[linux-guvenlik] Re: dinlenen portlar

---------

New Message Reply About this list Date view Thread view Subject view Author view Attachment view

From: Serhan Sevim (sevims@mezun.com)
Date: Wed 02 Jul 2003 - 05:25:24 EEST

  • Next message: Php: "[linux-guvenlik] Re: Bazi uyarilar.."

    >Merhaba,
    >Bu "hack" hikayeleri beni biraz daha paranoyak olmaya
    >zorladi (olmasi gerektigi gibi sanirim) :-)

    Allahtan cok gec kalmamissiniz paranoyak olmak icin. :)

    >[root]# netstat -ant |grep LISTEN
    >tcp 0 0 0.0.0.0:199 0.0.0.0:* LISTEN
    >tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
    >tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN
    >tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
    >tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
    >tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
    >tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
    >tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
    >tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
    >tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN

    Dunya uzerinden hack edilen makinalarin %80'nin ortak 3 ozelligi var..
    1) RPC service calistiriyor olmalari, yani sisteminizde calisan port 111'den dinleyen portmap programi.
    2) SNMP calistiriyor olmalari,SNMP kullanilmadigi zaman kesinlikle uninstall edilmelidir,Hatta bazen "Security Not My Protocol" diye de anildigi olur. Yani makinanizda calisan port 199'dan dinleyen, snmp programidir.
    3) chroot'suz BIND programini calistirmalari. BIND programini yuklemissiniz ama port 53'den dinleyen birsey goremiyorum fakat port 953'de BIND'i uzaktan ve icerden degistirmenizi saglan rndc programi calisiyor.
    Sansiniz var ki lokal olarak dinliyor.

    >her iki serverda da ayni servisler acik ve gereksiz
    >tum servisler kapali. redhat'i bir kac kere kontrol ettim
    >ama init scriptlerini cozemedigimden ancak webmin
    >gibi toollarla bootup esnasinda calisan servisleri
    >tespit edebiliyorum :-)

    Webmin'i HICBIR sekilde production makinalarinda tavsiye etmiyorum. Lutfen webmin.com'a gidip mart 2003'de cikan webmin bug'ini kontrol edin. Paranoyaniza iyi derecede ekleme yapacaktir.

    >bu portlarla ilgili bilgisi olan var mi?

    Ustte yazdigim programlari, redhat kullaniyorsaniz
    rpm -e /program adi/ --nodeps seklinde uninstall edebilirsiniz.
    Slackware'de init.d'de snmp/portmap/rndc (tabii kullanmiyorsaniz) seklindeki betikleri bulup silin.

    >nessus'dan baska kullanabilecegim bir
    >yazilim var mi bilinen durumlari cozmek icin?
    nmap yada satan. Fakat bunlar sistem hakkinda bilgi verir, sizin problemizi cozmezler.

    >Saygilar.

    Iyi calismalar,
    Serhan.

  • Next message: Php: "[linux-guvenlik] Re: Bazi uyarilar.."
    New Message Reply About this list Date view Thread view Subject view Author view Attachment view

    ---------

    Bu arsiv hypermail 2.1.6 tarafindan uretilmistir.