[FreeBSD] Filtered Ports
Miklos Niedermayer
mico at bsd.hu
2001. Ápr. 20., P, 17:05:47 CEST
Hello,
On Thu, Apr 19, 2001 at 07:42:29AM +0000, Gabor Zahemszky wrote:
> 3) a lokalis gepen futo netstat nem rossz, csak Mico elfelejtkezett egy
> aprosagrol: rootkit - nem kell tul sokat keresgelni, hogy BSD-re is talaljon az
> ember. Most ugye felteteleztem, hogy nem Te irtad, es tetted fol a gepre es
> el is felejtetted. Ugyhogy nem bizhatsz meg egy sima netstatban 100%-ig.
> 4) es mivel scannelsz? legutolso verzioju nmap, vagy mas?
Igen. Én igazából abba az irányba próbáltam elvinni a dolgot, hogy nézze
meg netstattal, aztán ha nincs rendben, úgyis visszaír. Mert nem kaptunk pl.
infót arról, hogy melyik porton játszódik ez az esemény. Esetleg több
különböző gépről megy az a portscannelés, és úgy ad különböző eredményeket?
Nagyon sok minden elképzelhető, akár az is, hogy ident visszaellenőrzés miatt
gázol (bár nem jellemző), ezért én mindenképpen jól körülnéznék azon a
szerveren. Először is, hogy az adott port tudatosan futtatott szolgáltatás-e.
Ha nem, akkor <panic>. Ha igen, akkor esetleg megnézni, hogy amúgy minden
oké-e vele. Megnézni mondjuk valami magasabb verbose szinten, hogy a
szolgáltatás mit loggol, amikor portscannelsz és "filtered". Ne feledjük,
hogy az ilyen NMAP-szerű stealth scan és hasonló dolgok ellen FreeBSD alatt
(biztos máshol is) rengeteg szinten lehet védekezni, az IPFiltertől elkezdve
bizonyos kernel-opciókig. Lehet, hogy ilyesmi zavar be.
Puszi
Mico
További információk a(z) BSD levelezőlistáról