Системы безопасности

8(495)909-90-01

8(964)644-46-00

pro@sio.su

Главная

	Главная
	Системы видеонаблюдения
	Охранная сигнализация
	Пожарная сигнализация
	Система пожаротушения
	Система контроля удаленного доступа
	Оповещение и эвакуация
	Контроль периметра
	Система домофонии
	Парковочные системы
	Проектирование слаботочных сетей
	Аварийный контроль

Раздел: Документация

0 ... 14 15 16 17 18 19 20 ... 169

<[ tcp port: 143]> <[ tcp port: 110 (pop-3) ]>

<[ tcp port: 111 (sunrpc) ]> <[ tcp port: 79 (finger)

<[ tcp port: 53 (domain) ]> <[ tcp port: 25 (smtp) ]>

<[ tcp port: 21 (ftp) ]>

—<[ *OS*: mozart: os detected: redhat linux 5.1

mozart: VULN: linux box vulnerable to named overflow.

<[ *CGI*: 172.17,6.30: tried to redirect a /cgi-bin/phf request.

<[ *FINGER*: mozart:account exists.

•<[ *VJLN*: mozart: sendmail will expn accounts for us

<[ *VULN*: mozart: linux bind/iquery remote buffer

overflow

<[ *VULN*: mozart: linux mountd remote buffer overflow ---* scan of mozart completed *

Nmap входит в группу средств, добывающих «чистые данные». Он не пытается найти уязвимости, а просто сообщает, какие порты открыты, оставляя принятие решения об их защищенности вам. Nmap быстро стал самым популярным сканером и на то есть объективные причины. Он соединяет в одном средстве черты лучших сканеров, включая определение типа операционной системы, различные способы построения пакетов, сканирование как UDP, так и TCP, рандомизацию и т. д.

Однако необходимо обладать достаточными знаниями в области

сетевых технологий, чтобы интерпретировать полученные данные. Ниже приведен пример работызапущенного для изучения той

же самой системы.

otto #nmap -sS -0 172.17.6.30

Starting nmap V. 2.08 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)

Interesting ports on mozart (172.17.6.30): Port State Protocol Service 21 open tcp ftp

23 open tcp telnet 25 open tcp smtp

37 open tcp time 53 open tcp domain 7 0 open tcp gopher

79open tcp finger

80open tcp http

109open tcp pop-2

110open tcp

111open tcp sunrpc

rгty

143 open tcp imap2

513open tcp login

514open tcp shell

635 open tcp unknown

2049 open tcp nfs

TCP Sequence Prediction: Class=truly random

Difficulty=9999999 (Good luck!)

Remote operating system guess: Linux 2.0.35-36

Nmap run completed — 1 IP address (1 host up) scanned

in 2 seconds

Просматривая ваши регистрационные журналы, вы можете определить, какое из этих средств было использовано для изучения вашей системы.

Чтобы сделать это, вам необходимо понять механизмы работы этих средств. Сканирование при помощи sscan отражается в регистрационных журналах, как приведено ниже (это режим по умолчанию, без внесения изменений в конфигурационные файлы):

/var/log/secure

Apr 14 19:18:56 mozart in.telnetd[11634]: connect from 192.168.11.200

Apr 14 19:18:56 mozartconnect from

192.168.11.200

Apr 14 19:18:56 mozartconnect from

192.168.11.200

Apr 14 19:18:56 mozartconnect from

192.168.11.200

Apr 14 19:18:56 mozartconnect from

192.168.11.200

Apr 14 19:18:56 mozart in.ftpd[11640] : connect from 192.168.11.200

Apr 14 19:19:03 mozart ipop3d[11642] : connect from 192.168.11.200

Apr 14 19:19:03 mozart imapd[11643] : connect from

192.168.11.200

Apr 14 19:19:04 mozart in.fingerd[11646]: connect from 192.168.11.200

Apr 14 19:19:05 mozart in.fingerd[11648]: connect from

192.168.11.200

/var/log/maillog

Apr 14 21:01:58 mozart imapd[11667]: command stream end of file, while reading line user=??? host-[192.168.11.200]

Apr 14 21:01:58 mozart ipop3d[11668]: No such file or directory

while reading line user=??? host-[192.168.11.200]

Apr 14 21:02:05 mozart sendmail[11675]: NOQUEUE: [192.168.11.200]:

expn root

/var/log/messages

Apr 14 21:03:09 mozartttloop: peer

died: Invalid or

incomplete multibyte or wide character

Apr 14 21:03:12 mozart ftpd[11688] : FTP session closed

Sscan также определяет уязвимости cgi (common gateway interface).

Эти попытки не будут зафиксированы в журналах syslogd, вы найдете их в файле access log. Включаем и этот пример для иллюстрации.

/var/log/httpd/access log

192.168.11.200 •[14/Арг/1999:1б:44:49 -0500] «GET

/cgi-bin/phf HTTP/1.0» 302 192

192.168.11.200 •[14/Apr/1999:16:44:49 -0500] «GET

/cgi-bin/Count.cgi HTTP/1.0» 404 170

192.168.11.200 • [14/Apr/1999:16:44:49 -0500] «GET /cgi-bin/test-cgi HTTP/1.0» 404 169

0 ... 14 15 16 17 18 19 20 ... 169