[<--] Indice [-->]

From zeist <zeist@comedia.it>
Date Fri, 7 Nov 2003 18:21:48 +0100 (CET)
Subject Re: [hackmeeting] networking, (winmx, netbios, telnet) (LUNGA)

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Fri, 7 Nov 2003, marc0 wrote:

> Non so' molto di networking, quindi se qualcuno mi puo' aiutare...
> 
> Mi arrivano un macello di paccetti, non e' normale per me, qualcuno mi
> puo' illuminare a capire che succede?
Abituatici....
 
> piu' che altro alla porta udp 3017 (nel pacchetto c'e' la stringa winmx)
> e pure qualche richiesta a netbios e vedo pure stringa telnet... boh. 
> ora, io sto' per inviare minacce di morte ai vari host, pero' aspetto
> un po'...
Se hai intenzione di mandare messaggi di morte ad ongi stronzo che fa' un 
mass scan preparati a scrivere molto......
 
> DAL SYSLOG:
> 
> Nov  7 15:49:09 localhost pppd[1757]: local  IP address 80.183.0.108
> Nov  7 15:49:09 localhost pppd[1757]: remote IP address 192.168.100.1
> Nov  7 15:49:09 localhost pppd[1757]: primary   DNS address 62.211.69.150
> Nov  7 15:49:09 localhost pppd[1757]: secondary DNS address 212.48.4.15

> TCPDUMP
Prima cosa: quando usi tcpdump usa l'opzione -n altrimenti aggiungi al 
traffico altro rumore dovuto al tentativo di risoluzione di tcpdump.
 
> localhost:~# tcpdump -i ppp0
> tcpdump: listening on ppp0
> 15:49:24.539251 212.216.172.62.domain > 80.183.0.108.3017:  429 1/3/0 A 64.246.1.37 (119) (DF)
[............]
> 15:49:24.539321 80.183.0.108 > 212.216.172.62: icmp: 80.183.0.108 udp port 3017 unreachable [tos 0xc0] 
> 15:49:58.573130 80.183.0.108 > 212.216.112.112: icmp: 80.183.0.108 udp port 3017 unreachable [tos 0xc0] 
> 15:49:58.593106 127.0.0.1.www > 80.183.0.108.1152: R 0:0(0) ack 72744961 win 0
Rileggi il log che hai mandato relativo al traffico sulla "porta 
3017"..... hai visto la porta remota quale'? hai visto che host e' che 
cozza contro la tua 3017?

> 35 packets received by filter
> 0 packets dropped by kernel
> localhost:~# 
> localhost:~# tcpdump -X -i ppp0
> tcpdump: listening on ppp0
[.....]
- ---
>15:50:32.166949 212.216.112.112.domain > 80.183.0.108.3017:  433 1/3/3 A 64.246.15.43 (167) (DF)
>0x0000   4500 00c3 724f 4000 f511 7c6e d4d8 7070        E...rO@...|n..pp
>0x0010   50b7 006c 0035 0bc9 00af e131 01b1 8180        P..l.5.....1....
>0x0020   0001 0001 0003 0003 0563 3333 3139 057a        .........c3319.z
>0x0030   3133 3033 0577 696e 6d78 0363 6f6d 0000        1303.winmx.com..
>0x0040   0100 01c0 0c00 0100 0100 0024 4c00 0440        ...........$L..@
>0x0050   f60f 2bc0 1800 0200 0100 002f 2400 1003        ..+......../$...
- ---
> 15:50:32.167017 80.183.0.108 > 212.216.112.112: icmp: 80.183.0.108 udp port 3017 unreachable [tos 0xc0] 
> 0x0000	 45c0 00df 4daf 0000 4001 9543 50b7 006c	E...M...@..CP..l
> 0x0010	 d4d8 7070 0303 9429 0000 0000 4500 00c3	..pp...)....E...
> 0x0020	 724f 4000 f511 7c6e d4d8 7070 50b7 006c	rO@...|n..ppP..l
> 0x0030	 0035 0bc9 00af e131 01b1 8180 0001 0001	.5.....1........
> 0x0040	 0003 0003 0563 3333 3139 057a 3133 3033	.....c3319.z1303
> 0x0050	 0577 696e 6d78 0363 6f6d 0000 0100 01c0	.winmx.com......
- ---
Ehm......... Leggi sto' cazzo di DUMP: un DNS di telecom, che e' 
ns4.tin.it (212.216.112.112), risponde a una tua query DNS (la porta 
origine e' la domain) ad una tua porta alta (3017) dicendoti che l'host 
c3319.z1303.winmx.com ha come IP 64.246.15.43.
Il secondo pasaggio sei tu che lo sfanculi con un ICMP port unreachable.


> 15:50:32.306922 80.183.51.190.2199 > 80.183.0.108.telnet: S 1553162236:1553162236(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
> 0x0000	 4500 0030 abb2 4000 7e06 7b7d 50b7 33be	E..0..@.~.{}P.3.
> 0x0050	 4141 4141 4141 4141 4141 4141 4141 4141	AAAAAAAAAAAAAAAA
Vabbe' se scleri per ogni scan che ti fanno fai prima a non connetterti ad 
internet...
 
> localhost:~# nmap localhost
> 
> Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
> Interesting ports on localhost (127.0.0.1):
> (The 1551 ports scanned but not shown below are in state: closed)
> Port       State       Service
> 25/tcp     open        smtp                    
> 111/tcp    open        sunrpc                  
> 1024/tcp   open        kdm                     
giusto per la cronaca, ma portmapper, MTA e compagnia bella ti servono 
davvero? secondo me no, impostare cmq un minimo firewall?

Altra cosa, un portmap eseguito in locale in linea squisitamente teorica 
non e' affidabile, inoltre se non specifichi diversamente vengono scannate 
solo le porte tcp da 1 a 1024.

Morale della favola, il casino lo stai facendi tutto tu da quel poco che 
risco a capire, in qualche maniera stai filtrando i dns di telecom, che 
entry hai nel resolv.conf? che regole di firewalling hai? (se ne hai).

Byez
Zeist
- - ----------------------------------------------------------------------------------------------
`The true value of a human being can be found in the degree to which he has attained 
 liberation from the self`
 - ----------------------------------------------------------------------------------------------
 GPG/PGP keys available on key-servers
 [RSA 2048] PGP Key fingerprint = 82 78 5A 58 8D E0 31 C9  B4 9D 92 04 0D F6 C1 82
 [DSA 4096] GPG Key fingerprint = D5 84 BA F3 24 64 7E B6  97 D0 1A 3B F0 40 89 72  E2 CE 1F C5
 - ----------------------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (GNU/Linux)

iD8DBQE/q9S38ECJcuLOH8URAiKcAJ9hzBlPQdmQ2K/riWLooZxn4T2JbwCcD2Ip
EpoVA/M956wmH7MmTVp9NFU=
=iVmS
-----END PGP SIGNATURE-----
_______________________________________________
hackmeeting mailing list
hackmeeting@kyuzz.org
http://lists.kyuzz.org/mailman/listinfo/hackmeeting

[<--] Indice [-->]