log dateien nach einem scan finden

audioslave2000 · Beitrag von **audioslave2000** » 21.05.2006 14:52:54

Hallo,

kann mir jemand sagen, ob es eine log-eintrag für einen portscan gibt, obwohl kein ids oder sonstiges läuft.
es gibt zwar eine firewall, aber die macht nur nat und es gibt ein paar regeln bez. ssh weiterleitung. standard ist natürlich alles mal gesperrt was von draußen herein kommt.

ich habe jetzt mal von einem analogen anschluss meine ip adresse des kabelanschlusses gescannt und wollte wissen ob der router das irgendwo protokolliert.

gruß

audioslave

thorben · Beitrag von **thorben** » 21.05.2006 18:30:53

moin,
mon, wenn du nix installiert hast, was das loggt, dann gibts auch kein logfile...

wozu auch?

gruß
thorben

audioslave2000 · Beitrag von **audioslave2000** » 21.05.2006 20:10:58

hab ich mir fast gedacht.
vielleicht hätte es ja sein können, dass meister kernel irgendwas merkt und loggt.

trotzdem danke für deine info

gruß

michael

nepos · Beitrag von **nepos** » 22.05.2006 11:38:00

Naja, du kannst natuerlich dein iptables-Skript so erweitern, dass alles, was gedropt wird im Log landet. Aber das kann auch bisschen viel werden...

audioslave2000 · Beitrag von **audioslave2000** » 23.05.2006 10:30:57

Hallo nepos,

ein porscan mit xscan hat folgendes ergeben. Was würdest du denn vorschlagen

Code: Alles auswählen

Type  	Port/Service  	Security Issues and Fixes
Informational 	auth (113/tcp) An identd server is running on this port
NESSUS_ID : 10330
Informational 	sunrpc (111/tcp) Maybe the "sunrpc" service running on this port.

NESSUS_ID : 10330
Informational 	unknown (22/tcp) Maybe the "SSH, Remote Login Protocol" service running on this port.

NESSUS_ID : 10330
Informational 	unknown (22/tcp) Remote SSH version : SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4

NESSUS_ID : 10267
Informational 	smtp (25/tcp) Maybe the "smtp" service running on this port.

Here is its banner:
35 35 34 20 53 4d 54 50 20 73 79 6e 63 68 72 6f 554 SMTP synchro
6e 69 7a 61 74 69 6f 6e 20 65 72 72 6f 72 0d 0a nization error
NESSUS_ID : 10330
Informational 	smtp (25/tcp) 	Remote SMTP server banner :
220 localhost.localdomain ESMTP Exim 4.50 Tue, 23 May 2006 10:21:40 +0200

This is probably: Exim version 4.50
NESSUS_ID : 10263
Informational 	portmapper (111/tcp) The RPC portmapper is running on this port.

An attacker may use it to enumerate your list of RPC services. We recommend you filter traffic going to this port.

Risk factor : Low
CVE_ID : CAN-1999-0632, CVE-1999-0189
BUGTRAQ_ID : 205
NESSUS_ID : 10223
Informational 	portmapper (111/tcp) RPC program #100000 version 2 'portmapper'   (portmap sunrpc rpcbind) is running on this port

NESSUS_ID : 11111
Informational 	RPC/status (780/tcp) RPC program #100024 version 1 'status' is running on this port

NESSUS_ID : 11111
Informational 	portmapper (111/udp) RPC program #100000 version 2 'portmapper' (portmap sunrpc rpcbind) is running on this port

NESSUS_ID : 11111
Informational 	unknown (777/udp) RPC program #100024 version 1 'status' is running on this port

Edit by Snoopy:
Code-Tags für die Leserlichkeit eingefügt.

roland · Beitrag von **roland** » 23.05.2006 10:37:38

Hast Du den PC von außen gescannt?

Du musst selber wissen, ob Du die angegebenen Services (ssh, smtp, auth, rpc) benutzt oder nicht.

Falls nicht, dann stoppe die überflüssigen Dienste (über /etc/init.d/ServiceName) und trage sie aus den entsprechenden runlevels aus (dafür benutze ich das Programm rcconf).

roland

audioslave2000 · Beitrag von **audioslave2000** » 23.05.2006 12:15:13

ich hab die Dienste die ich nicht benötige abgeschaltet. Es läuft nur der ssh server. Ich wundere mich eigentlich dass auth und die restlichen Dienste noch laufen

Gruß
audioslave

nepos · Beitrag von **nepos** » 23.05.2006 12:40:02

Ich frage mich grade, was dieser Auszug aus dem Nessus-Scan nun mit der Frage des Loggens zu tun hat...

audioslave2000 · Beitrag von **audioslave2000** » 23.05.2006 17:47:41

ich wollte ürsprünglich halt nur wissen, wenn ich meine ip mit einem portscanner checke, ob das ohne ids geloggt wird.
Hatte ich mir schon fast gedacht aber ich wollte das von jemandem bestätigt bekommen der es besser weis als ich. es könnte ja sein, dass...
und der auszug ist das ergebnis des scans.

Gruß
audioslave

herrchen · Beitrag von **herrchen** » 23.05.2006 17:54:11

audioslave2000 hat geschrieben:ich hab die Dienste die ich nicht benötige abgeschaltet. Es läuft nur der ssh server. Ich wundere mich eigentlich dass auth und die restlichen Dienste noch laufen

was sagt denn die ausgabe von:

Code: Alles auswählen

netstat -plaunt

herrchen

audioslave2000 · Beitrag von **audioslave2000** » 23.05.2006 18:12:37

Hallo,

das ist der auszug

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:780 0.0.0.0:* LISTEN 1 022/rpc.statd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 7 82/portmap
tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN 1 002/inetd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1 016/sshd
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 9 61/cupsd
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 9 96/exim4
tcp 0 296 192.168.1.1:22 192.168.1.4:1323 VERBUNDEN 1 432/sshd: xxx
udp 0 0 0.0.0.0:774 0.0.0.0:* 1 022/rpc.statd
udp 0 0 0.0.0.0:777 0.0.0.0:* 1 022/rpc.statd
udp 0 0 0.0.0.0:68 0.0.0.0:* 7 72/dhclient
udp 0 0 0.0.0.0:111 0.0.0.0:* 7 82/portmap
udp 0 0 0.0.0.0:631 0.0.0.0:* 9 61/cupsd

herrchen · Beitrag von **herrchen** » 23.05.2006 18:17:30

audioslave2000 hat geschrieben: das ist der auszug

da laufen doch alle möglichen dienste. du hattest doch geschrieben, dass du alles bis auf ssh gestoppt hast.

herrchen

audioslave2000 · Beitrag von **audioslave2000** » 23.05.2006 18:54:29

ja ich verstehe das auch nicht. Ich hatte eigentlich gedacht, dass ich alles nicht benötigte abgeschaltet hätte. alle inetd dienste mit update-inetd oder update-rc.d

Keine Ahnung was da passiert ist. Ich muss mir das nochmal anschauen