AW: Port-Scan

Joachim Staeck joachim at staeck-online.de
Fri Jul 28 16:12:05 CEST 2000 

> On Tue, Jul 25, 2000 at 03:24:15PM +0200, Volker Gueth wrote:
> > On Tue, Jul 25, 2000 at 02:44:33PM +0200, Tobias_Lachmann at jwa.de wrote:
> > > >Jul  7 09:34:13 debmnlw1 kernel: Packet log: input DENY eth0 PROTO=6
> > > 194.196.235.44:55817 212.185.60.178:21 L=60 >S=0x00 I=7500 F=0x0000
> > > T=50 SYN (#14)
> > 21 hört sich an, als ob er auf einen defekten wu-ftpd hofft.
> Ack.
>
> Ausserdem sieht's nach nem Tool aus, da in den 8 Anfragen nur 2
> verschiedene Client-Ports benutzt wurden.
>
> Ergo: Standard exploitable scan. Nichts ueber was man sich sorgen machen
> sollte, wenn die kiste recht aktuell ist (oder doch?).
>

Ich würde sagen ja,z.Zt. sind viele ftpd (wuftpd<=2.6.0(1) (ohne Patch),
ProFTPD<=1.2.0pre10) unsicher, was an sich nicht so schlimm wäre, wenn es da
nicht diese netten bunten Tools gäbe mit denen fast jeder diese Löcher auch
ausnutzen kann. Sprich da es so einfach ist dieses Loch auszunutzen, wird
auch von sehr vielen nach diesem Loch gesucht.

Da es ja hier um Port scans geht, hab ich nmap mal auf lug-owl.de
losgelassen, hier das Ergebnis:

21/tcp     open        ftp
22/tcp     open        ssh
23/tcp     open        telnet
25/tcp     open        smtp
80/tcp     open        http
110/tcp    open        pop-3
143/tcp    open        imap2
2049/tcp   open        nfs
5002/tcp   open        rfe
8080/tcp   open        http-proxy
31337/tcp  open        Elite

Was dieser eleet Port da soll weiß ich nicht(Könnte z.B. eine Backdoor
sein), aber zumindest der wuftpd hat Version wu-2.4.2 und sollte damit
verwundbar sein, falls es nicht gerade ne selbst gepatchte Version ist. Auch
Proxy/nfs/rfe(wofür ist das?) und telnet muss nach aussen nicht sein.

Ich würde auf dem Server mal nem rpm --verify -a machen um zu sehen, ob da
evt. schon wer drauf war und ein Rootkit installiert hat, falls ja bleibt
nix anderes übrig als den Server neu aufzusetzen, da man sich nie 100%
sicher sein kann, ob man nicht eine Backdoor vergessen hat. Beliebte
Programme, die ausgetauscht werden sind: ps, ls, find, du, login, passwd,
... .

Das mit dem rpm --verify -a bringt aber nur was, falls der Hacker nicht auch
die RPM Datenbank manipuliert hat.

MfG Joachim


-
Hinweise zur Benutzung dieser (und anderer Mailing-Listen) bitte beachten:
--> http://lug-owl.de/mailinglist_hints.html <--

More information about the Linux mailing list