Как узнать какой троян открыл порт?

Discussion in 'Безопасность и Анонимность' started by fresh spam, 4 Apr 2008.

  1. fresh spam

    fresh spam New Member

    Joined:
    5 Mar 2008
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    В книгах по безопасности пишут, что хакеры, просканировав порты, узнают какие трояны сидят на машине. Затем они используют клиентскую часть этого троя и получают собранную им инфу.

    Я решил попробовать это на практике.

    Одну из машин в локалке (не имею ни админского, ни гостевого доступа) просканировал nmap:

    PORT STATE SERVICE
    135/tcp open msrpc
    139/tcp open netbios-ssn
    445/tcp open microsoft-ds
    1025/tcp open NFS-or-IIS
    5000/tcp open UPnP
    5225/tcp open unknown
    5226/tcp open unknown
    8008/tcp open unknown
    11608/tcp open unknown

    123/udp open|filtered ntp
    135/udp open msrpc
    137/udp open|filtered netbios-ns
    138/udp open|filtered netbios-dgm
    445/udp open|filtered microsoft-ds
    500/udp open|filtered isakmp
    1026/udp open unknown
    1027/udp open|filtered unknown
    1028/udp open|filtered ms-lsa
    1900/udp open|filtered UPnP
    10481/udp open|filtered unknown
    44787/udp open|filtered unknown

    Система там ХР SP2, но без обновлений.

    Может кто-нить по-подробней написать как мне узнать какие там трояны?
     
  2. Piflit

    Piflit Banned

    Joined:
    11 Aug 2006
    Messages:
    1,249
    Likes Received:
    585
    Reputations:
    31
    http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
     
  3. Karantin

    Karantin Elder - Старейшина

    Joined:
    21 Dec 2007
    Messages:
    330
    Likes Received:
    146
    Reputations:
    24
    Ты уверен что там SP2? По фингрепринту определял? Попробуй на ней kaht, чем черт не шутит, вдруг там SP1/
     
  4. fresh spam

    fresh spam New Member

    Joined:
    5 Mar 2008
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Че-то не понял :confused:
    Порты, которые там перечислены nmap тоже знает

    (123/udp open|filtered ntp
    135/udp open msrpc
    137/udp open|filtered netbios-ns
    138/udp open|filtered netbios-dgm
    445/udp open|filtered microsoft-ds
    500/udp open|filtered isakmp)

    На скоко я понимаю мне нужно узнать, кто использует "unknown".
    Хрен с ним, не находим в списке некоторые порты, делаем предположение, что их могут использовать трои, что теперь?
     
  5. fresh spam

    fresh spam New Member

    Joined:
    5 Mar 2008
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Там второй системой стоит W2K SP3, так что может в момент сканирования она была запущена.
    Как по фингерпринту определять не знаю :( ...

    Можно немного по-подробней?
     
  6. Karantin

    Karantin Elder - Старейшина

    Joined:
    21 Dec 2007
    Messages:
    330
    Likes Received:
    146
    Reputations:
    24
    Удаленное определение типа используемой операционной системы путем снятия отпечатков TCP/IP (так называемый OS Fingerprint). Может быть подделан/сфабрикован чтобы ввести в заблужение взломщика. Портов что-то многовато открыто, может там вообще honeypot или что-то типа Snort запущено.
     
  7. fresh spam

    fresh spam New Member

    Joined:
    5 Mar 2008
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Вах как интересно! Как?