Форум |
29.07.2010 06:36:42
Уважаемые коллеги.
Сканировал сеть GFI сканером. Отчет полон грозных предупреждений о запущенной службе FTP. На всех раб.станциях сети. Везде стоит XP, проверил процессы и работающие службы - никакой ftp не видно... Что бы это могло быть? |
|
|
|
|
|
29.07.2010 09:07:16
|
|||
|
|
|
|
29.07.2010 10:12:46
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001. C:\Documents and Settings\Megan>netstat -an Активные подключения Имя Локальный адрес Внешний адрес Состояние TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:2869 0.0.0.0:0 LISTENING TCP 0.0.0.0:4899 0.0.0.0:0 LISTENING TCP 192.168.0.50:139 0.0.0.0:0 LISTENING TCP 192.168.0.50:1029 192.168.0.3:445 TIME_WAIT TCP 192.168.0.50:1035 192.168.0.3:135 TIME_WAIT TCP 192.168.0.50:1036 192.168.0.3:1025 TIME_WAIT TCP 192.168.0.50:1037 192.168.0.3:1025 TIME_WAIT TCP 192.168.0.50:1040 192.168.0.3:1025 TIME_WAIT TCP 192.168.0.50:1044 192.168.0.3:1025 TIME_WAIT TCP 192.168.0.50:1050 192.168.0.3:389 TIME_WAIT TCP 192.168.0.50:1051 192.168.0.3:445 TIME_WAIT TCP 192.168.0.50:1052 192.168.0.3:139 TIME_WAIT TCP 192.168.0.50:1053 192.168.0.3:445 TIME_WAIT TCP 192.168.0.50:1072 192.168.0.3:389 TIME_WAIT TCP 192.168.0.50:1074 192.168.0.3:389 TIME_WAIT TCP 192.168.0.50:1083 192.168.0.3:135 ESTABLISHED TCP 192.168.0.50:2869 192.168.0.2:65499 TIME_WAIT TCP 192.168.0.50:2869 192.168.0.2:65500 TIME_WAIT UDP 0.0.0.0:445 *:* UDP 0.0.0.0:500 *:* UDP 0.0.0.0:1025 *:* UDP 0.0.0.0:1026 *:* UDP 0.0.0.0:1076 *:* UDP 0.0.0.0:4500 *:* UDP 127.0.0.1:123 *:* UDP 127.0.0.1:1027 *:* UDP 127.0.0.1:1047 *:* UDP 127.0.0.1:1900 *:* UDP 192.168.0.50:123 *:* UDP 192.168.0.50:137 *:* UDP 192.168.0.50:138 *:* UDP 192.168.0.50:1900 *:* C:\Documents and Settings\Megan> |
|
|
|
|
|
29.07.2010 10:29:00
Активности FTP портов не вижу...
|
|
|
|
|
|
29.07.2010 10:37:51
Вот и я о том же... Щас второй раз сканер запустил, от имени домен админа.... посмотрю что выдаст. |
|||
|
|
|
|
29.07.2010 11:39:03
Ну и опять то же самое:
"Service running: FTP" , и бла бла бла про опасность этого сервиса...ну и типа если тот комп не фтп сервер, отключите фтп службу! Шо за гевалт?  не вижу никакой службы фтп, хоть убейте...
Изменено:
- 29.07.2010 11:39:58
|
|
|
|
|
|
29.07.2010 15:58:31
А что GFI говорит, на каком порту FTP поднят. Пробовали на это порт телнет делать?
Единственная темница в которую можно заточить душу человека - это его Я.
|
|
|
|
|
|
29.07.2010 16:49:29
А вывода netstat, который приведен выше, недостаточно?  Там же явно видно, что ни на 20, ни на 21 порту ничего не висит.
А вообще это вопрос к разработчикам сканера, конечно.
Пока красота спасёт мир, уроды его погубят
|
|||
|
|
|
|
29.07.2010 17:05:47
А кто сказал что FTP обязательно должен висеть на 20, 21 порту???
Единственная темница в которую можно заточить душу человека - это его Я.
|
|||
|
|
|
|
29.07.2010 17:37:36
конечно всем понятно, что фтп (как и любой дргуой сервер) можно повесить на произвольный порт, но исходя из списка: 135,139,389,445,1025,65499,65500 я бы предположил что тут FTP тут нету (хотя не исключаю тот шанс что это 65499,65500).
но как сказал SOLDIER "А вообще это вопрос к разработчикам сканера, конечно." |
|
|
|
|
|
29.07.2010 19:41:38
извиняюсь, опоздал к обсуждению...
да ничего конечно не видно, типично виндовый расклад, вы бы нам полностью сообщение сканера выложили, может трактовка неправильная. |
|
|
|
|
|
30.07.2010 06:23:09
Сообщение гласит :
"Low Security Vulnerabilities (1): Services (1) Service running: FTP Description: If this is not a FTP server, the FTP service is most likely unnecessary. FTP is very problematic and insecure service, use HTTP, HTTPS or SFTP instead." И это сообщение висит на каждом компе домена. |
|
|
|
|
|
30.07.2010 08:15:21
А как тогда сканер определяет, что это сервис именно FTP? Единственное, что в голову приходит - соединяясь к портам и ловя сигнатуру (отклик) - если её получит, конечно. Но это уж совсем глупо. Может, конечно, он таким вот занятным образом определяет НетБИОСовые порты - фиг его знает.
Пока красота спасёт мир, уроды его погубят
|
|||
|
|
|
|
30.07.2010 09:09:23
во-во, интересный такой сканер, которому пофиг, толи это ftp или http. То что он определяет это одно, одному богу и разработчикам известно. А вот сообщение явно дефолтовое, так сказать, для всех случаев жизни. Ясно, что надо ковырятся в логах это продукта, чтобы узнать правду.
вот вам мой перевод:
|
|||
|
|
|
|
30.07.2010 09:17:30
Ну тогда ладно, будем считать это глючевом сканера.
А то я уже мозг нагрел)) Всех благодарю. |
|
|
|
|
|
30.07.2010 16:47:39
Yankel, да прогоните вы тогда уж парой-тройкой других серверов. Их в Интернете - как грязи. Nmap, например.
Пока красота спасёт мир, уроды его погубят
|
|
|
|
|
|
31.07.2010 14:40:53
Уважаемый SOLDIER.
Дело в том, что этот сканер запускал московский аудитор.. заместитель директора департамента региональной политики по безопасности информационных систем.. по итогам аудита я должен данную уязвимость устранить.
Изменено:
- 01.08.2010 07:27:19
|
|
|
|
|
|
01.08.2010 10:32:57
Занятно. Но как можно устранить уязвимость, которой нет - для меня загадка.
Да и не уязвимость это вовсе (даже если бы она была). Не находите? С каких это пор наличие FTP-сервера является уязвимостью? Бред какой-то.  А вот эта фраза вообще выше всяких похвал:
Ну, с SFTP я еще могу с натяжкой согласиться (логин/пароль передается в шифрованном виде). Но чем HTTP лучше FTP - для меня загадка. Это все равно, что сказать, что радио менее безопасно, чем телевидение. Они просто РАЗНЫЕ - у них РАЗНЫЕ задачи, несмотря на то, что файл можно передать и по HTTP. Наверное, разработчики GFI сканера хорошо дунули в тот момент, когда писал часть кода, которая выводит результаты сканирования.
Пока красота спасёт мир, уроды его погубят
|
|||
|
|
|
|
02.08.2010 09:25:41
Это не столько уязвимость, сколько излишний функционал. Для некоторых стандартов, это важный критерий.
Единственная темница в которую можно заточить душу человека - это его Я.
|
|||
|
|
|
|
02.08.2010 09:52:52
Добрый день.
А тема то действительно интересная. Точно такие же результаты можно получить и с помощью nmap, nessus (openvas). Дело в том, что сканирование проводилось в корпоративе, а там, как правило, используются "удаленные управлялки". Помимо предоставления непосредственно функций управления, таковое ПО может обеспечивать чат, подключение по telnet, а так же ПЕРЕДАЧУ ФАЙЛОВ ПО СЕТИ (FTP, порт xxxx) В явном виде сканеры безопасности не пишут откуда вдруг на всех машинах взялся ftp. Здесь то все и кроется - в алгоритме сканеров заложено (выяснено опытным путем), что если обнаружено наличие ПО удаленного управления, то значит (по этой самой логике) и ftp присутствует, хотя по факту его нет (возможность передачи в настройках по умолчанию отключена) Такая реакция, в частности, происходит на наличие на клиентских машинах DameWare.
Keep clear your mind...
|
||||
|
|
|
|||
TOP Новости Уязвимости 
Подписка
Вирусы Софт Форум
