伙计们,有一个奇怪的,需要你的专家的帮助。 对于我们在审计中出现的大量使用的外部服务器,nmap -Pn扫描显示如下:
Starting Nmap 5.51 ... Host pub.ip is up (0.0032s latency). Not shown: 993 filtered ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 80/tcp open http 113/tcp closed auth 119/tcp open nntp 8008/tcp open http 8010/tcp open xmpp 现在这是一个公共的FTP / SFTP服务器,物理主机上的netstat / lsof确认只有端口21(ftp),22(ssh)和25(内部smtp)在监听。
ASA FWconfiguration显示它只允许从pub IP到ftp / ssh上的内部IP的NAT:
static (dmz3,pub1) pub.ip internalftp.ip netmask 255.255.255.255 access-list pub1_access_in extended permit tcp any host pub.ip eq ftp access-list pub1_access_in extended permit tcp any host pub.ip eq ssh
而已。 整个固件configuration中没有8010或8008端口的条目。
但是,这是令人困惑的部分:
当我试图打开一个套接字(使用telnet)在端口8008,我得到一个套接字,当我键入HEAD /或GET /,我得到以下redirect到安全端口8010:
HTTP/1.1 302 Found Location: https://:8010 Connection: close Connection to host lost.
我可以在8010端口上打开一个套接字,但什么也不收,什么都不通过浏览器或wireshark。
有趣的是,在物理ftp / sftp服务器上,快速
#tcpdump -nni eth0 port 80 or port 8008 or port 8010
当我在我的客户端上获得套接字时,不会产生stream量。 所以def。 连接正在其他地方build立。
所以这里来了 – 什么是套接字/ est上的连接在服务器端的列表!
一个论坛/线程提出了一个可能的智能路由器/混合试图欺骗/误导黑客。 真的!
无论哪种方式,如何去确切地find连接build立的地方。
ps:我只在ASA方面读过priv。 所以将无法在那里运行任何疑难解答。 将不得不通过它在ASA / NWpipe理员。
提前感谢您的宝贵时间和宝贵的帮助。
根据要求输出“netstat -taulpn | grep LISTEN”:
tcp 0 0 10.xxx:427 0.0.0.0:* LISTEN 3779/slpd tcp 0 0 127.0.0.1:427 0.0.0.0:* LISTEN 3779/slpd tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 3843/portmap tcp 0 0 127.0.0.1:2544 0.0.0.0:* LISTEN 4081/zmd tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 4042/xinetd tcp 0 0 10.xxx:22 0.0.0.0:* LISTEN 4190/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 4282/master tcp 0 0 ::1:25 :::* LISTEN 4282/master
更新:抱歉的人,进一步解决每个跳跃故障,以上只有当我们从内部n / w扫描外部IP时才是正确的。 所以我们并没有真正走出去 在我的出路上,我们的边缘路由器的内部接口将其直接路由到ASA。 原来这个内部接口正在监听这些端口,我们不知道为什么。 它的configuration没有任何东西,我们已经向提供者提出了问题。 也许是默认的Cisco 7200行为。
因此,使用DSL线路进行真正的testing只会显示外部打开的端口21/22。 并在边缘路由器(外部接口)上扫描显示没有端口打开。
所以我们现在可以。 还需要从里面弄清楚“为什么”。 我们发现后会发布最后一次更新。
感谢大家。 珍惜你的时间和帮助。
我会检查输出
netstat -an
查看8008和8080上的听众是在哪个接口上。有可能他们只是在回送接口上进行监听,在这种情况下,stream量将不得不从本地主机发起。