[glux] nmap...

Pietro Bertera dr.iggy@iol.it
Thu, 27 Mar 2003 00:47:36 +0100


iKv6 wrote:
> Come mai secondo voi..... faccio un nmap al mio secondo pc (su cui gira anche 
> windoz, e mentre ci sta girando...),  scopro che ci sono 2 porte:                          		
> 12345/tcp filtered  Netbus
> 12346/tcp filtered  Netbus
> ci installo un rileva e remover trojan, fa una scansione dell'intero sistema, 
> ma dice che nn ce' niente, il sistema e' pulito, faccio una scansione 
> antivirus ma niente di nuovo,  ripeto da linux l'nmap mentre sono connesso  
> ad internet e dice che le porte 12345 e la 12346 di prima sono addirittura 
> aperte!!!!!!!!
> che e' successooo...chi ha ragione????
> fabio

okkio,
i casi sono 2: o hai il pc infetto dal trojano e allora è ok
oppure hai una regola in OUTPUT (dalla macchina da cui fai lo scan) che 
logga o comq modifica ogi richiesta verso porte sospette (12345 e 12346 
sono sospette ;) ) per cui modifica le scansioni uscenti da tale macchina.
per andare sul sicuro fai cosi:

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

nmap macchina_win

se ti da ancora le due porte aperte allora molto probabilmente è affetto 
dal trojan.
ciao