From: Engin Öztürk (engin@enginozturk.com)
Date: Wed 02 Jul 2003 - 16:17:14 EEST
Merhaba ;
bu kadar başıboşmu pekş bu systemin. nerden gelirse gelsin login olan
kullanıcının hangi Ip den giriş yaptıgı belli degilmi ya da en azından bu
ben olamam demek icin systemden cok uzak olmak gerekiyor sanırım. Ayrıca
birsey daha var 443 u bir sekilde 22 ye nerden yonlendirebilir ya
servicesten ya da ipchains olmalı sanırım... bir system yoneticisinin arada
bunlara bakması gerekmezmi..
saygıyla
----- Original Message -----
From: "Gürkan KARABATAK" <gkarabatak@firat.edu.tr>
To: <linux-guvenlik@liste.linux.org.tr>
Sent: Wednesday, July 02, 2003 4:05 PM
Subject: [linux-guvenlik] Re: dinlenen portlar
> Selamlar
> Genelde olay dinlenen portlar uzerine donuyor. Ama sunuda unutmamak lazim
ki sisteme bir sekilde sizmis ve root olmus bir kisi dikkat cekmemek icin
kullanilmayan bazi portlari kendi amaci icin kullaniyor olabilir. Ornegin
sisteminizde https yoktur ve sisteme giren kisi 443 u bir sekilde ornegin 22
ye yonlendirip ssh la 443 e baglandiginda sisteme root baglantisi yapabilir.
Bu sayede zaten 443 un loglari tutulmadigindan yakalansa bile nerden girdigi
anlasilmayabilir. SSH loglarina baktiginizda ise sisteme login olan ip
127.0.0.1 gorunecektir. Tabi siz dinlenen portlara baktiginizda 443 https
diyip atlayabilirsiniz. Bu islem farkli amaclar icinde yine kullanilabilir.
Bu bakimdanda sistemde hangi portun gercekten calistigini gercekten
calismadigini bilip her portu ona gore gozden gecirmek gerekli bence. Yanlis
mi dusunuyorum?
>
> -----Original Message-----
> From: Php [mailto:php@kakalak.org]
> Sent: Wednesday, July 02, 2003 1:50 AM
> To: linux-guvenlik@liste.linux.org.tr
> Subject: [linux-guvenlik] dinlenen portlar
>
> Merhaba,
>
> Bu "hack" hikayeleri beni biraz daha paranoyak olmaya
> zorladi (olmasi gerektigi gibi sanirim) :-)
>
> iki production server uzerinde calisiyorum.
> dinlenen portlara baktim ve ilk makinada
> olagandisi bir porta raslamadim. Tum acik portlari
> taniyordum. (Slackware 8.1, modified, updated)
>
> Diger makinaya baktim ve bilmedigim portlarla
> karsilastim. (Redhat 7.1, heavily modified, usually updated)
> netstat ciktisini ornek olmasi acisindan gonderiyorum:
>
> [root]# netstat -ant |grep LISTEN
> tcp 0 0 0.0.0.0:199 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
> tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
>
> Burada 953,199 ve 111'in ne ise yaradigini cozemedim?
> google ile biraz arattirdim ama ornegin 199 icin
> "unix multiplexer" gibi aciklamalarla karsilastim.
>
> her iki serverda da ayni servisler acik ve gereksiz
> tum servisler kapali. redhat'i bir kac kere kontrol ettim
> ama init scriptlerini cozemedigimden ancak webmin
> gibi toollarla bootup esnasinda calisan servisleri
> tespit edebiliyorum :-)
>
> bu portlarla ilgili bilgisi olan var mi?
> nessus'dan baska kullanabilecegim bir
> yazilim var mi bilinen durumlari cozmek icin?
>
> Saygilar.
>
>
>
>