[Pluto-security] macchina bucata?
Fabio Panigatti
pluto-security@lists.pluto.linux.it
Mon, 25 Nov 2002 16:22:05 +0100
>2065/tcp filtered dlsrpn
Quella porta e' filtrata, non aperta: vuol dire che nmap non ha
ricevuto alcuna risposta. Probabillmente i sistemisti di quella
rete filtrano la 2065/tcp in ingresso in quanto la usano per le
comunicazioni DLSw (rfc 1434 e 1795 [1]), e non vogliono che da
fuori sia possibile effettuare connessioni. Oppure l'rtt tra il
server e la tua postazione e' vicino al timeout di ricezione di
nmap e si tratta di un falso positivo. In quest'ultimo caso una
seconda scansione dovrebbe darti risultati diversi. Se e' cosi'
puoi provare a camabiare il timeout.
>mi sa che mi hanno bucato la macchina , qualcuno sa darmi qualche
>dritta? posso accederci in qualche modo?
A prima vista non sembra che ci siano evidenze del fatto che ti
abbiano bucato la macchina. Questo non vuol dire, e' ovvio, che
non sia stata bucata :-) In linea di massima, in ogni caso, chi
ti buca la macchina ha necessita' che questa permanga in quello
stato il piu' a lungo possibile e quindi si guarderebbe bene da
impedirti l'accesso via ssh, dandoti evidenza di un alterazione
del sistema.
Se non accedi piu' tramite ssh direi che l'unica e' farlo dalla
console della macchina. Oppure fai attivare un demone telnet, o
fai rivedere la configurazione di ssh da qualcuno in locale che
possa amministrare la macchina.
>22/tcp open ssh
Se la usi solo tu o un numero limitato di utenti io la sposterei
su un'altra porta.
>53/tcp open domain
E' un server DNS? Se la risposta e' si puo' darsi che, comunque,
non abbia bisogno di avere la 53/tcp aperta, oltre alla 53/udp.
>3306/tcp open mysql
Se lo usi solo per il sito che gira su quella macchina il server
MySQL potrebbe anche ascoltare solo sull'interfaccia di loopback.
Fabio
[1] non le so a memoria: sono andato a cercarle :-)