From: Gürkan KARABATAK (gkarabatak@firat.edu.tr)
Date: Wed 02 Jul 2003 - 16:05:10 EEST
Selamlar
Genelde olay dinlenen portlar uzerine donuyor. Ama sunuda unutmamak lazim ki sisteme bir sekilde sizmis ve root olmus bir kisi dikkat cekmemek icin kullanilmayan bazi portlari kendi amaci icin kullaniyor olabilir. Ornegin sisteminizde https yoktur ve sisteme giren kisi 443 u bir sekilde ornegin 22 ye yonlendirip ssh la 443 e baglandiginda sisteme root baglantisi yapabilir. Bu sayede zaten 443 un loglari tutulmadigindan yakalansa bile nerden girdigi anlasilmayabilir. SSH loglarina baktiginizda ise sisteme login olan ip 127.0.0.1 gorunecektir. Tabi siz dinlenen portlara baktiginizda 443 https diyip atlayabilirsiniz. Bu islem farkli amaclar icinde yine kullanilabilir. Bu bakimdanda sistemde hangi portun gercekten calistigini gercekten calismadigini bilip her portu ona gore gozden gecirmek gerekli bence. Yanlis mi dusunuyorum?
-----Original Message-----
From: Php [mailto:php@kakalak.org]
Sent: Wednesday, July 02, 2003 1:50 AM
To: linux-guvenlik@liste.linux.org.tr
Subject: [linux-guvenlik] dinlenen portlar
Merhaba,
Bu "hack" hikayeleri beni biraz daha paranoyak olmaya
zorladi (olmasi gerektigi gibi sanirim) :-)
iki production server uzerinde calisiyorum.
dinlenen portlara baktim ve ilk makinada
olagandisi bir porta raslamadim. Tum acik portlari
taniyordum. (Slackware 8.1, modified, updated)
Diger makinaya baktim ve bilmedigim portlarla
karsilastim. (Redhat 7.1, heavily modified, usually updated)
netstat ciktisini ornek olmasi acisindan gonderiyorum:
[root]# netstat -ant |grep LISTEN
tcp 0 0 0.0.0.0:199 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
Burada 953,199 ve 111'in ne ise yaradigini cozemedim?
google ile biraz arattirdim ama ornegin 199 icin
"unix multiplexer" gibi aciklamalarla karsilastim.
her iki serverda da ayni servisler acik ve gereksiz
tum servisler kapali. redhat'i bir kac kere kontrol ettim
ama init scriptlerini cozemedigimden ancak webmin
gibi toollarla bootup esnasinda calisan servisleri
tespit edebiliyorum :-)
bu portlarla ilgili bilgisi olan var mi?
nessus'dan baska kullanabilecegim bir
yazilim var mi bilinen durumlari cozmek icin?
Saygilar.