форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Подозрение на сканирование портов из apache"
Сообщение от Noname (??) on 02-Июл-05, 14:29  (MSK)
Возникла проблема - часто приходят жалобы о сканировании различных портов (как правило >1000) с нашего хостинг сервера. ОС - freebsd 5.4, сканирование идет всегда с одного конкретного IP (на сервере их много). Юзера имеют shell доступ. Юзеру с ip которого идет скан можно доверять, он сам этого делать не будет. chkrootkit ничего не находит, левых процессов тоже нет. Есть подозрение,что сканирование идет из скриптов юзера с 80ого порта, но проверить все скрипты возможности нет. Есть ли способ определить причину и конкретный источник проблемы?
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Подозрение на сканирование портов из apache"
Сообщение от def (??) on 04-Июл-05, 08:21  (MSK)
Картина представляется следующая: на вебе отрабатывает один из вариантов  frontend-а для nmap (их множество сейчас, скорее всего на php), а т.к. пользователь не прив., то сканит без стелфа (подставляя тебя) и порты > 1000. Найти легко, пробеги контекстным поиском по каталогам www на предмет наличия слова nmap.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Подозрение на сканирование портов из apache"
	Сообщение от Junky on 04-Июл-05, 14:11  (MSK)
	>Картина представляется следующая: на вебе отрабатывает один из вариантов  frontend-а для nmap (их множество сейчас, скорее всего на php), а т.к. пользователь не прив., то сканит без стелфа (подставляя тебя) и порты > 1000. Найти легко, пробеги контекстным поиском по каталогам www на предмет наличия слова nmap. поиск слова nmap результатов не принес :(
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Подозрение на сканирование портов из apache"
	Сообщение от def (??) on 04-Июл-05, 14:56  (MSK)
	>поиск слова nmap результатов не принес :( Тогда откуда уверенность что это не подстава, возможно твой адрес просто использован в цепочке nmap - decoy с совершенно другой машины? Необходимо глянуть на логи от сканирования, это может многое прояснить.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Подозрение на сканирование портов из apache"
	Сообщение от Junky on 04-Июл-05, 15:13  (MSK)
	>>поиск слова nmap результатов не принес :( > >Тогда откуда уверенность что это не подстава, возможно твой адрес просто использован >в цепочке nmap - decoy с совершенно другой машины? Необходимо глянуть >на логи от сканирования, это может многое прояснить. Может и так. Просто достаточно много народу уже жаловалось, к тому же у одного человека это началось после посещения ресурса, находящегося на этом IP.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Подозрение на сканирование портов из apache"
	Сообщение от favourite (ok) on 05-Июл-05, 05:20  (MSK)
	>>Картина представляется следующая: на вебе отрабатывает один из вариантов  frontend-а для nmap (их множество сейчас, скорее всего на php), а т.к. пользователь не прив., то сканит без стелфа (подставляя тебя) и порты > 1000. Найти легко, пробеги контекстным поиском по каталогам www на предмет наличия слова nmap. > > >поиск слова nmap результатов не принес :( можно на этом хосте временно сделать chmod -x nmap
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.