Néhány hete elkezdtem egy olyan projektet tesztelni amihez ki kellett nyitom a routeren a gépem felé pár portot. Mondanom sem kell, hogy már pár óra után megjelentek tapogatódzó kérések.... ez rejtély, hogy hogy tudják ilyen hamar kiszúrni a neten, ha kinyitok egy portot. Brazil, francia és egyéb címekről jöttek a támadások. Igazából egyelőre még nem támadások csak sebezhetőségi vizsgálatok.
A Dfind nevű progi volt a leggyakoribb amit használtak , a többit egyelőre nem tudtam beazonosítani.
Eddig nem igazán foglalkoztam a dologgal, mert időm se volt rá meg úgyse tudnak az adott porton bejönni, mert ott nem egy normál webszerver fut (hanem egy metasploit autopwn). Érdekes, hogy párszot kaptam egy távoli shellt a támadó gépekre :). De idő hiányában ezzel se kezdtem semmit.
Viszont ma volt egy kis időm és az egyik támadót vissza nmapoltam. Valójában kettőt, mert ma ketten jöttek. Mind ketten az OVH SAS címeiről. az egyik egy Linux volt, ott csak a 22-es port volt nyitva - így ezzel nem foglalkoztam - egyelőre - de a másik egy Windows 2003 szerver volt amin elég sok port nyitva volt. Az 5900-esre (vnc) rá is engedtem egy brute force attackot a rockyou jelszó adatbázissal (130 mega szöveg fájl) Kíváncsi vagyok, hogy meddig fog futni... :) (persze nem a saját ip címemről megy a teszt :)
A másik, hogy a port kinyitás miatt a biztonság kedvéért ráengedtem egy Nessust a win7-es gépemre és két kritikus és 36db súlyos hibát talált. Amin eléggé meglepődtem, mert azt képzeltem, hogy up-to-date a gépem. De tévedtem. Mindenesetre kijavítottam ezeket a hibákat. Érdemes időnként lefuttatni mindenkinek egy ilyen vizsgálatot a saját gépére (ha windows ha linux) mert nagyon tanulságos eredménye lehet. (2-3 napos hibákat is megtalált, mert nem volt reboot pár napig a gépen és így nem tudtak lefutni az automatikus frissítések) Nagy királyság ez a Nessus...
Win7-en nem volt egyszerű megoldani, hogy a nessus normálisan lefusson. Előszöris az Adminisztrátori accountot aktívvá kellett teni, utána beállítani neki valami jelszót, a remote registry és a wmi szolgáltatásokat elindítani és a tűzfalat kikapcsolni. Ezek hiányában nem hozta ki a hibákat.
Nincsenek megjegyzések:
Megjegyzés küldése
Megjegyzés: Megjegyzéseket csak a blog tagjai írhatnak a blogba.