07-07-2008, 18:10
Normalmente el puerto 21 se usa para servicios ftp, pero al escanear varias maquinas me encuentro con servidores dns con el unico puerto abierto 21 y clientes con el mismo puerto abierto. ¿Es posible que se trate de comunicacion SSH usando el puerto 21 en lugar del 22?En maquinas windows ocurre lo mismo, ¿se trata de la actualizacion SP2 de windows Xp y otras en mauinas windows?
Con un escáner de servicios, mediante fingerprints, quizá obtengas información sobre el servidor que se encuentra detrás de ese puerto.
Ten en cuenta que el servicio de nombres se da en el puerto 53 UDP, y no en los puertos TCP.
No sé cómo estás escaneando la máquina, pero deberías asegurarte de que se están probando los puertos UDP en los servidores de DNS.
Salu2
Keep on Rollin'
07-07-2008, 22:23
Segun dices j8k6f4v9j puedo utilizar un scanner de servicios, ¿cual me recomiendas? He usado ShadowSecurityScanner, GFI Languard y Softperfect Network Scanner.No encuentro la opcion fingerprints, podrias decirme en que scanner viene.Gracias por anticipado
08-07-2008, 00:23
Gracias he bajado este scanner es muy bueno, pero no se donde esta la opcion fingerprints.Siguen apareciendo filtered algunos puertos que no son visibles pero en la pantalla de nmap los pone aunque no dice cuales son.
Salu2
La opción -sV si mal no recuerdo lo hace automáticamente (la de mostrar las versiones de los servicios)Iniciado por antheus
Es imposible saber la versión de un servicio, e incluso qué tipo de servicio o si lo hay o no, detrás de un puerto protegido por cortafuegos al que no tenemos acceso. Por eso sólo dice "filtered".
Salu2
08-07-2008, 18:22
Gracias j8k6f4v9j, pero hay algo que no entiendo: en los sistemas seguros solo usan un puerto el 21 (o el 5190 tcp) en maquinas cliente y servidores. Me han hablado del enmascaramiento de puertos, pero no me queda claro.¿Que he de hacer para acceder al puerto enmascarado, de que forma o con que programa?
Lo primero es averiguar qué servicio corre detrás de ese puerto. Sinceramente, siendo el 21 lo más lógico es que sea FTP.
Lo digo porque veo muy poco probable que (de ser necesario) alguien enmascare un servicio seguro para ponerlo en un puerto que todos los escáneres se rifan. Si yo enmascarase un servicio seguro, no lo pondría en un puerto que sé que será blanco de todos aquellos deseosos de encontrar un servicio FTP mal protegido. Pienso más bien que se trata de simples servicios FTP.
Puedes probar con cualquier cliente FTP. Quizá incluso tenga permitido el acceso anónimo (usuario ftp o anonymous con cualquier clave o sin ella)
PD: El 5190 suele ser el de AOL
Salu2
A pesar de lo logico que es pensar que el puerto 21 este siendo usado para ftp, pienso que se usa para SSH en lugar del 22.Sobre el puerto 5190 de AOL ¿es posible que este siendo usado para otro servicio?¿existe hacktool o metodo para atacar dicho puerto?
Salu2
los metodos de siempre, si vos decis que cambio el puerto nomás, los mismos ataques que podrias hacer al puertos 22 los vas a poder hacer en el puerto 5190 21 o la mar en coche
los servidores ssh, se les puede cambiar el puerto.. eso de seguridad por oscuridad :-/
Intenta tirarle un login, con putty a la direccion de IP con el puerto que vos creas pertinente.
Nmap no te ha dicho que servicio corre ? :-/
SAludos.
He probado el Putty y nada, el servicio es en teoria el ftp 21, mi pregunta es la siguiente ¿como actuariais vosotros ante esto?¿no es extraño que solo tengan abierto este puerto clientes y servidores?
pues.. si putty nada.. defintivamente, nada :-/ tal vez use algun servicio como portknocko, o algo así para abrir el ssh
y el 21 tal vez sea solo un ftp
si quereis probar los servidores dns son s.msn.com 207.46.216.58, h.msn.com 207.46.216.59 207.46.216.60, c.msn.com 207.46.216.61 207.46.216.62 ; tienen abierto el puerto 80, el 443 ademas del 21 y el 5190.Los clientes 207.46.216.63 (p.ej) solo tienen abiertos los puertos 21 y 5190, mi teoria es que se trata de SSH en el que el puerto 21 se usa en lugar del 22 y el puerto alto usado coincide con el de AOL.¿Como abordariais este sistema?¿Es posible bloquear el trafico entre los servidores y clientes?
No, no es posible. Como no sea con denegación de servicio ...
Pero perfectamente puede tratarse de un servidor de AIM, FTP, HTTP y HTTPS. ¿Por qué no?
Salu2
Gracias j8k6f4v9j, pero basicamente el funcionamiento y la respuesta no es de servidor ftp, naturalmente el servicio https, y http si estan funcionando.¿De que forma es posible la denegacion de servicio con estos puertos?, yo pienso que solo es posible con la peticion simultanea de muchas maquinas que provocasen un D.O.S pero con una sola y multiples peticiones no. Para la intrusion habria que utilizar un bruteforce para averiguar el SSH.Salu2
Si escaneas con la opción -sV de nmap, quizá consigas identificar el servicio.
La denegación de servicio no es el fruto de múltiples peticiones desde distintas máquinas. Eso sería denegación de servicio distribuída. La denegación de servicio simple se puede conseguir incluso con un solo paquetito, que evidentemente habrá de estar especialmente conformado de acuerdo a la vulnerabilidad que afecte al servicio que hay detrás del puerto. Si no sabes el servicio no puedes hacer nada de eso.
Sólo en mi /etc/services hay definidas 562 entradas. El hecho de que no sea FTP no significa que deba ser SSH. Y ponerse a intentar acceder empleando la fuerza bruta es a todas luces precipitarse.
Salu2
06-08-2008, 01:37
nmap el mejor
:|
........
Marcadores