-
следуя рекомендациям Зайцева, попробовал использовать утилиту APS. Сканирую утилитой nmap. На сканируемом компе винда хп про сп3, службы по умолчанию, кис 8.0.0.434, автоматический режим, отключена блокировка атакующего хоста, остальное по умолчанию. Другого защитного софта нет и не было. Сетевое подключение Проводная сеть (Ethernet), статус Публичная сеть. Работает утилита APS, в кис я поместил ее в доверенные. Результат сканирования Regular Scan (мак я скрыл):
Код:
Starting Nmap 4.68 ( http://nmap.org ) at 2008-07-18 19:23 Финляндия (лето)
Initiating ARP Ping Scan at 19:23
Scanning 192.168.0.2 [1 port]
Completed ARP Ping Scan at 19:23, 0.50s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 19:23
Completed Parallel DNS resolution of 1 host. at 19:23, 0.58s elapsed
Initiating SYN Stealth Scan at 19:23
Scanning 192.168.0.2 [1715 ports]
Discovered open port 21/tcp on 192.168.0.2
Discovered open port 443/tcp on 192.168.0.2
Discovered open port 23/tcp on 192.168.0.2
Discovered open port 80/tcp on 192.168.0.2
Discovered open port 22/tcp on 192.168.0.2
Discovered open port 25/tcp on 192.168.0.2
Discovered open port 53/tcp on 192.168.0.2
Discovered open port 1234/tcp on 192.168.0.2
Discovered open port 5400/tcp on 192.168.0.2
Discovered open port 6969/tcp on 192.168.0.2
Discovered open port 119/tcp on 192.168.0.2
Discovered open port 43188/tcp on 192.168.0.2
Discovered open port 1024/tcp on 192.168.0.2
Discovered open port 107/tcp on 192.168.0.2
Increasing send delay for 192.168.0.2 from 0 to 5 due to max_successful_tryno increase to 4
Discovered open port 5631/tcp on 192.168.0.2
Increasing send delay for 192.168.0.2 from 5 to 10 due to 11 out of 16 dropped probes since last increase.
Discovered open port 146/tcp on 192.168.0.2
Discovered open port 808/tcp on 192.168.0.2
Discovered open port 8000/tcp on 192.168.0.2
Discovered open port 6667/tcp on 192.168.0.2
Discovered open port 2041/tcp on 192.168.0.2
Discovered open port 50000/tcp on 192.168.0.2
Discovered open port 3128/tcp on 192.168.0.2
Discovered open port 109/tcp on 192.168.0.2
Increasing send delay for 192.168.0.2 from 10 to 20 due to max_successful_tryno increase to 5
Increasing send delay for 192.168.0.2 from 20 to 40 due to max_successful_tryno increase to 6
Increasing send delay for 192.168.0.2 from 40 to 80 due to 11 out of 18 dropped probes since last increase.
Discovered open port 4444/tcp on 192.168.0.2
Discovered open port 3064/tcp on 192.168.0.2
Discovered open port 27374/tcp on 192.168.0.2
Discovered open port 31/tcp on 192.168.0.2
Discovered open port 911/tcp on 192.168.0.2
Discovered open port 1080/tcp on 192.168.0.2
SYN Stealth Scan Timing: About 28.34% done; ETC: 19:24 (0:01:15 remaining)
Discovered open port 565/tcp on 192.168.0.2
Discovered open port 15/tcp on 192.168.0.2
Discovered open port 8080/tcp on 192.168.0.2
Discovered open port 110/tcp on 192.168.0.2
Discovered open port 17300/tcp on 192.168.0.2
Discovered open port 13/tcp on 192.168.0.2
Discovered open port 194/tcp on 192.168.0.2
Discovered open port 5001/tcp on 192.168.0.2
Discovered open port 1999/tcp on 192.168.0.2
Discovered open port 5000/tcp on 192.168.0.2
Discovered open port 81/tcp on 192.168.0.2
Discovered open port 1/tcp on 192.168.0.2
Discovered open port 515/tcp on 192.168.0.2
Discovered open port 6668/tcp on 192.168.0.2
Discovered open port 65301/tcp on 192.168.0.2
Discovered open port 5714/tcp on 192.168.0.2
Discovered open port 3306/tcp on 192.168.0.2
Discovered open port 540/tcp on 192.168.0.2
Discovered open port 6000/tcp on 192.168.0.2
Discovered open port 6670/tcp on 192.168.0.2
Discovered open port 143/tcp on 192.168.0.2
Discovered open port 777/tcp on 192.168.0.2
Discovered open port 1521/tcp on 192.168.0.2
Discovered open port 1025/tcp on 192.168.0.2
Discovered open port 2638/tcp on 192.168.0.2
Discovered open port 512/tcp on 192.168.0.2
Discovered open port 1434/tcp on 192.168.0.2
Discovered open port 5800/tcp on 192.168.0.2
Discovered open port 1433/tcp on 192.168.0.2
Discovered open port 17/tcp on 192.168.0.2
Discovered open port 19/tcp on 192.168.0.2
Discovered open port 12346/tcp on 192.168.0.2
Discovered open port 54320/tcp on 192.168.0.2
Discovered open port 2049/tcp on 192.168.0.2
Discovered open port 44334/tcp on 192.168.0.2
Discovered open port 1512/tcp on 192.168.0.2
Discovered open port 4899/tcp on 192.168.0.2
Discovered open port 513/tcp on 192.168.0.2
Discovered open port 8888/tcp on 192.168.0.2
Discovered open port 5632/tcp on 192.168.0.2
Discovered open port 1526/tcp on 192.168.0.2
SYN Stealth Scan Timing: About 75.22% done; ETC: 19:25 (0:00:35 remaining)
Discovered open port 9/tcp on 192.168.0.2
Discovered open port 1494/tcp on 192.168.0.2
Discovered open port 12345/tcp on 192.168.0.2
Discovered open port 4333/tcp on 192.168.0.2
Discovered open port 31337/tcp on 192.168.0.2
Discovered open port 111/tcp on 192.168.0.2
Discovered open port 20/tcp on 192.168.0.2
Discovered open port 2000/tcp on 192.168.0.2
Discovered open port 6112/tcp on 192.168.0.2
Discovered open port 11/tcp on 192.168.0.2
Discovered open port 16959/tcp on 192.168.0.2
Discovered open port 7/tcp on 192.168.0.2
Discovered open port 6666/tcp on 192.168.0.2
Discovered open port 2600/tcp on 192.168.0.2
Discovered open port 2016/tcp on 192.168.0.2
Discovered open port 1001/tcp on 192.168.0.2
Discovered open port 514/tcp on 192.168.0.2
Discovered open port 1011/tcp on 192.168.0.2
Discovered open port 1012/tcp on 192.168.0.2
Discovered open port 79/tcp on 192.168.0.2
Discovered open port 555/tcp on 192.168.0.2
Completed SYN Stealth Scan at 19:25, 154.98s elapsed (1715 total ports)
Host 192.168.0.2 appears to be up ... good.
Interesting ports on 192.168.0.2:
Not shown: 1617 closed ports
PORT STATE SERVICE
1/tcp open tcpmux
7/tcp open echo
9/tcp open discard
11/tcp open systat
13/tcp open daytime
15/tcp open netstat
17/tcp open qotd
19/tcp open chargen
20/tcp open ftp-data
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
25/tcp open smtp
31/tcp open msg-auth
53/tcp open domain
79/tcp open finger
80/tcp open http
81/tcp open hosts2-ns
107/tcp open rtelnet
109/tcp open pop2
110/tcp open pop3
111/tcp open rpcbind
119/tcp open nntp
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
143/tcp open imap
146/tcp open iso-tp0
194/tcp open irc
443/tcp open https
445/tcp filtered microsoft-ds
512/tcp open exec
513/tcp open login
514/tcp open shell
515/tcp open printer
540/tcp open uucp
555/tcp open dsf
565/tcp open whoami
777/tcp open unknown
808/tcp open ccproxy-http
911/tcp open unknown
1001/tcp open unknown
1011/tcp open unknown
1012/tcp open unknown
1024/tcp open kdm
1025/tcp open NFS-or-IIS
1080/tcp open socks
1110/tcp filtered nfsd-status
1234/tcp open hotline
1433/tcp open ms-sql-s
1434/tcp open ms-sql-m
1494/tcp open citrix-ica
1512/tcp open wins
1521/tcp open oracle
1526/tcp open pdap-np
1999/tcp open tcp-id-port
2000/tcp open callbook
2016/tcp open bootserver
2041/tcp open interbase
2049/tcp open nfs
2600/tcp open zebrasrv
2638/tcp open sybase
3064/tcp open dnet-tstproxy
3128/tcp open squid-http
3306/tcp open mysql
3389/tcp filtered ms-term-serv
4333/tcp open msql
4444/tcp open krb524
4899/tcp open radmin
5000/tcp open upnp
5001/tcp open commplex-link
5400/tcp open pcduo-old
5631/tcp open pcanywheredata
5632/tcp open pcanywherestat
5714/tcp open prosharevideo
5800/tcp open vnc-http
6000/tcp open X11
6112/tcp open dtspc
6666/tcp open irc
6667/tcp open irc
6668/tcp open irc
6670/tcp open irc
6969/tcp open acmsoda
8000/tcp open http-alt
8080/tcp open http-proxy
8888/tcp open sun-answerbook
12345/tcp open netbus
12346/tcp open netbus
16959/tcp open subseven
17300/tcp open kuang2
27374/tcp open subseven
31337/tcp open Elite
43188/tcp open reachout
44334/tcp open tinyfw
50000/tcp open iiimsf
54320/tcp open bo2k
65301/tcp open pcanywhere
MAC Address: хх:хх:хх:хх:хх:хх (ххх)
Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 156.532 seconds
Raw packets sent: 2032 (89.406KB) | Rcvd: 2933 (183.436KB)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Это сканирование с ПУБЛИЧНОЙ сети?!? Я не пью, но по моему мне надо срочно научиться выпить...
Paul
-
Сообщение от
p2u
Это сканирование с ПУБЛИЧНОЙ сети?!?
Paul
да
(учиться никогда не поздно )
-
Сообщение от
p2u
Это сканирование с ПУБЛИЧНОЙ сети?!? Я не пью, но по моему мне надо срочно научиться выпить...
Paul
Все просто "...Работает утилита APS, в кис я поместил ее в доверенные ...". Т.е. идет проверка на практике того, что доверенным приложениям можно работать в Инет из под KIS Собственно про это есть в FAQ - http://www.z-oleg.com/secur/aps/faq.php
-
-
Сообщение от
Зайцев Олег
Все просто
"...
Работает утилита APS, в кис я поместил ее в доверенные ...". Т.е. идет проверка на практике того, что доверенным приложениям можно работать в Инет из под KIS
Я это всё понимаю. Я APS очень люблю, честно, но Виндовских Служб НЕ люблю, а великая часть их тоже в доверенных. Это не есть хорошо, или я что-то не допонимаю?
Paul
-
Сообщение от
p2u
великая часть их тоже в доверенных
Paul
все виндовые службы доверенные (по умолчанию кис)
-
Сообщение от
costashu
все виндовые службы доверенные (по умолчанию кис)
Ой... Не увидел, что вы уже ответили на мой вопрос (что-то с таймингом форума). Но это же самоубийство на самом деле?
Paul
-
Сообщение от
p2u
Это вы так сами задали, или это настройки по умолчанию в КИСе?
Paul
это настройки по умолчанию в КИСе. Вручную я изменил статус сети на публичную
-
Сообщение от
costashu
это настройки по умолчанию в КИСе. Вручную я изменил статус сети на публичную
Вы не могли бы выложить SysInfo log сканируемой системы? Спасибо.
Paul
-
Сообщение от
p2u
Вы не могли бы выложить SysInfo log сканируемой системы?
Paul
sysinfo.rar
-
Сообщение от
costashu
Thanks! Требуется некоторое время на анализ. Ждите ответа. Скорее завтра...
P.S.: Пока я не могу ничего другого сказать кроме: с таким компом я лично не вышел бы в сеть НИКОГДА. Разберёмся в чём дело...
P.S.: Возможно потребуется тоже трейсы для Лаба, но в них я не разбираюсь...
Paul
-
Сообщение от
p2u
с таким компом я лично не вышел бы в сеть НИКОГДА
Paul
да и я не выхожу С таким
Спасибо, буду ждать анализы
Добавлено через 11 часов 5 минут
результат сканирования udp (условия аналогичны предыдущему, команда nmap -v -v -sU 192.168.0.2):
Код:
Starting Nmap 4.68 ( http://nmap.org ) at 2008-07-19 08:50 Финляндия (лето)
Initiating ARP Ping Scan at 08:50
Scanning 192.168.0.2 [1 port]
Completed ARP Ping Scan at 08:50, 0.47s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 08:50
Completed Parallel DNS resolution of 1 host. at 08:50, 0.11s elapsed
Initiating UDP Scan at 08:50
Scanning 192.168.0.2 [1488 ports]
Completed UDP Scan at 08:50, 21.36s elapsed (1488 total ports)
Host 192.168.0.2 appears to be up ... good.
Scanned at 2008-07-19 08:50:37 Финляндия (лето) for 22s
Interesting ports on 192.168.0.2:
Not shown: 1461 closed ports
PORT STATE SERVICE
19/udp open|filtered chargen
49/udp open|filtered tacacs
53/udp open|filtered domain
69/udp open|filtered tftp
123/udp open|filtered ntp
135/udp open|filtered msrpc
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
139/udp open|filtered netbios-ssn
161/udp open|filtered snmp
162/udp open|filtered snmptrap
445/udp open|filtered microsoft-ds
456/udp open|filtered macon
500/udp open|filtered isakmp
1025/udp open|filtered blackjack
1349/udp open|filtered sbook
1433/udp open|filtered ms-sql-s
1434/udp open|filtered ms-sql-m
1900/udp open|filtered upnp
2000/udp open|filtered callbook
3333/udp open|filtered dec-notes
3996/udp open|filtered remoteanything
4000/udp open|filtered icq
4500/udp open|filtered sae-urn
5632/udp open|filtered pcanywherestat
31337/udp open|filtered BackOrifice
54321/udp open|filtered bo2k
MAC Address: хх:хх:хх:хх:хх:хх (ххх)
Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 22.266 seconds
Raw packets sent: 1843 (51.618KB) | Rcvd: 1462 (81.858KB)
Последний раз редактировалось costashu; 19.07.2008 в 09:58.
Причина: Добавлено
-
Сообщение от
costashu
да и я не выхожу
С таким
Спасибо, буду ждать анализы
Невооружённым глазом пока ещё не обнаружил никаких отклонений от нормы в вашем журнале SysInfo.
Сообщение от
costashu
результат сканирования udp [SNIP}
Хочу вас попросить сделать интенсивный скан с nmap БЕЗ APS. Причём, есть смысл делать такой скан по всем 65536 портам. Простите, это будет долго, но результаты такого скана того стоят - они покажут, насколько Windows сама себя ведёт как проститутка в вашей конфигурации.
Комманда для такого скана (елси не ошибаюсь, конечно - у меня nmap нет):
Код:
nmap -T Aggressive -A -p0-65535 -v 192.168.0.2
Можно ещё так: тот же скан, но конкретно tcp connect - то есть:
Код:
nmap -v -p0-65535 -T Aggressive -sT 192.168.0.2
Или tcp SYN - там возможностей куча... Раз вы работаете с nmap, вы разберётесь, я так думаю...
Жду результатов.
Paul
Последний раз редактировалось XP user; 19.07.2008 в 10:34.
-
Сообщение от
p2u
Жду результатов.
Paul
вот (без APS, команда nmap -v -p0-65535 -T Aggressive -sT 192.168.0.2, то есть соединения по всем портам tcp, строку с маком буду опускать):
Код:
Starting Nmap 4.68 ( http://nmap.org ) at 2008-07-19 09:24 Финляндия (лето)
Initiating ARP Ping Scan at 09:24
Scanning 192.168.0.2 [1 port]
Completed ARP Ping Scan at 09:24, 0.47s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 09:24
Completed Parallel DNS resolution of 1 host. at 09:24, 0.58s elapsed
Initiating Connect Scan at 09:24
Scanning 192.168.0.2 [65536 ports]
Discovered open port 21/tcp on 192.168.0.2
Connect Scan Timing: About 1.02% done; ETC: 10:14 (0:48:49 remaining)
Completed Connect Scan at 10:12, 2868.45s elapsed (65536 total ports)
Host 192.168.0.2 appears to be up ... good.
Interesting ports on 192.168.0.2:
Not shown: 65535 filtered ports
PORT STATE SERVICE
21/tcp open ftp
Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 2870.062 seconds
Raw packets sent: 1 (42B) | Rcvd: 1 (42B)
сделать по всем udp?
-
Сообщение от
costashu
21/tcp open ftp
Это следовало бы ожидать - открыт порт 21 TCP. Это результат новой фичы в КИС. Где-то уже обсуждалось.
UDP ОБЯЗАТЕЛЬНО, так как гораздо труднее для любого файрвола...
Paul
-
Сообщение от
p2u
Но это же самоубийство на самом деле?
Paul
Пол, я знаю Ваше отношение к службам Windows, и уважаю Ваше мнение. Однако абсолютное большинство пользователей пользуется этими службами. Цель разработчиков средств информационной безопасности - обеспечить большинству пользователей безопасность без отключения удобств.
Именно поэтому KIS по умолчанию разрешает доверенным приложениям доступ в сеть. Ничто не мешает Вам, как опытному пользователю, изменить это поведение, соответствующим образом настроив KIS и свою операционную систему.
-
-
Сообщение от
DVi
Пол, я знаю Ваше отношение к службам Windows, и уважаю Ваше мнение. Однако абсолютное большинство пользователей пользуется этими службами. Цель разработчиков средств информационной безопасности - обеспечить большинству пользователей безопасность без отключения удобств.
Именно поэтому KIS по умолчанию разрешает доверенным приложениям доступ в сеть. Ничто не мешает Вам, как опытному пользователю, изменить это поведение, соответствующим образом настроив KIS и свою операционную систему.
Здравствуйте, DVi!
Я переживаю за домохозяек и блондинок, для которых продукт c такими настройками по умолчанию был создан, и которые НЕ знают, как отключить то или другое. И, одновременно, я тоже переживаю за доброе имя продукта.
P.S.: Мне сейчас на работу - вернусь не скоро...
Paul
-
p2u, все эти службы Windows были созданы "для домохозяек и блондинок", именно их наличие обеспечило популярность операционных систем компании Microsoft. Их отключение приведет к коллапсу - домохозяйки и блондинки просто не смогут пользоваться компьютером без дополнительного обучения.
-
-
Сообщение от
p2u
UDP ОБЯЗАТЕЛЬНО
Paul
вот (команда nmap -v -v -v -p0-65535 -T Aggressive -sU 192.168.0.2):
Код:
Starting Nmap 4.68 ( http://nmap.org ) at 2008-07-19 12:47 Финляндия (лето)
Initiating ARP Ping Scan at 12:47
Scanning 192.168.0.2 [1 port]
Completed ARP Ping Scan at 12:47, 0.47s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 12:47
Completed Parallel DNS resolution of 1 host. at 12:47, 0.16s elapsed
DNS resolution of 1 IPs took 0.17s. Mode: Async [#: 2, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]
Initiating UDP Scan at 12:47
Scanning 192.168.0.2 [65536 ports]
Increasing send delay for 192.168.0.2 from 0 to 50 due to max_successful_tryno increase to 5
Increasing send delay for 192.168.0.2 from 50 to 100 due to max_successful_tryno increase to 6
UDP Scan Timing: About 2.72% done; ETC: 13:06 (0:17:55 remaining)
Warning: Giving up on port early because retransmission cap hit.
UDP Scan Timing: About 17.74% done; ETC: 14:31 (1:25:34 remaining)
UDP Scan Timing: About 89.14% done; ETC: 14:44 (0:12:40 remaining)
Completed UDP Scan at 14:45, 7033.81s elapsed (65536 total ports)
Host 192.168.0.2 appears to be up ... good.
Scanned at 2008-07-19 12:47:46 Финляндия (лето) for 7035s
Interesting ports on 192.168.0.2:
Not shown: 65527 closed ports
PORT STATE SERVICE
123/udp open|filtered ntp
135/udp open|filtered msrpc
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
139/udp open|filtered netbios-ssn
445/udp open|filtered microsoft-ds
500/udp open|filtered isakmp
1900/udp open|filtered upnp
4500/udp open|filtered sae-urn
Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 7035.016 seconds
Raw packets sent: 66145 (1.852MB) | Rcvd: 65567 (3.672MB)
-
Left home for a few days and look what happens...
-