В книгах по безопасности пишут, что хакеры, просканировав порты, узнают какие трояны сидят на машине. Затем они используют клиентскую часть этого троя и получают собранную им инфу. Я решил попробовать это на практике. Одну из машин в локалке (не имею ни админского, ни гостевого доступа) просканировал nmap: PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1025/tcp open NFS-or-IIS 5000/tcp open UPnP 5225/tcp open unknown 5226/tcp open unknown 8008/tcp open unknown 11608/tcp open unknown 123/udp open|filtered ntp 135/udp open msrpc 137/udp open|filtered netbios-ns 138/udp open|filtered netbios-dgm 445/udp open|filtered microsoft-ds 500/udp open|filtered isakmp 1026/udp open unknown 1027/udp open|filtered unknown 1028/udp open|filtered ms-lsa 1900/udp open|filtered UPnP 10481/udp open|filtered unknown 44787/udp open|filtered unknown Система там ХР SP2, но без обновлений. Может кто-нить по-подробней написать как мне узнать какие там трояны?
Ты уверен что там SP2? По фингрепринту определял? Попробуй на ней kaht, чем черт не шутит, вдруг там SP1/
Че-то не понял Порты, которые там перечислены nmap тоже знает (123/udp open|filtered ntp 135/udp open msrpc 137/udp open|filtered netbios-ns 138/udp open|filtered netbios-dgm 445/udp open|filtered microsoft-ds 500/udp open|filtered isakmp) На скоко я понимаю мне нужно узнать, кто использует "unknown". Хрен с ним, не находим в списке некоторые порты, делаем предположение, что их могут использовать трои, что теперь?
Там второй системой стоит W2K SP3, так что может в момент сканирования она была запущена. Как по фингерпринту определять не знаю ... Можно немного по-подробней?
Удаленное определение типа используемой операционной системы путем снятия отпечатков TCP/IP (так называемый OS Fingerprint). Может быть подделан/сфабрикован чтобы ввести в заблужение взломщика. Портов что-то многовато открыто, может там вообще honeypot или что-то типа Snort запущено.