Resultados 1 al 6 de 6

Tema: intrusion telnet

  1. #1 intrusion telnet 
    Avanzado
    Fecha de ingreso
    Sep 2006
    Ubicación
    online
    Mensajes
    789
    Descargas
    5
    Uploads
    0
    he escaneado una maquina de un tio que me esta atacando y resulta que tiene el puerto 23 abierto, me parecio curioso. Al entrar en el telnet para conectarme la maquina me da el resultado de: Press any key to continue...
    los servicios son estos:

    21/tcp open tcpwrapped
    22/tcp open ssh Dropbear sshd 0.46 (protocol 2.0)
    23/tcp open tcpwrapped
    80/tcp open tcpwrapped
    135/tcp filtered msrpc
    136/tcp filtered profile
    137/tcp filtered netbios-ns
    138/tcp filtered netbios-dgm
    139/tcp filtered netbios-ssn
    445/tcp filtered microsoft-ds


    no entiendo que es con el 'tcpwrapped". Me podria ayudar algun exploit para el 23, o mejor intento por el 22 ??
    Citar  
     

  2. #2  
    Iniciado
    Fecha de ingreso
    Jul 2008
    Mensajes
    4
    Descargas
    0
    Uploads
    0
    Cita Iniciado por chico1988 Ver mensaje
    he escaneado una maquina de un tio que me esta atacando y resulta que tiene el puerto 23 abierto, me parecio curioso. Al entrar en el telnet para conectarme la maquina me da el resultado de: Press any key to continue...
    los servicios son estos:

    21/tcp open tcpwrapped
    22/tcp open ssh Dropbear sshd 0.46 (protocol 2.0)
    23/tcp open tcpwrapped
    80/tcp open tcpwrapped
    135/tcp filtered msrpc
    136/tcp filtered profile
    137/tcp filtered netbios-ns
    138/tcp filtered netbios-dgm
    139/tcp filtered netbios-ssn
    445/tcp filtered microsoft-ds


    no entiendo que es con el 'tcpwrapped". Me podria ayudar algun exploit para el 23, o mejor intento por el 22 ??
    pues ahi es que ya estas conectado a el o sea tienes conexion
    ahora fijate si tiene algun archivo compartido con el nbtstat -a + ip si lo tiene puedes meterle cualquier viruses o troyano mediante un txt o algun otro programita con un nombre medio conocido como msn y le metes un troyano a ese
    Citar  
     

  3. #3  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Cita Iniciado por mamello Ver mensaje
    ahora fijate si tiene algun archivo compartido con el nbtstat -a + ip si lo tiene puedes meterle cualquier viruses o troyano mediante un txt o algun otro programita con un nombre medio conocido como msn y le metes un troyano a ese
    Los puertos de netbios aparecen filtrados, cualquier intento de conexión resultará fallido

    chico1988, ¿cuál es la versión de nmap que has usado para interrogar los puertos? (Por lo que parece es la última versión)
    ¿4.62. quizá?
    ¿Cuál es el comando exacto (omitiendo la IP de destino) ?

    Échale un ojo a esto:
    http://seclists.org/nmap-dev/2006/q1/0388.html

    La parte del código de nmap a la que se refiere es ésta:
    Código:
     else if (serviceprobe_results == PROBESTATE_FINISHED_TCPWRAPPED) {
        sd->dtype = SERVICE_DETECTION_PROBED;
        sd->name = "tcpwrapped";
        sd->name_confidence = 8;
        return 0;
    Viendo las versiones (la del servidor de ssh más específicamente), yo apostaría por que se trata de una máquina zombie. Quizá en tu mismo proveedor de servicios de inet. Y que los servicios marcados como tcpwrapped quizá sean los puertos abiertos para la comunicación (con otros zombies), mientras que el ssh sea para el control de la máquina (por quien la infectó o por el dueño, a ti te da igual )


    Cita Iniciado por chico1988 Ver mensaje
    no entiendo que es con el 'tcpwrapped". Me podria ayudar algun exploit para el 23, o mejor intento por el 22 ??
    Yo probaría con el dropbear Parece que se trata de una versión vulnerable:
    http://www.google.com/search?hl=es&q...tnG=Buscar&lr=

    A esa versión le podrías hacer un mitm:
    http://secunia.com/advisories/24345/

    E incluso provocarle un desbordamiento de búfer para ejecutar código arbitrario:
    http://secunia.com/cve_reference/CVE-2005-4178/

    Fíjate, para la versión 0.48 ya se corrigieron algunas cosas:
    http://lists.ucc.gu.uwa.edu.au/piper...q1/000350.html

    ¡Ojo! También puede tratarse de un honeypot

    Que aproveche

    Salu2


    Keep on Rollin'
    Última edición por j8k6f4v9j; 23-07-2008 a las 11:40

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  4. #4  
    Colaborador HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Uruguay
    Mensajes
    1.450
    Descargas
    11
    Uploads
    0
    joe.. cómo hacen para encontrar esas maquinas ?

    me dio hambre.. me voy a comer algo... xD
    Louis Armstrong le dice a Ella Fitzgerald
    "take another drink of wine, and maybe you change your mind"
    Citar  
     

  5. #5  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Cita Iniciado por Cypress Ver mensaje
    joe.. cómo hacen para encontrar esas maquinas ?
    En este caso supongo que chico1988 simplemente sacó una IP del log del cortafuegos del sistema. En dichos registros se pueden encontrar entradas pertenecientes a máquinas infectadas que escanean la red en busca de vulnerabilidades (normalmente las mismas que permitieron su infección, aunque puede ser más sofisticado).

    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  6. #6  
    Avanzado
    Fecha de ingreso
    Sep 2006
    Ubicación
    online
    Mensajes
    789
    Descargas
    5
    Uploads
    0
    es un tio que lo conoci de un foro hack y resulta que me esta atacando. Como yo tengo un firewall me blquea el intento de escanearme los puertos.

    Yo tambien creo que se trata de un zombie como has dicho tu j8k6f4v9j. Me serviria esto aunque es para la version 0.34.


    Gracias para toda la informacion, a ver que puedo conseguir..
    Última edición por chico1988; 24-07-2008 a las 21:06
    Citar  
     

Temas similares

  1. intrusion a travez de telnet
    Por piedrA en el foro INTRUSION
    Respuestas: 13
    Último mensaje: 11-09-2006, 22:46
  2. Telnet
    Por darkmonkey en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 7
    Último mensaje: 03-09-2006, 05:13
  3. telnet
    Por freakorn en el foro OFF-TOPIC
    Respuestas: 2
    Último mensaje: 11-01-2003, 17:10
  4. telnet
    Por jorge16 en el foro INTRUSION
    Respuestas: 1
    Último mensaje: 06-05-2002, 10:34
  5. Respuestas: 2
    Último mensaje: 10-02-2002, 19:16

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •