[glux] nmap...
Pietro Bertera
dr.iggy@iol.it
Thu, 27 Mar 2003 00:47:36 +0100
iKv6 wrote:
> Come mai secondo voi..... faccio un nmap al mio secondo pc (su cui gira anche
> windoz, e mentre ci sta girando...), scopro che ci sono 2 porte:
> 12345/tcp filtered Netbus
> 12346/tcp filtered Netbus
> ci installo un rileva e remover trojan, fa una scansione dell'intero sistema,
> ma dice che nn ce' niente, il sistema e' pulito, faccio una scansione
> antivirus ma niente di nuovo, ripeto da linux l'nmap mentre sono connesso
> ad internet e dice che le porte 12345 e la 12346 di prima sono addirittura
> aperte!!!!!!!!
> che e' successooo...chi ha ragione????
> fabio
okkio,
i casi sono 2: o hai il pc infetto dal trojano e allora è ok
oppure hai una regola in OUTPUT (dalla macchina da cui fai lo scan) che
logga o comq modifica ogi richiesta verso porte sospette (12345 e 12346
sono sospette ;) ) per cui modifica le scansioni uscenti da tale macchina.
per andare sul sicuro fai cosi:
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
nmap macchina_win
se ti da ancora le due porte aperte allora molto probabilmente è affetto
dal trojan.
ciao