From: Güray SATICI (guray@uludag.edu.tr)
Date: Thu 03 Jul 2003 - 08:25:50 EEST
Biliyosunuz ki bir sisteme giren sahis oncelikle bu makineye rootkit kurmaya calisir ...
ve bu rootkit ler sayesinde sistemdeki bir cok dosya degismeye ugrar
ps ls w vb. gibi
bunlarin arasinda niye netstat olmasin?
Acikcasi rootkit leri pek incelemedim .. kullanmakta nasip olmadi :P
en azindan bir sisteme girdiiinizde eger sistem yoneticisinin more netstat gibi bir komut vermeyecegini tahmin edebiliyorsaniz ...
icerigini degistirip netstat $1 | grep -v 443 seklinde bir komutla kullandiginizda veya gorunmesini istemediginiz baska port lar varsa bunlari da ayni sekilde gizleyebiliyorsunuz ..
Serdar beyinde bahsettigi gibi eger birileri dolasiyorsa sisteminizde veya boyle bir sonuca vardiysaniz fazla ugrasmayip sistemi yenilemelisiniz ... Cunku bir cok komutunuzun artik eski halinde olamayacagi gibi bir ihtimal soz konusu ..
Dahasi shadow dosyaniz ele gecirilmis durumda ..
Hos bir sey degil
> Selamlar
> Genelde olay dinlenen portlar uzerine donuyor. Ama sunuda unutmamak lazim ki sisteme bir sekilde sizmis ve root olmus bir kisi dikkat cekmemek icin kullanilmayan bazi portlari kendi amaci icin kullaniyor olabilir. Ornegin sisteminizde https yoktur ve sisteme giren kisi 443 u bir sekilde ornegin 22 ye yonlendirip ssh la 443 e baglandiginda sisteme root baglantisi yapabilir. Bu sayede zaten 443 un loglari tutulmadigindan yakalansa bile nerden girdigi anlasilmayabilir. SSH loglarina baktiginizda ise sisteme login olan ip 127.0.0.1 gorunecektir. Tabi siz dinlenen portlara baktiginizda 443 https diyip atlayabilirsiniz. Bu islem farkli amaclar icinde yine kullanilabilir. Bu bakimdanda sistemde hangi portun gercekten calistigini gercekten calismadigini bilip her portu ona gore gozden gecirmek gerekli bence. Yanlis mi dusunuyorum?
>
> -----Original Message-----
> From: Php [mailto:php@kakalak.org]
> Sent: Wednesday, July 02, 2003 1:50 AM
> To: linux-guvenlik@liste.linux.org.tr
> Subject: [linux-guvenlik] dinlenen portlar
>
> Merhaba,
>
> Bu "hack" hikayeleri beni biraz daha paranoyak olmaya
> zorladi (olmasi gerektigi gibi sanirim) :-)
>
> iki production server uzerinde calisiyorum.
> dinlenen portlara baktim ve ilk makinada
> olagandisi bir porta raslamadim. Tum acik portlari
> taniyordum. (Slackware 8.1, modified, updated)
>
> Diger makinaya baktim ve bilmedigim portlarla
> karsilastim. (Redhat 7.1, heavily modified, usually updated)
> netstat ciktisini ornek olmasi acisindan gonderiyorum:
>
> [root]# netstat -ant |grep LISTEN
> tcp 0 0 0.0.0.0:199 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
> tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
> tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
>
> Burada 953,199 ve 111'in ne ise yaradigini cozemedim?
> google ile biraz arattirdim ama ornegin 199 icin
> "unix multiplexer" gibi aciklamalarla karsilastim.
>
> her iki serverda da ayni servisler acik ve gereksiz
> tum servisler kapali. redhat'i bir kac kere kontrol ettim
> ama init scriptlerini cozemedigimden ancak webmin
> gibi toollarla bootup esnasinda calisan servisleri
> tespit edebiliyorum :-)
>
> bu portlarla ilgili bilgisi olan var mi?
> nessus'dan baska kullanabilecegim bir
> yazilim var mi bilinen durumlari cozmek icin?
>
> Saygilar.
>
>
>