2013. szeptember 15., vasárnap

Feketelista

Mivel ezek a támadások csak nem szűnnek elhatároztam, hogy készítek egy fekete listát azokról a címekről amik támadják a gépemet. Aki kéri annak MAJD elküldöm az aktuális listát (ip címeket)
(biztos lesz egy csomó, mert ezek nem alszanak ;)

A legutóbbi támadás innen jött: lucenttel.com


A reverse dns-e érdekes :)
Az nmap ezt mondja róla:
Starting Nmap 6.40 ( http://nmap.org ) at 2013-09-15 22:07 CEST
Nmap scan report for doesnt-think-he.kicks-ass.net (65.111.172.31)
Host is up (0.15s latency).
Not shown: 992 closed ports
PORT     STATE    SERVICE     VERSION
22/tcp   open     ssh         OpenSSH 4.3 (protocol 2.0)
25/tcp   filtered smtp
80/tcp   open     http        Apache httpd 2.2.3 ((CentOS))
111/tcp  open     rpcbind     2 (RPC #100000)
443/tcp  open     ssl/http    Apache httpd 2.2.3 ((CentOS))
2000/tcp open     cisco-sccp?
3306/tcp open     mysql       MySQL (unauthorized)
6005/tcp filtered X11:5
Device type: firewall|general purpose|specialized|WAP|webcam|media device
Running (JUST GUESSING): Juniper IVE OS 7.X (88%), Check Point Linux 2.6.X|2.4.X (87%), Linux 2.6.X|2.4.X (87%), Cisco embedded (86%), ISS Linux 2.4.X (86%), Linksys embedded (86%), Logitech Linux 2.6.X (86%), Sony embedded (85%)
OS CPE: cpe:/h:juniper:mag2600 cpe:/o:linux:linux_kernel:2.6.18 cpe:/o:checkpoint:linux_kernel:2.4 cpe:/o:iss:linux_kernel:2.4 cpe:/h:linksys:wap54g cpe:/o:linux:linux_kernel:2.4.20 cpe:/h:sony:bravia_kdl-46hs720
Aggressive OS guesses: Juniper MAG2600 SSL VPN gateway (IVE OS 7.3) (88%), Check Point GAiA (Linux 2.6.18) (87%), Linux 2.6.18 (87%), Check Point firewall (Linux 2.4.21) (86%), Check Point VPN-1 firewall (Linux 2.6.18) (86%), Cisco NME-NAM-80S network analysis module (86%), Linux 2.6.16 - 2.6.28 (86%), ISS Proventia GX3002C firewall (Linux 2.4.18) (86%), Linksys WAP54G WAP (86%), Linux 2.4.20 (86%)
No exact OS matches for host (test conditions non-ideal).
A sinfp3 pedig ezt:
root@kali:~# sinfp3.pl -target 65.111.172.31 -port 80
[+] [J:0] Loaded Input:  Net::SinFP3::Input::SynScan
[+] [J:0] Loaded DB:     Net::SinFP3::DB::SinFP3
[+] [J:0] Loaded Mode:   Net::SinFP3::Mode::Active
[+] [J:0] Loaded Search: Net::SinFP3::Search::Active
[+] [J:0] Loaded Output: Net::SinFP3::Output::Simple
[+] [J:0] Starting of Input [Net::SinFP3::Input::SynScan]
[+] [J:0] Estimated running time: 0 day(s) 0 hour(s) 0 minute(s) 3 second(s) for 1 host(s)
[+] [J:1] Starting of job with Next [65.111.172.31]:80 hostname[unknown] reverse[unknown] mac[XX:XX:XX:XX:XX:XX]
[65.111.172.31  ]:80     reverse: unknown  [ 98%: Linux 2.6.x]
[65.111.172.31  ]:80     reverse: unknown  [ 92%: Linux 2.4.x]
[65.111.172.31  ]:80     reverse: unknown  [ 71%: Linux 3.2.x]
[65.111.172.31  ]:80     reverse: unknown  [ 71%: Linux 3.0.x]
[+] [J:0] Done: operation successful
Ez egy Linux lesz ami a céges Juniperes Tűzfal mögül basztatja a jóembereket... Ráadásul ha jól látom, ezen a linuxon fut a céges http és https szolgáltatás. Ez nagyon derék!

Ahonnan eddig jöttek a támadások azokra spongyát rá, de akik ezután jönnek azokat felveszem egy jó kis listába - akiken majd lehet tesztelni különböző dolgokat... :)

Ez pedig itt a vnc szerveres windows 2003-as gép ip címe : 186.74.162.75

Mivel ezek kérdezés nélkül nekiálltak támadni a gépem ezért azt kell, hogy feltételezzem, hogy nem "jóemberek" ülnek a vonal tulsó végén ezért nem is olyan bánásmódot érdemelnek amit a rendes emberek. Ezért ha ők tesztelik a gépem, akkor majd én is az övéket. Ez így fair.

(miközben ezt a bejegyzést írtam jött egy újabb látogató innen : 187.174.135.146 (Mexikó)
Starting Nmap 6.40 ( http://nmap.org ) at 2013-09-15 22:51 CEST
Nmap scan report for customer-187-174-135-146.uninet-ide.com.mx (187.174.135.146)
Host is up (0.21s latency).
Not shown: 998 filtered ports
PORT   STATE SERVICE VERSION
23/tcp open  telnet  Netscreen ScreenOS telnetd
80/tcp open  http    Virata-EmWeb 6.0.1 (Netscreen administrative web server)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: firewall
Running: Juniper embedded
OS CPE: cpe:/h:juniper:networks_ssg_20
OS details: Juniper Networks SSG 20 firewall
Service Info: Device: firewall
[187.174.135.146]:80     reverse: unknown  [ 98%: ShoreGear unknown]
[187.174.135.146]:80     reverse: unknown  [ 98%: HP-UX 9.x]
[187.174.135.146]:80     reverse: unknown  [ 92%: SuperStack unknown]
[187.174.135.146]:80     reverse: unknown  [ 92%: Passport unknown]
[187.174.135.146]:80     reverse: unknown  [ 92%: BayStack 470 unknown]
[187.174.135.146]:80     reverse: unknown  [ 92%: JetDirect unknown]
[187.174.135.146]:80     reverse: unknown  [ 92%: ProCurve unknown]
Csak a próba kedvéért rátelneteltem a 23-as portra:
 root@kali:~# telnet 187.174.135.146
Trying 187.174.135.146...
Connected to 187.174.135.146.
Escape character is '^]'.
Remote Management Console
login: admin
password:
 ### Login failed
A remote management konzol kint figyel az interneten :) Kúl!
A 80-as porton se jobb a helyzet:






Admin name.... és Password. Pffff.  Mondjuk ez nem támadta a gépet - egyelőre. Csak rájelentkezett a 80-as portra pedig marhára nincs hirdetve sehol a cím, ez egy tök PRIVÁT szerver. Mondjuk, nem a céges infrastruktúráról kéne nyomulni kéretlenül ismeretlen privát szerverekre.

Ha jönnek újabb "versenyzők", updatelem vagy csak beírom megjegyzésbe...

2 megjegyzés:

  1. If you need your ex-girlfriend or ex-boyfriend to come crawling back to you on their knees (no matter why you broke up) you must watch this video
    right away...

    (VIDEO) Get your ex back with TEXT messages?

    VálaszTörlés
  2. BlueHost is definitely one of the best hosting provider for any hosting plans you might need.

    VálaszTörlés