושא ההודעה:
|
|
בדיוק כפי שעשית את הבדיקה הקודמת, רק מרשת אחרת.
תבדוק מהו ה ip החיצוני שלך (לדוג', ב: myip.dk), ותבקש סריקת פורטים עליו, כשהמחשב מכובה.
אם הפורט עדיין פתוח, ז"א שאין שום בעיה במחשב (אדרבה, הוא כנראה מאחרוי הפיירוול של הנתב), אלא בנתב.
במצב כזה, יש לבדוק את כל ההגדרות של הנתב, איזו תכונה פותחת פורט זה.
אם המצב הוא שהפורט סגור, ז"א שהנתב מפנה את הפורט הזה למחשב.
הפיתרון הוא אחד משניים: סגירת הפורט בנתב, או מציאת התהליך ה"סורר" שמאזין לפורט במחשבך.
כמובן שהאידיאלי הוא לעשות את שניהם, אבל אפילו אחד מהם מספיק.
בקיצור - בצע וחזור לדווח.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 14/05/2012 - 05:51
נושא ההודעה:
|
|
מה שבדקת מבפנים זה לא מה שנכון מבחוץ .
1<אתה צריך לבדוק מבחוץ פורט זה לפי ה ip החיצוני כאשר המחשב כבוי (ואתה ממחשב אחר)
2. לעשות את אותה בדיקה שהמחשב דולק .
3. לעשות בדיקה מבפנים שהמחשב דולק מן הסתם
-> להשוות
רוב הסיכויים שם אם פורט פתוח מבפנים הוא סגור כלפי חוץ .
|
|
|
| חזרה לתוכן הדיון |
פורסם: 14/05/2012 - 09:07
נושא ההודעה: בתור התחלה, ניסיתי (מחשבון רוט) לעשות את הבדיקה netstat -tcp
|
|
הפלט שקבלתי -
לופ חוזר של הפלט הבא:
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
לי זה נראה כמו: "יש סטרטר אבל הקרבורטור סתום"
............
אני אלמד את ההנחיות לבדיקה שהצעתם בתגובות האחרונות
למי שמתמצא - הדברים כנראה פשוטים וברורים
|
|
|
| חזרה לתוכן הדיון |
פורסם: 14/05/2012 - 09:48
נושא ההודעה:
|
|
אתה צודק לגמרי אין שום active connections. כלומר אין חיבורים פעילים.
כדי לראות איזה פורטים פתוחים אצלך במחש(tcp ו - upd) הקש:
netstat -lnput
ואתה לא צריך חשבון רוט אתה יכול להשתמש ב- sudo.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 14/05/2012 - 14:54
נושא ההודעה: ממשיך לטחון
|
| Anonymous : | בדיוק כפי שעשית את הבדיקה הקודמת, רק מרשת אחרת.
תבדוק מהו ה ip החיצוני שלך (לדוג', ב: myip.dk), ותבקש סריקת פורטים עליו, כשהמחשב מכובה.
אם הפורט עדיין פתוח, ז"א שאין שום בעיה במחשב (אדרבה, הוא כנראה מאחרוי הפיירוול של הנתב), אלא בנתב. במצב כזה, יש לבדוק את כל ההגדרות של הנתב, איזו תכונה פותחת פורט זה.
אם המצב הוא שהפורט סגור, ז"א שהנתב מפנה את הפורט הזה למחשב.
הפיתרון הוא אחד משניים: סגירת הפורט בנתב, או מציאת התהליך ה"סורר" שמאזין לפורט במחשבך.
כמובן שהאידיאלי הוא לעשות את שניהם, אבל אפילו אחד מהם מספיק.
בקיצור - בצע וחזור לדווח. |
ברשותך כמה קושיות:
1. כתובת ip של המחשב שלי מהאינטרנט זה בעצם ip של הראוטר. נכון ?
2. מחשב כבוי פירושו = סריקה מאתר חיצוני בודקת את הפורטים של הראוטר. נכון ?
3. איך אני "מזמין" סריקת פורטים מאתר חיצוני אם כיביתי את המחשב לצורך הסריקה ?
4. הסריקות שכבר עשיתי עד עכשיו - עם מחשב דולק - בדקו את הפורטים של הראוטר. נכון ?
5. מה זה המונח של "פורט פתוח" ? חשבתי שהבעייה היא "תהליך סורר" שמאזין מעבר לפורט
6. המשפט "איזו תכונה פותחת פורט זה" - מתייחס "לתהליך הסורר" (שמאזין לפורט) ?
7. האם "פורט פתוח" זה א. פורט שלא חסום ע"י firewall או ב. יש בו "תהליך סורר" ?
טוב, נראה לי שקצת נסחפתי עם השאלות
תודה למי שקרא
ולמי שנשאר כח להגיב
|
|
|
| חזרה לתוכן הדיון |
פורסם: 14/05/2012 - 15:36
נושא ההודעה:
|
שותך כמה קושיות:
1. כתובת ip של המחשב שלי מהאינטרנט זה בעצם ip של הראוטר. נכון ?
יש כתובות פנימיות (רשת ביתית) אלו כתובות שהנתב מחלק בתוך הרשת
לדוגמה 10.0.0.1 192.168.2.1
כדי לבדוק את הכתובת הפנימית שלך אפשר עם ifconfig
לדוגמה אצלי הכתובת 192.168.1.102 שמוצגת
כדי לבדוק את ה ip החיצוני שלך
אפשר להכנס ולכתוב ב google my ip
http://www.whatismyip.com
לדוגמה מציג
87.69.170.221
192.168.1.102 פנימי (מחשב מול התקנים פנים ביתיים או פנים ארגוניים)
חיצוני כתובת אינטרנט אמיתי 87.69.170.221
2 . מחשב כבוי פירושו = סריקה מאתר חיצוני בודקת את הפורטים של הראוטר. נכון ?
לא, הכוונא לסרוק את הכתובת החיצונית לדוגמה לסרוק עם סורק פרטים את 87.69.170.221
שהמחשב כבוי הכוונה ללכת למחשב אחר הרשת אחרת לדוגמה (בית של חבר או ידידה שלך)
ולסרוק את את הכתובת שלך 87.69.170.221
יש לעשות את זה בשני דרכים
1. שהמחשב שלך עובד פעיל
2. שהמחשב שלך מכובה .
יש לשים לב הכתובת החיצונית (87.69.170.221 ) היא כתובת שקיימת כל עוד המודם והנתב פעילים ולא היה נתק כלשהו הספק אינטרנט מקצה כל פעם כתובת אחרת דרך dhcp
3. איך אני "מזמין" סריקת פורטים מאתר חיצוני אם כיביתי את המחשב לצורך הסריקה ?
אתה לא מזמין שום סריקה מאתר . אתה פשוט סורק את הכתובת ממחשב אחר שהוא מחוץ לרשת שלך . אם יש פורט פתוח ברשת שלך בנתב ואתה סורק מאותה רשת\נתב\מחשב סביר שתראה שהוא פתוח ולפעמים הוא פתוח רק פנימה .
ולכן אתה צריך לסרוק את הרשת שלך ממחשב אחר שמחובר לנתב אחר שמחובר לקו אינטרנט אחר
4. הסריקות שכבר עשיתי עד עכשיו - עם מחשב דולק - בדקו את הפורטים של הראוטר. נכון ?
לא יודע מה סרקת ואיך .
5. מה זה המונח של "פורט פתוח" ? חשבתי שהבעייה היא "תהליך סורר" שמאזין מעבר לפורט
תהליך \שרות יכול לפתוח פורטים אך לא רק ...
6. המשפט "איזו תכונה פותחת פורט זה" - מתייחס "לתהליך הסורר" (שמאזין לפורט) ?
7. האם "פורט פתוח" זה א. פורט שלא חסום ע"י firewall או ב. יש בו "תהליך סורר" ?
|
|
|
| חזרה לתוכן הדיון |
פורסם: 14/05/2012 - 16:50
נושא ההודעה: התשובות - קרש קפיצה מצויין. אני אנסה להפיק את המקסימום
|
| Anonymous : | שותך כמה קושיות:
1. כתובת ip של המחשב שלי מהאינטרנט זה בעצם ip של הראוטר. נכון ?
יש כתובות פנימיות (רשת ביתית) אלו כתובות שהנתב מחלק בתוך הרשת
לדוגמה 10.0.0.1 192.168.2.1
כדי לבדוק את הכתובת הפנימית שלך אפשר עם ifconfig
לדוגמה אצלי הכתובת 192.168.1.102 שמוצגת
כדי לבדוק את ה ip החיצוני שלך
אפשר להכנס ולכתוב ב google my ip
http://www.whatismyip.com
לדוגמה מציג
87.69.170.221
192.168.1.102 פנימי (מחשב מול התקנים פנים ביתיים או פנים ארגוניים)
חיצוני כתובת אינטרנט אמיתי 87.69.170.221
2. מחשב כבוי פירושו = סריקה מאתר חיצוני בודקת את הפורטים של הראוטר. נכון ?
לא, הכוונא לסרוק את הכתובת החיצונית לדוגמה לסרוק עם סורק פרטים את 87.69.170.221
שהמחשב כבוי הכוונה ללכת למחשב אחר הרשת אחרת לדוגמה (בית של חבר או ידידה שלך)
ולסרוק את את הכתובת שלך 87.69.170.221
יש לעשות את זה בשני דרכים
1. שהמחשב שלך עובד פעיל
2. שהמחשב שלך מכובה .
יש לשים לב הכתובת החיצונית (87.69.170.221 ) היא כתובת שקיימת כל עוד המודם והנתב פעילים ולא היה נתק כלשהו הספק אינטרנט מקצה כל פעם כתובת אחרת דרך dhcp
3. איך אני "מזמין" סריקת פורטים מאתר חיצוני אם כיביתי את המחשב לצורך הסריקה ?
אתה לא מזמין שום סריקה מאתר . אתה פשוט סורק את הכתובת ממחשב אחר שהוא מחוץ לרשת שלך . אם יש פורט פתוח ברשת שלך בנתב ואתה סורק מאותה רשת\נתב\מחשב סביר שתראה שהוא פתוח ולפעמים הוא פתוח רק פנימה .
ולכן אתה צריך לסרוק את הרשת שלך ממחשב אחר שמחובר לנתב אחר שמחובר לקו אינטרנט אחר
4. הסריקות שכבר עשיתי עד עכשיו - עם מחשב דולק - בדקו את הפורטים של הראוטר. נכון ?
לא יודע מה סרקת ואיך .
5. מה זה המונח של "פורט פתוח" ? חשבתי שהבעייה היא "תהליך סורר" שמאזין מעבר לפורט
תהליך \שרות יכול לפתוח פורטים אך לא רק ...
6. המשפט "איזו תכונה פותחת פורט זה" - מתייחס "לתהליך הסורר" (שמאזין לפורט) ?
7. האם "פורט פתוח" זה א. פורט שלא חסום ע"י firewall או ב. יש בו "תהליך סורר" ? |
|
|
|
| חזרה לתוכן הדיון |
פורסם: 14/05/2012 - 20:54
נושא ההודעה: הדרך לסרוק פורטים מבחוץ
|
תוכנה חביבה ללינוקס (בטח גם יש לחלונות, למי אכפת  בשם nmap מאפשרת לסרוק פורטים מבחוץ.
כנס לאתר whatismyip.com וברר את הכתובת של ברשת.
לך לחבר עם livecd, התקן עליו nmap
sudo apt-get install nmap
סרוק את הפורט באמצעות
nmap -v YOUR_IP_ADRESS
אני מאוד מאוד מאמין שהבעיה היא לא במחשב שלך, אלא בנתב. גם אם הפורט במחשב פתוח, אין שום סיבה שבעולם שהנתב יעביר את התעבורה אל הפורט הזה.
אתה גם יכול להשתמש בתוכנה כמו iptraf המציגה את התעבורה במחשב. סגור את כל החלונות (הכי טוב זה להיכנס דרך הקונסול ctrl-alt-f1), כי אז שום קישקוש עידכונים וכו' לא ירוץ לך משולח העבודה, ולראות אם בכלל המחשב מקבל/ מוציא תעבורה.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 14/05/2012 - 21:20
נושא ההודעה:
|
|
למה לא פשוט להעלות מ- livecd ואז לעשות את הסריקה מהחשב שלך (כמו שעשית) ולראות אם הפורט עדיין פתוח? אלא אם כן אתה חושב שעל הלייב יש וירוס...
|
|
|
| חזרה לתוכן הדיון |
פורסם: 14/05/2012 - 22:44
נושא ההודעה: עם ה IP של פותח השרשור מרבית האנשים יוכלו לבדוק את הפורט
|
|
מהו ה ה IP של פותח השרשור?
|
|
|
| חזרה לתוכן הדיון |
פורסם: 14/05/2012 - 22:48
נושא ההודעה: אין סיכוי שאני אפנים את כל המידע בקצב שהוא מופיע כאן
|
|
מן הסתם
יקח לי קצת זמן - לקלוט על מה בכלל מדובר ברוב התגובות
אז
סליחה שאני לא יודע להתייחס לכל הערה בזמן אמת.
א. את הסריקה החיצונית (ממחשב מרוחק) אני אבצע בסוף השבוע, אחרי שאני אצבור קצת הבנה.
לצורך העניין, יש לי מחשב לינוקס - עם ראוטר וקו נפרד - בקרבת מקום.
ב. יש לי יסוד לחשוב כמו רם און - שהבעייה (פורט 520="סגור" אבל מגיב לנסיונות התחברות) - נמצאת בראוטר ולא במחשב.
הסבר:
עשיתי סריקה (מאתר סריקה חיצוני grc.com) כשהראוטר מחובר למחשב א' ואח"כ סרקתי שוב
כשהראוטר מחובר למחשב ב'. ב 2 התצורות - פורט 520 "נכשל".
אח"כ לקחתי ראוטר אחר (ב') וחזרתי על הסריקה. הראוטר "הצליח" בטסט כשחיברתי אותו למחשב א' וגם כשחיברתי אותו למחשב ב'.
ג. התקנתי את ה iptraf ונתתי לה לרוץ במשך רבע שעה. לא היתה תעבורה TCP בכלל, אבל כן היתה תעבורה די מסודרת של UDP וגם ICMP
איך אני מציג את הלוג של התוכנה הזו, האם ניתן ? - זה יתרום משמעותית
שוב נסחפתי עם הפוסט אז, אם יש תגובות - אני אשמח
|
|
|
| חזרה לתוכן הדיון |
פורסם: 15/05/2012 - 00:21
נושא ההודעה:
|
|
יפה. בודדת את הבעיה כנראה לראוטר.
כדי לבדוק אילו "תוכנות" רצות על הראוטר - אתה צריך להגיד מהו הדגם של הראוטר?
|
|
|
| חזרה לתוכן הדיון |
פורסם: 15/05/2012 - 08:07
נושא ההודעה:
|
| ציטוט: |
מהתגובות כאן הבנתי שאין מה לחשוב על סוג של וירוס/backdoor/רוגלה או איך שקוראים לזה,
כי "אין כאלה בלינוקס"
שורה תחתונה: הבדיקה נכשלה
|
אז זה לא רוגלה/וירוס/backdoor/rootkit/או משהו אחר.
באמת מפתיע. אולי תבדוק שוב.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 15/05/2012 - 08:26
נושא ההודעה: Re: עם ה IP של פותח השרשור מרבית האנשים יוכלו לבדוק את הפורט
|
| Anonymous : | | מהו ה ה IP של פותח השרשור? |
א. אם לא היית קיים - היה צריך להמציא אותך
ב. אני אשמח להיעזר בידע ובשירות הסריקה שלכם
כתובת ה IP שלי 46.116.18.55
כדי לשמור על הכתובת הזו - לטובת הסורקים - אני משאיר את המחשב שלי דולק כל היום
ג. במענה לפוסט שמעלי:
דגם הראוטר שלי = Netgear dgn2200v2
ד. ברגעים אלה ערכתי שוב סריקה מאתר grc.com
והתוצאה שדווחתי בפוסטים הקודמים - עדיין בתוקף.
ה. תוצאת הבדיקה: פורט 520 = closed אבל הגיב לנסיונות התחברות של אתר הבדיקה (grc.com), בניגוד לשאר הפורטים (0-1055) שהסטטוס שלהם - stealth
לנוחותכם אני מדביק כאן את החלק המהותי של הטקסט מפלט הבדיקה:
1. הכשלון של פורט 520:
Solicited TCP Packets: RECEIVED (FAILED) — As detailed in the port report below, one or more of your system's ports actively responded to our deliberate attempts to establish a connection. It is generally possible to increase your system's security by hiding it from the probes of potentially hostile hackers
2. הצלחה של יתר הפורטים שנבדקו (0-1055)
Unsolicited Packets: PASSED — No Internet packets of any sort were received from your system as a side-effect of our attempts to elicit some response from any of the ports listed above.
3. בדיקת פינגים
Ping Echo: PASSED — Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests) from our server.
ו. במענה לפוסט האחרון שהופיע ממש ברגעים אלה:
לא הבנתי - זה ציני...זה יפני...
ובנימה יותר רצינית: פשוט לא הבנתי אותך
|
|
|
| חזרה לתוכן הדיון |
פורסם: 15/05/2012 - 21:12
נושא ההודעה: באיזו פקודה להשתמש מול 46.116.18.55?
|
|
באיזו פקודה להשתמש מול 46.116.18.55?
|
|
|
| חזרה לתוכן הדיון |
פורסם: 15/05/2012 - 22:04
נושא ההודעה: nmap
|
nmap -v 46.116.18.55
או
telnet 46.116.18.55 520
מהבדיקה שלי, יש הגנה של חומת אש ואף פורט לא פתוח (עד 1024).
| קוד: |
nmap -vv -PN 46.116.18.55 -p 1-1024
Starting Nmap 5.21 ( http://nmap.org ) at 2012-05-15 21:59 IDT
Initiating Parallel DNS resolution of 1 host. at 21:59
Completed Parallel DNS resolution of 1 host. at 21:59, 0.00s elapsed
Initiating Connect Scan at 21:59
Scanning 46-116-18-55.bb.netvision.net.il (46.116.18.55) [1024 ports]
Connect Scan Timing: About 15.14% done; ETC: 22:03 (0:02:54 remaining)
Connect Scan Timing: About 29.79% done; ETC: 22:03 (0:02:24 remaining)
Connect Scan Timing: About 44.43% done; ETC: 22:03 (0:01:54 remaining)
Connect Scan Timing: About 59.08% done; ETC: 22:03 (0:01:24 remaining)
Connect Scan Timing: About 73.73% done; ETC: 22:03 (0:00:54 remaining)
Completed Connect Scan at 22:03, 207.32s elapsed (1024 total ports)
Nmap scan report for 46-116-18-55.bb.netvision.net.il (46.116.18.55)
Host is up.
All 1024 scanned ports on 46-116-18-55.bb.netvision.net.il (46.116.18.55) are filtered
Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 207.37 seconds
|
|
|
|
| חזרה לתוכן הדיון |
פורסם: 15/05/2012 - 22:08
נושא ההודעה:
|
| קוד: | $ telnet 46.116.18.55 520
Trying 46.116.18.55...
telnet: Unable to connect to remote host: Connection refused
|
|
|
|
| חזרה לתוכן הדיון |
פורסם: 15/05/2012 - 22:37
נושא ההודעה: רם און: שורה לפני אחרונה בפלט שלך: Host is up - מסתדרת
|
|
רם און: שורה לפני אחרונה בפלט שלך: Host is up
מסתדרת עם תוצאות הבדיקה שקבלתי מאתר הסריקה החיצוני = "הכשלון" של פורט 520
Solicited TCP Packets: RECEIVED (FAILED) — As detailed in the port report below, one or more of your system's ports actively responded to our deliberate attempts to establish a connection
הטקסט מתייחס לפורט 520 שמגיב לניסיונות התחברות (closed) - ובזה הוא מגלה את נוכחות המחשב שלי ברשת (בדוח שלך: Host is up) - בניגוד לשאר הפורטים שלגביהם הסריקה החזירה סטטוס stealth = שמירה על "דממת אלחוט" - (הסתרת הנוכחות של המחשב שלי ברשת)
האם הפרשנות שלי נכונה ?
איך מחפשים את "התהליך הסורר" בפורט 520
מה המשך ההתנהלות ?
|
|
|
| חזרה לתוכן הדיון |
פורסם: 15/05/2012 - 23:50
נושא ההודעה: אני דווקא מבין את זה אחרת
|
|
host is up משמעו שיש שם משהו. ז"א, שיש כתובת ip פעילה, אבל היא לא פותחת אף פורט. (לפחות עד 1024).
כאיש סיסטם, מבחינתי, זו מערכת סגורה. מערכת מוגנת, שאי אפשר להיכס אליה מבחוף באף תנאי שהוא. לצורך העניין, זה סגור גם דלת שאי אפשר לפתוח.
מצד שני, יכול להיות שהמערכת שלך משדרת ופותחת ערוץ דו כיווני מבלי שזה יראה על הפורטים של המחשב או הנתב. כי מי מטורף לפרוץ אליך ולפתוח פורט ולספר לכל העולם שהוא מאזין למשהו? עדיף לשלוח פאקטות של נתונים החוצה, כמה שיותר מידע. אם אתה מוציא החוצה מידע, אתה גם יכול לקבל פנימה, מבלי שיהיה פורט ספציפי פתוח כל הזמן (ssh tunnel כדוגמא בסיסית).
כך שאם אתה רוצה לדעת אם מכונה היא תקינה, אתה צריך להאזין למכונה עצמה. לראות מה יוצא ומה נכנס. iptraf עשויה להציג לך תמונה טובה לרוב השימושים.
|
|
|
| חזרה לתוכן הדיון |
פורסם: 16/05/2012 - 00:28
נושא ההודעה: Re: אני דווקא מבין את זה אחרת
|
| רם און : | host is up משמעו שיש שם משהו. ז"א, שיש כתובת ip פעילה, אבל היא לא פותחת אף פורט. (לפחות עד 1024).
כאיש סיסטם, מבחינתי, זו מערכת סגורה. מערכת מוגנת, שאי אפשר להיכס אליה מבחוף באף תנאי שהוא. לצורך העניין, זה סגור גם דלת שאי אפשר לפתוח.
מצד שני, יכול להיות שהמערכת שלך משדרת ופותחת ערוץ דו כיווני מבלי שזה יראה על הפורטים של המחשב או הנתב. כי מי מטורף לפרוץ אליך ולפתוח פורט ולספר לכל העולם שהוא מאזין למשהו? עדיף לשלוח פאקטות של נתונים החוצה, כמה שיותר מידע. אם אתה מוציא החוצה מידע, אתה גם יכול לקבל פנימה, מבלי שיהיה פורט ספציפי פתוח כל הזמן (ssh tunnel כדוגמא בסיסית).
כך שאם אתה רוצה לדעת אם מכונה היא תקינה, אתה צריך להאזין למכונה עצמה. לראות מה יוצא ומה נכנס. iptraf עשויה להציג לך תמונה טובה לרוב השימושים. |
רם און:
אם יהיה לך פנאי, תסביר לי בבקשה
מה זה מבחינתך "כתובת ip פעילה" - מה פעיל בכתובת הזו ?
את ה iptraf כבר התקנתי אתמול ויצא לי להריץ במשך רבע שעה.
היתה תעבורה סדירה UDP ו ICMP אבל לא היתה תעבורה TCP
לא הצלחתי להבין איך אני שולף משם באופן רטרואקטיבי - את הלוג
(בהנחה שיש רישום לוג)
אני אנסה להתקדם עם זה בימים הקרובים
|
|
|
| חזרה לתוכן הדיון |
פורסם: 16/05/2012 - 09:30
נושא ההודעה: כמה הסברים
|
|
כתובת ip, זה אומר שיש שם מישהו שמאזין. שהכתובת הזו קיימת ברשת, בניגוד למצב שבו היא לא מוקצת לאף אחד.
iptraf לא נועד ללוגים. אם אתה רוצה לרשום את כל התעבורה, תשתמש ב- wireshark (קל יותר ללימוד, יש לו ממשק גרפי, חפש עלי tutrial) או ב- tcpdump.
|
|
|
| חזרה לתוכן הדיון |
|
|
ת.הצטרפות: 16/04/2002
·
הודעות: 3027
·
מיקום: ישראל
