Sicherheit: Peers prüfen

[feissmaik]

Manche haben vielleicht jüngst die neu aufgeflammten Diskusionen mitgekriegt wo recht grosse Listen mit DynDNS Adressen gepostet wurden von Cardshareren die in irgendeiner Weise als unsicher gelten weil sie zb Standard-Ports nutzen...

An dieser Stelle muss ich nochmals darauf hinweisen das eure eigene Sicherheitsmassnahmen nichts bringen wenn ihr mit anderen shared die nicht sicher sind! Deshalb achtet unbedingt darauf mit wem ihr shared und prüft vorher ob derjenige sein System tatsächlich ausreichend abgesichert hat!

Wenn ihr unbedingt meint ihr müsstest 21,22,80,443 (ftp,ssh,http,https) übers Internet zugänglich machen weil ihr von unterwegs auf den CS-Server zugreifen o.ä. dann wählt andere Ports fürs Internet als die Standard-Ports; also zb intern 21 extern 2121


Um nicht manuell jeden Peer einzeln zu überprüfen könnt ihr folgendes Script nutzen - es liest ggf die C-lines aus der CCcam.cfg aus sowie die devices aus oscam.server und Scanned dann die gesammelten Adressen mithilfe nmap nach Standardports ab und zeigt zudem weitere Informationen zu den ggf offnen Ports an (Nmap Scripting Engine)
(damit sieht man zb schnell wer ein echtes CCcam und wer OScam-CCcam nutzt)

Vorraussetzung: apt-get install nmap

nano /bin/SCAN && chmod a+x /bin/SCAN

Code: Alles auswählen

#!/bin/bash
#
OScamCFG="/var/etc/oscam.server"
CCcamCFG="/var/etc/CCcam.cfg"
#
tcpPorts="21-25,80,139,443,988,8080,9080,12000,16000,16001,16002,22000"
udpPorts="53,111,137"
SKIPdevice="127.0.0.1,localhost,/dev/*"
NMAPopt="-PN --open --script=all"
#

PEERs=""
if [ -f "$OScamCFG" ]; then
	PEERsO=$(cat $OScamCFG | grep "^device" | awk '{print $3}' | sed 's/,/ /g' | cut -d " " -f1)
	PEERs="$PEERs $PEERsO"
fi
if [ -f "$CCcamCFG" ]; then
	PEERsC=$(cat $CCcamCFG | grep "^C:" | awk '{print $2}' | cut -d " " -f1)
	PEERs="$PEERs $PEERsC"
fi
PEERs=$(echo $PEERs | sort | uniq)

SKIPdevice=$(echo $SKIPdevice | sed 's/,/ /g')
rm -f /tmp/ipnew.txt
for PEER in $PEERs; do
	SkipIt=0
	for SKIP in $SKIPdevice; do
		[ "$PEER" = "$SKIP" ] && SkipIt=1
	done
	[ "$SkipIt" = "0" ] && echo "$PEER" >>/tmp/ipnew.txt
done

[ ! -z "$udpPorts" ] && PORTS="U:$udpPorts"
if [ ! -z "$tcpPorts" -a ! -z "$udpPorts" ]; then
	PORTS+=",T:$tcpPorts"
elif [ ! -z "$tcpPorts" -a -z "$udpPorts" ]; then 
	PORTS="T:$tcpPorts"
fi
echo "Scanning.."
nmap -iL /tmp/ipnew.txt -p $PORTS $NMAPopt >/tmp/result.txt
rm -f /tmp/ipnew.txt
less /tmp/result.txt

exit 0

script starten mit: SCAN

..jenachdem wieviele Hosts und was für ein Rechner auf dem es ausgeführt wird, kann es ein bischen dauern bis was ausgeworfen wird..

Das Ergebnis wird in die Datei /tmp/result.txt geschrieben und mit less geöffnet - Seitenweises blättern mit <space>; zeilenweises blättern mit <enter>; beenden mit <q>

Eine weitere Script-Version steht >hier< & >hier<

[Webcontrol]

Lauft bei mir leider nicht

Starting Nmap 5.00 ( http://nmap.org ) at 2012-01-26 19:51 CET
/tmp/result.txt (END)

mehr aber nicht , und da komme ich nicht mehr raus

wenn ich ein paar Sachen in ipnew.txt lege und das dann so mache geht es :

nmap -iL /tmp/ipnew.txt >/tmp/result.txt

Hiebt es auch die Möglichkeit das er dann die DYN zu dem Scann Vorgang schreibt ?

[feissmaik]

Lauft bei mir leider nicht
...
mehr aber nicht , und da komme ich nicht mehr raus

komisch - liegen deine CCcam.cfg bzw oscam.server evtl. nicht da wo es oben im Script eingestellt ist?
der duchsucht die CCcam.cfg nach allen Zeilen die mit "C:" anfangen (auskommentierte werden nicht beachtet) und die oscam.server nach allen Zeilen die mit "device" anfangen (egal ob enabled oder nicht) aber lässt dabei "localhost" und /dev/* natürlich weg...
Und du führst das Script auch als root auf der IPC Kiste aus?

Die Datei wird mit " less " geöffnet - habe dazu oben noch einen Hinweis ergänzt (mit der Taste Q kommste da raus)

Hiebt es auch die Möglichkeit das er dann die DYN zu dem Scann Vorgang schreibt ?

Ja kann man auch machen:

Code: Alles auswählen

#!/bin/bash
#
OScamCFG="/var/etc/oscam.server"
CCcamCFG="/var/etc/CCcam.cfg"
#
tcpPorts="21-25,80,139,443,988,8080,9080,12000,16000,16001,16002,22000"
udpPorts="53,111,137"
SKIPdevice="127.0.0.1,localhost,/dev/*"
NMAPopt="-PN --open --script=all"
#

if [ -z "$1" ]; then
	PEERs=""
	if [ -f "$OScamCFG" ]; then
		PEERsO=$(cat $OScamCFG | grep "^device" | awk '{print $3}' | sed 's/,/ /g' | cut -d " " -f1)
		PEERs="$PEERs $PEERsO"
	fi
	if [ -f "$CCcamCFG" ]; then
		PEERsC=$(cat $CCcamCFG | grep "^C:" | awk '{print $2}' | cut -d " " -f1)
		PEERs="$PEERs $PEERsC"
	fi
	PEERs=$(echo $PEERs | sort | uniq)
else
 PEERs=$1
fi

SKIPdevice=$(echo $SKIPdevice | sed 's/,/ /g')
ScanPEERs=""; SPcount=0
for PEER in $PEERs; do
	SkipIt=0
	for SKIP in $SKIPdevice; do
		[ "$PEER" = "$SKIP" -a -z "$1" ] && SkipIt=1
	done
	[ "$SkipIt" = "0" ] && ScanPEERs="$ScanPEERs $PEER" && SPcount=$((SPcount + 1))
done
ScanPEERs=$(echo $ScanPEERs | sort)

[ ! -z "$udpPorts" ] && PORTS="U:$udpPorts"
if [ ! -z "$tcpPorts" -a ! -z "$udpPorts" ]; then
	PORTS+=",T:$tcpPorts"
elif [ ! -z "$tcpPorts" -a -z "$udpPorts" ]; then 
	PORTS="T:$tcpPorts"
fi

for SP in $ScanPEERs; do
	echo "" && echo "Scanning $SP"
	nmap $SP -p $PORTS $NMAPopt
	SPcount=$((SPcount - 1))
	echo "" && [ "$SPcount" -ne "0" ] && read -p "... Please hit <Enter> to continue ..."
done

exit 0

...hiermit scanned er jeden Peer nacheinander (ohne ipnew.txt/result.txt) und pausiert zwischen jedem Scan; mit <Enter> gehts weiter oder <STRG>+<C> zum beenden...

Ausserdem habe ich bei diesem Script auch eingebaut das man eine zu scannende Adresse direkt an das Script übergeben kann: SCAN localhost
oder mehrere: SCAN "localhost 192.168.0.1"

[TommyH99]

die 2te Lösung ist etwas übersichtlicher, wenn man einen Live Test macht!

[gollumA]

Code: Alles auswählen

SCAN localhost

Scanning localhost

Starting Nmap 5.21 ( http://nmap.org ) at 2012-01-27 14:44 CET
NSE: failed to initialize the script engine:
/usr/share/nmap/nse_main.lua:276: /usr/share/nmap/scripts/citrix-brute-xml.nse:35: module 'citrixxml' not found:
        no field package.preload['citrixxml']
        no file '/usr/share/nmap/nselib/citrixxml.lua'
        no file './citrixxml.lua'
        no file '/usr/local/share/lua/5.1/citrixxml.lua'
        no file '/usr/local/share/lua/5.1/citrixxml/init.lua'
        no file '/usr/local/lib/lua/5.1/citrixxml.lua'
        no file '/usr/local/lib/lua/5.1/citrixxml/init.lua'
        no file '/usr/share/lua/5.1/citrixxml.lua'
        no file '/usr/share/lua/5.1/citrixxml/init.lua'
        no file './citrixxml.so'
        no file '/usr/local/lib/lua/5.1/citrixxml.so'
        no file '/usr/lib/i386-linux-gnu/lua/5.1/citrixxml.so'
        no file '/usr/lib/lua/5.1/citrixxml.so'
        no file '/usr/local/lib/lua/5.1/loadall.so'
stack traceback:
        [C]: in function 'assert'
        /usr/share/nmap/nse_main.lua:276: in function 'new'
        /usr/share/nmap/nse_main.lua:434: in function 'Entry'
        /usr/share/nmap/scripts/script.db:5: in function 'db_closure'
        /usr/share/nmap/nse_main.lua:454: in function 'get_chosen_scripts'
        /usr/share/nmap/nse_main.lua:766: in main chunk
        [C]: ?

QUITTING!

Kommt bei mir

[feissmaik]

Du hast noch ein älteres nmap, aktuell ist 5.50 - mach mal folgendes:

apt-get update -f && apt-get install nmap -fy
nmap --script-updatedb

oder

apt-get update -f && apt-get install aptitude -fy && aptitude safe-upgrade -f

[gollumA]

Code: Alles auswählen

 nmap --script-updatedb

Starting Nmap 5.21 ( http://nmap.org ) at 2012-01-27 14:58 CET
NSE: Updating rule database.
NSE: error while updating Script Database:
[string "local nse = ......"]:17: /usr/share/nmap/scripts//citrix-brute-xml.nse:35: module 'citrixxml' not found:
        no field package.preload['citrixxml']
        no file './citrixxml.lua'
        no file '/usr/local/share/lua/5.1/citrixxml.lua'
        no file '/usr/local/share/lua/5.1/citrixxml/init.lua'
        no file '/usr/local/lib/lua/5.1/citrixxml.lua'
        no file '/usr/local/lib/lua/5.1/citrixxml/init.lua'
        no file '/usr/share/lua/5.1/citrixxml.lua'
        no file '/usr/share/lua/5.1/citrixxml/init.lua'
        no file '/usr/share/nmap/nselib/citrixxml.lua'
        no file './citrixxml.so'
        no file '/usr/local/lib/lua/5.1/citrixxml.so'
        no file '/usr/lib/i386-linux-gnu/lua/5.1/citrixxml.so'
        no file '/usr/lib/lua/5.1/citrixxml.so'
        no file '/usr/local/lib/lua/5.1/loadall.so'
stack traceback:
        [C]: in function 'assert'
        [string "local nse = ......"]:17: in main chunk

Nmap done: 0 IP addresses (0 hosts up) scanned in 0.21 seconds

[feissmaik]

du hast ja immernoch die alte nmap - hat das mit apt-get nicht funktioniert? stand da evtl. ein Hinweis warum? (evtl. ausgabe posten)


alternativ kannst du das Script auch bearbeiten und NMAPopt abändern sodass am Ende --script=safe steht

oder bearbeite das File /usr/share/nmap/scripts/script.db und kill die entsprechende Zeile bezüglich citrix

[gollumA]

Code: Alles auswählen

Es wurden 4.144 kB in 13 s geholt (299 kB/s)
Paketlisten werden gelesen... Fertig
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut
Statusinformationen werden eingelesen... Fertig
nmap ist schon die neueste Version.

Das ist die Ausgabe

[feissmaik]

oke probiern wirs anders
erst:
apt-get purge -fy nmap

dann:
wget http://nmap.org/dist/nmap-5.51.tgz && tar xfz nmap-5.51.tgz && rm -f nmap-5.51.tgz && cd nmap-5.51
./configure && make && make install


...allerdings ist das nmap dann noch mächtiger als standardmässig, weil wegen mehr scripts...

Spoiler

Show

normalerweise

Code: Alles auswählen

anonFTP.nse                  HTTP_open_proxy.nse  nbstat.nse                    showHTTPVersion.nse      SSHv1-support.nse
bruteTelnet.nse              HTTPpasswd.nse       netbios-smb-os-discovery.nse  showOwner.nse            SSLv2-support.nse
chargenTest.nse              HTTPtrace.nse        PPTPversion.nse               showSMTPVersion.nse      strangeSMTPport.nse
daytimeTest.nse              iax2Detect.nse       promiscuous.nse               showSSHVersion.nse       xamppDefaultPass.nse
dns-test-open-recursion.nse  ircServerInfo.nse    RealVNC_auth_bypass.nse       skype_v2-version.nse     zoneTrans.nse
echoTest.nse                 ircZombieTest.nse    ripeQuery.nse                 SMTPcommands.nse
finger.nse                   kibuvDetection.nse   robots.nse                    SMTP_openrelay_test.nse
ftpbounce.nse                MSSQLm.nse           script.db                     SNMPsysdesr.nse
HTTPAuth.nse                 mswindowsShell.nse   showHTMLTitle.nse             SQLInject.nse

selber conpilier/installiert

Code: Alles auswählen

afp-brute.nse                        giop-info.nse                   ms-sql-hasdbaccess.nse    smb-enum-sessions.nse
afp-path-vuln.nse                    gopher-ls.nse                   ms-sql-info.nse           smb-enum-shares.nse
afp-serverinfo.nse                   hddtemp-info.nse                ms-sql-query.nse          smb-enum-users.nse
afp-showmount.nse                    hostmap.nse                     ms-sql-tables.nse         smb-flood.nse
asn-query.nse                        http-auth.nse                   ms-sql-xp-cmdshell.nse    smb-os-discovery.nse
auth-owners.nse                      http-brute.nse                  mysql-brute.nse           smb-psexec.nse
auth-spoof.nse                       http-date.nse                   mysql-databases.nse       smb-security-mode.nse
banner.nse                           http-domino-enum-passwords.nse  mysql-empty-password.nse  smb-server-stats.nse
broadcast-dns-service-discovery.nse  http-enum.nse                   mysql-info.nse            smb-system-info.nse
broadcast-dropbox-listener.nse       http-favicon.nse                mysql-users.nse           smbv2-enabled.nse
broadcast-ms-sql-discover.nse        http-form-brute.nse             mysql-variables.nse       smtp-commands.nse
broadcast-upnp-info.nse              http-headers.nse                nat-pmp-info.nse          smtp-enum-users.nse
broadcast-wsdd-discover.nse          http-iis-webdav-vuln.nse        nbstat.nse                smtp-open-relay.nse
citrix-brute-xml.nse                 http-malware-host.nse           netbus-auth-bypass.nse    smtp-strangeport.nse
citrix-enum-apps.nse                 http-methods.nse                netbus-brute.nse          sniffer-detect.nse
citrix-enum-apps-xml.nse             http-open-proxy.nse             netbus-info.nse           snmp-brute.nse
citrix-enum-servers.nse              http-passwd.nse                 netbus-version.nse        snmp-interfaces.nse
citrix-enum-servers-xml.nse          http-php-version.nse            nfs-ls.nse                snmp-netstat.nse
couchdb-databases.nse                http-robots.txt.nse             nfs-showmount.nse         snmp-processes.nse
couchdb-stats.nse                    http-title.nse                  nfs-statfs.nse            snmp-sysdescr.nse
daap-get-library.nse                 http-trace.nse                  nrpe-enum.nse             snmp-win32-services.nse
daytime.nse                          http-userdir-enum.nse           ntp-info.nse              snmp-win32-shares.nse
db2-das-info.nse                     http-vhosts.nse                 ntp-monlist.nse           snmp-win32-software.nse
db2-discover.nse                     http-vmware-path-vuln.nse       oracle-brute.nse          snmp-win32-users.nse
dhcp-discover.nse                    iax2-version.nse                oracle-enum-users.nse     socks-open-proxy.nse
dns-cache-snoop.nse                  imap-capabilities.nse           oracle-sid-brute.nse      sql-injection.nse
dns-fuzz.nse                         informix-brute.nse              p2p-conficker.nse         ssh2-enum-algos.nse
dns-random-srcport.nse               informix-query.nse              path-mtu.nse              ssh-hostkey.nse
dns-random-txid.nse                  informix-tables.nse             pgsql-brute.nse           sshv1.nse
dns-recursion.nse                    ipidseq.nse                     pjl-ready-message.nse     ssl-cert.nse
dns-service-discovery.nse            irc-info.nse                    pop3-brute.nse            ssl-enum-ciphers.nse
dns-update.nse                       irc-unrealircd-backdoor.nse     pop3-capabilities.nse     sslv2.nse
dns-zone-transfer.nse                iscsi-brute.nse                 pptp-version.nse          stuxnet-detect.nse
domcon-brute.nse                     iscsi-info.nse                  qscan.nse                 svn-brute.nse
domcon-cmd.nse                       jdwp-version.nse                realvnc-auth-bypass.nse   targets-traceroute.nse
domino-enum-users.nse                ldap-brute.nse                  resolveall.nse            telnet-brute.nse
drda-brute.nse                       ldap-rootdse.nse                rmi-dumpregistry.nse      upnp-info.nse
drda-info.nse                        ldap-search.nse                 rpcinfo.nse               vnc-brute.nse
finger.nse                           lexmark-config.nse              script.db                 vnc-info.nse
firewalk.nse                         modbus-discover.nse             skypev2-version.nse       wdb-version.nse
ftp-anon.nse                         mongodb-databases.nse           smb-brute.nse             whois.nse
ftp-bounce.nse                       mongodb-info.nse                smb-check-vulns.nse       wsdd-discover.nse
ftp-brute.nse                        ms-sql-brute.nse                smb-enum-domains.nse      x11-access.nse
ftp-libopie.nse                      ms-sql-config.nse               smb-enum-groups.nse
ftp-proftpd-backdoor.nse             ms-sql-empty-password.nse       smb-enum-processes.nse