Μου χακεψαν τον σερβερ

Βασιλειου Σπυρος svasil at wirenet.gr
Mon May 16 17:57:23 EEST 2005


Χαιρετω την ταπεινη λιστα

Το ακολουθο μυνημα ειναι μοιρολοι!
Εχω ενα συστηματακι με Slack 9.1, με μια ADSL 384 & στατικη
συνδρομη forthnet με το PPPoE να τρεχει στο linuxaki.

Τρεχω ολα τα καλουδια απο primary DNS για το domain moy εως
Apache, Sendmail, SSH, Webmin και αλλα πολλα

Σημερα το πρωι, παω να δω την σελιδουλα μου (να δω και τα χιτακια μου)
και....ωωωωωωωωωωω.... συγκοπη! Η αρχικη σελιδα εχει αλλαξει και δειχνει
ενα "παπαδοπαιδι" σκυμενο να παιρνει .... (ξερετε τι)!

Πλακωνω μπαινω στον σερβερακο μου κοιταζω απο εδω, κοιταζω απο εκει..
ουφ μου εφυγε ενα βαρος μην εχασα δεδομενα. Ευτυχως ολα στην θεση τους!

Στο ζητημα μας τωρα. Αν και εχω προσεξει παρα πολυ το στησιμο του server
δεν μπορω να βρω απο που μπηκε ο "ποντικος". Το nmap δινει τα εξης:

root at core:~# nmap -v -sS -O 192.168.1.1

Starting nmap 3.45 ( http://www.insecure.org/nmap/ ) at 2005-05-16 17:46
EEST
Host core.χχχχχχχ.gr (192.168.1.1) appears to be up ... good.
Initiating SYN Stealth Scan against core.wirenet.gr (192.168.1.1) at 17:46
Adding open port 25/tcp
Adding open port 143/tcp
Adding open port 587/tcp
Adding open port 515/tcp
Adding open port 113/tcp
Adding open port 110/tcp
Adding open port 10000/tcp
Adding open port 80/tcp
Adding open port 22/tcp
Adding open port 139/tcp
Adding open port 53/tcp
Adding open port 901/tcp
Adding open port 1400/tcp
The SYN Stealth Scan took 3 seconds to scan 1657 ports.
For OSScan assuming that port 22 is open and port 1 is closed and neither
are firewalled
Interesting ports on core.wirenet.gr (192.168.1.1):
(The 1644 ports scanned but not shown below are in state: closed)
PORT      STATE SERVICE
22/tcp    open  ssh
25/tcp    open  smtp
53/tcp    open  domain
80/tcp    open  http
110/tcp   open  pop-3
113/tcp   open  auth
139/tcp   open  netbios-ssn
143/tcp   open  imap
515/tcp   open  printer
587/tcp   open  submission
901/tcp   open  samba-swat
1400/tcp  open  cadkey-tablet
10000/tcp open  snet-sensor-mgmt
Device type: general purpose
Running: Linux 2.4.X|2.5.X
OS details: Linux Kernel 2.4.0 - 2.5.20
Uptime 6.198 days (since Tue May 10 13:02:21 2005)
TCP Sequence Prediction: Class=random positive increments
                         Difficulty=1851821 (Good luck!)
IPID Sequence Generation: All zeros

Nmap run completed -- 1 IP address (1 host up) scanned in 7.608 seconds
root at core:~#

Οι πορτες 113, 515, 587, 1400 δεν ξερω ουτε τι ειναι, αλλα ουτε και απο ποιο
προγραμμα μενουν ανοιχτες. Για ολες τις αλλες γνωριζω.
Υπαρχει κανενα εργαλειο να μου πεις κανεις τι ειναι ολα αυτα?
Υπαρχει επισης καποιος τροπος να δω τι εχω ανοιχτο και να το φροντισω?
Τι αλλο πρεπει να βαλω στο ρημαδι το firewall για να αποτρεψω τετοια
δυσαρεστα
γεγονοτα? Μηπως τελικα η αντιμετωπιση τα κοβω ολα και αφηνω μονο αυτα που
θελω ειναι
η καλυτερη?

Το σερβερακο τον θωρακισα με ενα Cisco SOHO/96 αλλα πολυ θα ηθελα να μαθω σε
βαθος καποια πραγματακια.

Ευχαριστω
Βασιλειου Σπυρος



More information about the Linux-greek-users mailing list