» »

OMG, my box is r00ted? :-)

OMG, my box is r00ted? :-)

poweroff ::

Torej, včeraj zvečer se SSHjam na službeni računalnik in poženem nmap mojega domačega IPja.

1. Iz službe -> domači IP
sudo nmap ******* -PN

Starting Nmap 4.62 ( http://nmap.org ) at 2009-04-05 11:32 CEST
Interesting ports on ******* (***):
Not shown: 1707 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
113/tcp closed auth
143/tcp open imap
443/tcp open https

WTF? Moja domača kišta je totalno rootnjena?

So... lets try telnet.

2. Iz službe -> domači IP
telnet ******* 21
Trying *******...
Connected to *******.
Escape character is '^]'.

Connection closed by foreign host.

telnet ******* 25
Trying *******...
Connected to *******.
Escape character is '^]'.

Connection closed by foreign host.

OMG, I'm r00ted...

But...!

Poizkusimo nmap pognati še iz neke VPS kištice...

3. VPS -> domači IP
sudo nmap ******* -PN

Starting Nmap 4.53 ( http://insecure.org ) at 2009-04-05 11:44 CEST
Interesting ports on ******* (***):
Not shown: 1713 filtered ports
PORT STATE SERVICE
80/tcp open http

Hmm, to je pričakovano. Poizkusim še iz ene lokacije... isto, odprt le port 80.

Poženem netstat na routerju: aktivno posluša le na 22, 53, 80 in 443, s tem da je navzven vse razen 80 zaprto.

Za konec pa še posladek. Doma sem izključil router (imam statičen IP), zdajle iz službe poženem nmap - in še vedno so odprti vsi zgoraj navedeni porti. Plus - če se telnetam, se dejansko vzpostavi povezava, vendar remote server ne da nič od sebe.

Plus, vedno se lahko povežem na poljuben IP na port 25, le da je server neaktiven in seja po nekaj časa timeoutne.

Torej - je problem v kakšnem čudnem routingu v mojem službenem omrežju? Ali pa se kdo igra s honeypotom?
sudo poweroff

jype ::

Matthai> Torej - je problem v kakšnem čudnem routingu v mojem službenem omrežju?

Seveda. V službi za navedene servise očitno skrbi t.i. "transparent proxy".

Precej nenavadno, ampak ne tako neverjetno, glede na nesposobnost administratorjev, o kateri tako rad govoriš.

Zgodovina sprememb…

  • spremenilo: jype ()

poweroff ::

Kul. Lepo je vedet da je zame na vseh IP naslovih vedno "odprt" port 25. :D
sudo poweroff

Daedalus ::

Heh, uni-lj admini so res cvetke. Kot ona zgodba z novim firewallom - mi sam pridemo, pa pastavimo. Pol pa se še pol leta borijo z besnimi uporabniki, ker so recimo pocrkali vsi IM programčki. Kar je precej zoprno, če delaš na članku s kolegom iz drugega konca sveta, pa na lepem ne moreš več normalno komunicirat. Pa outgoing ssh je menda tud zelo nevaren, če one tam vprašaš.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

zee ::

uni-lj admini so peki. Na FKKT ze ~3 leta migrirajo domeno...Jaz se sicer sprasujem, kam le jo migrirajo...

Da napol delujocega streznika za odhodno posto niti ne omenjam. Ker sem bil sit tecnarjenja uporabnikov, sem jih precej enostavno zmigriral na Gmail, kjer sem nastavil, da se v polju From: prikaze unverzitetni email naslov. Oni happy, jaz happy.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

Zgodovina sprememb…

  • spremenilo: zee ()

poweroff ::

Seveda. V službi za navedene servise očitno skrbi t.i. "transparent proxy".


Samo malo. A to potem pomeni, da oni PRESTREZAJO kompletno ves promet, ki gre na te porte???
sudo poweroff

jype ::

Matthai> Samo malo. A to potem pomeni, da oni PRESTREZAJO kompletno ves promet, ki gre na te porte???

Ja, seveda. Saj to samo po sebi ni nič spornega, praktično vsaka naprava PRESTREZA ves promet, ki gre skoznjo - da ga lahko pravilno usmerja, recimo, ali pa da se lahko odloči, če bo dovolila dostop ali ne.

poweroff ::

Ja, ampak razlika med prestrezanjem routerja in transparent proxya pa vendar le obstaja...
sudo poweroff

Mavrik ::

Kakšna točno pa je?
The truth is rarely pure and never simple.

jype ::

Matthai> Ja, ampak razlika med prestrezanjem routerja in transparent proxya pa vendar le obstaja...

Jasno, da obstaja, ampak ni bistvena. Oba lahko zlorabiš in to kar ti opažaš ni nujno zloraba. Jaz v bistvu stavim, da gre zgolj za nesposobnost :)

Daedalus ::

No ja, veš pa ne:> Jaz bi jih malo povprašal, uradno seveda, kaj se grejo.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

poweroff ::

Ja, saj jaz sem načeloma tudi mnenja da ni hudobija, pač pa nesposobnost.

Razen seveda če jim je kdo rootnil cel network. To bi bil pa hud žur. :D
sudo poweroff

BlueRunner ::

Ja, saj jaz sem načeloma tudi mnenja da ni hudobija, pač pa nesposobnost.

Razen seveda če jim je kdo rootnil cel network. To bi bil pa hud žur. :D

Misliš morda nekako tako?

poweroff ::

OMG. So pa res nesposobni.
sudo poweroff

poweroff ::

"Nadaljevanje" zgodbe - danes zjutraj.

 MITM napad...

MITM napad...



 ...s fake certifikatom

...s fake certifikatom



Zdaj so šle zadeve čez rob. Za začetek sem zadevo prijavil na SI-CERT.
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Dnsmasq problem

Oddelek: Omrežja in internet
131056 (683) BlaY0
»

Windows network share preko interneta?

Oddelek: Omrežja in internet
202235 (1933) Mr.B
»

Odkrita ranljivost v usmerjevalnikih Linksys, Netgear in nekaj drugih

Oddelek: Novice / Varnost
3714739 (3758) wungad
»

ProtFtp Passive mode in iptables

Oddelek: Programska oprema
252268 (2090) SasoS
»

WLAN rešitev

Oddelek: Strojna oprema
201611 (1318) CCfly

Več podobnih tem