URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2163
[ Назад ]

Исходное сообщение
"Подозрение на сканирование портов из apache"
Отправлено Noname , 02-Июл-05 14:29

Возникла проблема - часто приходят жалобы о сканировании различных портов (как правило >1000) с нашего хостинг сервера. ОС - freebsd 5.4, сканирование идет всегда с одного конкретного IP (на сервере их много). Юзера имеют shell доступ. Юзеру с ip которого идет скан можно доверять, он сам этого делать не будет. chkrootkit ничего не находит, левых процессов тоже нет. Есть подозрение,что сканирование идет из скриптов юзера с 80ого порта, но проверить все скрипты возможности нет. Есть ли способ определить причину и конкретный источник проблемы?

Содержание

Подозрение на сканирование портов из apache,def, 08:21 , 04-Июл-05
- Подозрение на сканирование портов из apache,Junky, 14:11 , 04-Июл-05
  - Подозрение на сканирование портов из apache,def, 14:56 , 04-Июл-05
    - Подозрение на сканирование портов из apache,Junky, 15:13 , 04-Июл-05
  - Подозрение на сканирование портов из apache,favourite, 05:20 , 05-Июл-05

Сообщения в этом обсуждении

"Подозрение на сканирование портов из apache"
Отправлено def , 04-Июл-05 08:21

Картина представляется следующая: на вебе отрабатывает один из вариантов frontend-а для nmap (их множество сейчас, скорее всего на php), а т.к. пользователь не прив., то сканит без стелфа (подставляя тебя) и порты > 1000. Найти легко, пробеги контекстным поиском по каталогам www на предмет наличия слова nmap.

"Подозрение на сканирование портов из apache"
Отправлено Junky , 04-Июл-05 14:11

>Картина представляется следующая: на вебе отрабатывает один из вариантов frontend-а для nmap (их множество сейчас, скорее всего на php), а т.к. пользователь не прив., то сканит без стелфа (подставляя тебя) и порты > 1000. Найти легко, пробеги контекстным поиском по каталогам www на предмет наличия слова nmap.

поиск слова nmap результатов не принес :(

"Подозрение на сканирование портов из apache"
Отправлено def , 04-Июл-05 14:56

>поиск слова nmap результатов не принес :(
Тогда откуда уверенность что это не подстава, возможно твой адрес просто использован в цепочке nmap - decoy с совершенно другой машины? Необходимо глянуть на логи от сканирования, это может многое прояснить.

"Подозрение на сканирование портов из apache"
Отправлено Junky , 04-Июл-05 15:13

>>поиск слова nmap результатов не принес :(
>
>Тогда откуда уверенность что это не подстава, возможно твой адрес просто использован
>в цепочке nmap - decoy с совершенно другой машины? Необходимо глянуть
>на логи от сканирования, это может многое прояснить.

Может и так. Просто достаточно много народу уже жаловалось, к тому же у одного человека это началось после посещения ресурса, находящегося на этом IP.

"Подозрение на сканирование портов из apache"
Отправлено favourite , 05-Июл-05 05:20

>>Картина представляется следующая: на вебе отрабатывает один из вариантов frontend-а для nmap (их множество сейчас, скорее всего на php), а т.к. пользователь не прив., то сканит без стелфа (подставляя тебя) и порты > 1000. Найти легко, пробеги контекстным поиском по каталогам www на предмет наличия слова nmap.
>
>
>поиск слова nmap результатов не принес :(
можно на этом хосте временно сделать chmod -x nmap