he escaneado una maquina de un tio que me esta atacando y resulta que tiene el puerto 23 abierto, me parecio curioso. Al entrar en el telnet para conectarme la maquina me da el resultado de: Press any key to continue...
los servicios son estos:

21/tcp open tcpwrapped
22/tcp open ssh Dropbear sshd 0.46 (protocol 2.0)
23/tcp open tcpwrapped
80/tcp open tcpwrapped
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds


no entiendo que es con el 'tcpwrapped". Me podria ayudar algun exploit para el 23, o mejor intento por el 22 ??

he escaneado una maquina de un tio que me esta atacando y resulta que tiene el puerto 23 abierto, me parecio curioso. Al entrar en el telnet para conectarme la maquina me da el resultado de: Press any key to continue...
los servicios son estos:

21/tcp open tcpwrapped
22/tcp open ssh Dropbear sshd 0.46 (protocol 2.0)
23/tcp open tcpwrapped
80/tcp open tcpwrapped
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds


no entiendo que es con el 'tcpwrapped". Me podria ayudar algun exploit para el 23, o mejor intento por el 22 ??

pues ahi es que ya estas conectado a el o sea tienes conexion
ahora fijate si tiene algun archivo compartido con el nbtstat -a + ip si lo tiene puedes meterle cualquier viruses o troyano mediante un txt o algun otro programita con un nombre medio conocido como msn y le metes un troyano a ese

ahora fijate si tiene algun archivo compartido con el nbtstat -a + ip si lo tiene puedes meterle cualquier viruses o troyano mediante un txt o algun otro programita con un nombre medio conocido como msn y le metes un troyano a ese
Los puertos de netbios aparecen filtrados, cualquier intento de conexión resultará fallido :p

chico1988, ¿cuál es la versión de nmap que has usado para interrogar los puertos? (Por lo que parece es la última versión)
¿4.62. quizá?
¿Cuál es el comando exacto (omitiendo la IP de destino) ?

Échale un ojo a esto:
http://seclists.org/nmap-dev/2006/q1/0388.html

La parte del código de nmap a la que se refiere es ésta:

else if (serviceprobe_results == PROBESTATE_FINISHED_TCPWRAPPED) {
sd->dtype = SERVICE_DETECTION_PROBED;
sd->name = "tcpwrapped";
sd->name_confidence = 8;
return 0;


Viendo las versiones (la del servidor de ssh más específicamente), yo apostaría por que se trata de una máquina zombie. Quizá en tu mismo proveedor de servicios de inet. Y que los servicios marcados como tcpwrapped quizá sean los puertos abiertos para la comunicación (con otros zombies), mientras que el ssh sea para el control de la máquina (por quien la infectó o por el dueño, a ti te da igual :) )



no entiendo que es con el 'tcpwrapped". Me podria ayudar algun exploit para el 23, o mejor intento por el 22 ??
Yo probaría con el dropbear ;) Parece que se trata de una versión vulnerable:
http://www.google.com/search?hl=es&q=Dropbear+vulnerable&btnG=Buscar&lr=

A esa versión le podrías hacer un mitm:
http://secunia.com/advisories/24345/

E incluso provocarle un desbordamiento de búfer para ejecutar código arbitrario:
http://secunia.com/cve_reference/CVE-2005-4178/

Fíjate, para la versión 0.48 ya se corrigieron algunas cosas:
http://lists.ucc.gu.uwa.edu.au/pipermail/dropbear/2006q1/000350.html

¡Ojo! También puede tratarse de un honeypot

Que aproveche :p

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

joe.. cómo hacen para encontrar esas maquinas ?

me dio hambre.. me voy a comer algo... xD

joe.. cómo hacen para encontrar esas maquinas ?

En este caso supongo que chico1988 simplemente sacó una IP del log del cortafuegos del sistema. En dichos registros se pueden encontrar entradas pertenecientes a máquinas infectadas que escanean la red en busca de vulnerabilidades (normalmente las mismas que permitieron su infección, aunque puede ser más sofisticado).

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

es un tio que lo conoci de un foro hack y resulta que me esta atacando. Como yo tengo un firewall me blquea el intento de escanearme los puertos.

Yo tambien creo que se trata de un zombie como has dicho tu j8k6f4v9j. Me serviria esto (http://www.milw0rm.com/exploits/387) aunque es para la version 0.34.


Gracias para toda la informacion, a ver que puedo conseguir..