PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Was ist wenn der Port 6000 offen ist?



odie
20.04.2006, 20:16
Ich habe festgestellt das der Port 6000 des X11 Dienstes zur Welt hin offen steht, was blüht mir wenn ich diesen Port nicht schließe?

Um Rat wäre mir sehr geholfen. :))

wesPe56
20.04.2006, 20:25
Moin,

ein Blick in die Glaskugel (http://www.pro-linux.de/news/2004/6581.html) hätte es Dir gesagt.

wesPe56
PS: Google liefert dazu ungefähr 112.000 Ergebnisse. :devil:

odie
20.04.2006, 20:50
So weit war ich auch mein Ziel ist es mal diese Sicherheitslücke auch auszunutzen und nicht nur dahin nehmen.
Wer hat mit dem Tool xscan schon mal gearbeitet???

hoernchen
20.04.2006, 20:58
magst nicht lieber deinen rechner mit iptables beschuetzen ? zum einstieg gibts eh klickibunti wie guarddog.

sono
20.04.2006, 21:05
Auch wenns gestandenen Usern schon aus dem Hals kommt:
Firewalls auf Destoprechnern sind keine Lösung und unnötig.

Konfiguriere alle Dienste so dass sie nur noch auf den localhost höhren und gut.
Jedes zusätzliche Programm / Dienst stellt einen Angriffspunkt dar.

Wenn dein Rechner keine Dienste anbietet kann er auch nicht angegriffen werden, was eine Firewall unnötig macht.

Lücken in Iptables sind zwar selten, aber nicht unbedingt noch nie vorgekommen.

Gruß Sono

hoernchen
20.04.2006, 21:26
Firewalls auf Destoprechnern sind keine Lösung und unnötig.

make my day !

Bâshgob
20.04.2006, 21:33
So weit war ich auch mein Ziel ist es mal diese Sicherheitslücke auch auszunutzen und nicht nur dahin nehmen.
Wer hat mit dem Tool xscan schon mal gearbeitet???

Was ist Euer Begehr, sprecht!

Willst du

a.) deinen Rechner dichtmachen oder
b.) diese Lücke ausnutzen?

IIRC werden hier Anleitungen/Fragen zum aktiven Eindringen in (fremde) Rechner nicht gern gesehen, und Windowstools im Regelfall ebenfalls nicht supportet.

Uschi
20.04.2006, 22:04
OMFG
such dir lieber mal ein Script-Kiddie Board, da kannst du dann erfahren,
was man alles mit WinXP, AOL und X-Scan machen kann,
aber ich glaube kaum, dass ein Linux board dir beim Script-Kiddiing unter windows helfen wird...

codc
20.04.2006, 22:08
:rtfm:


TCP/IP
XFree86 listens on port 6000+n, where n is the display number. This connection type can be disabled with the -nolisten option (see the Xserver(1) man page for details).



-nolisten trans-type
disables a transport type. For example, TCP/IP connections can be disabled with -nolisten tcp. This option may be issued multiple times to disable listening to different transport types.

MrFenix
20.04.2006, 23:55
Besorg dir nen Router mit NAT und deine Probleme lösen sich in Wohlgefallen auf...

theton
21.04.2006, 00:14
Naja, wollen wir zumindest einmal klarmachen, warum man keinen Port nach aussen offen haben sollte, wenn man diesen nicht nutzt, um vielleicht das Sicherheitsbewusstsein ein wenig zu staerken.
Zuerst einmal gibt es ausreichend Programme, die nicht gegen DOS-Angriffe gesichert sind und bei denen es oft schon reicht Unmengen Verbindungen gleichzeitig aufzubauen um damit den ganzen Rechner oder zumindest das Programm lahm zu legen.
Des weiteren werden in vielen Programmen immer wieder Sicherheitsluecken entdeckt, die Moeglichkeiten fuer Buffer-Overflows bieten. Diese werden durch Programmierfehler verursacht. Damit koennen Programme zum Abstuerzen gebracht werden und auch (in vielen Faellen) "fremder" Code ausgefuehrt werden. Oft wird sowas benutzt um eine Backdoor im System zu schaffen indem eine Shell an einen Port gebunden wird. Danach muss nur noch ein angreifbares SUID-Programm gefunden werden um an root-Rechte zu kommen. (Deswegen sollte man X ja auch nie als root nutzen, denn dann kann z.B. ein Buffer-Overflow und andere Angriffe sofort root-Rechte verschaffen.)
Fuer X (Free86/org) sind mir derzeit keine Luecken bekannt, aber da der X-Server immer weiter entwickelt wird, ist nicht auszuschliessen, dass auch dort mal ein Programmierfehler auftritt. Daher ist die nolisten-Option auf jeden Fall anzuraten, sofern der X-Server nicht remote benutzt wird.
Ich weiss, dass ich hier nichts neues erzaehle, aber ich hoffe, dass damit klar ist, warum man niemals einen Dienst nach aussen offen haben sollte, wenn man ihn nicht oder nur lokal nutzt.

Und kleiner Tip am Rande... Die besten Hacker-Tools sind: gdb, gcc/g++ und nasm. :D

@Odie: Lerne erstmal operieren, bevor du zum Skalpell greifst. *empfehl* Und 'nen stumpfes Messer ist eine schlechte Grundlage um hartes Material zu schneiden. ;)

odie
21.04.2006, 13:41
Also ich wusste gar nicht das es dumme Fragen gibt, ich dachte immer nur es gäbe dumme Antworten.

Es ist so das ich wiedermal für jemanden einen Sec-Test mache, aber mir zum ersten mal auffällt das dieser Port offen ist. Ich arbeite seit zwei Jahren als studentische Hilfskraft bei einer der größten Sicherheitsfirmen weltweit und brauche keine Windooftools um was tolles anzustellen.

Eins habe ich hier gelernt, Secfragen kann hier nicht wirklich jemand beantworten, weil selbst die Grundbegriffe der Security falsch
definiert sind, aber das ist ein anderes Thema.

supersucker
21.04.2006, 13:49
Eins habe ich hier gelernt, Secfragen kann hier nicht wirklich jemand beantworten, weil selbst die Grundbegriffe der Security falsch
definiert sind, aber das ist ein anderes Thema.


Genau.

Und da du ja soviel Ahnung davon hast, hast du eine Frage gestellt die dir google nach 10 Sekunden beantwortet hätte.

Beeindruckend.

Aber "als studentische Hilfskraft bei einer der größten Sicherheitsfirmen weltweit" bist du dir sicherlich nicht zu schade dafür uns zu erklären was in diesem Thread so alles falsch definiert wurde.

Uschi
21.04.2006, 13:51
Wenn du wirklich nicht vorhattest dich als Script-Kiddie zu betätigen, dann tut mir das echt leid, aber wenn es dir um sicherheit geht, dann solltest du den Service abschalten und nicht versuchen ihn auszunutzen.

odie
21.04.2006, 14:20
Aber "als studentische Hilfskraft bei einer der größten Sicherheitsfirmen weltweit" bist du dir sicherlich nicht zu schade dafür uns zu erklären was in diesem Thread so alles falsch definiert wurde.

Also ich bin mir für nichts zu schade, ich helfe gern wenn ich mal kann. Doch lasse ich mich nicht angreifen.

Ich werde ein neues Thema öffnen um die Definition noch mal neu aufzustellen,
ich denke das gehört hier indirekt nur hin.

Und was meine Frage eigentlich hier war, ich kann z.B. mit "nc" auf einen Port horchen und gebe Beispielsweise bei Port 80 den Befehl GET / HTTP1.1 ein um Infos zu sammeln und das wollte ich für den Port 6000 wissen.

Ich habe mich auch ein bisschen falsch ausgedrückt, sei mir das verziehn...

wesPe56
21.04.2006, 16:46
<Vorschlag>
Abonnier doch mal NG's die sich mit Security befassen. </Vorschlag>
Dein ISP hat sicherlich einen Zugang zu den entsprechenden NG's.

wesPe56

Bâshgob
21.04.2006, 17:23
Lieber odie,

leider kann niemand etwas dafür, wenn du dich nicht klar und deutlich ausdrücken kannst oder willst. Je klarer du formulierst, was du willst, um was es dir dabei geht und was dein exaktes Ziel ist umso höher sind deine Erfolgschancen. Lernt man das als Student heute nicht mehr? Oder gehörst du auch nur einfach zur 'Generation Pisa'?

Hättest du aufmerksam den Artikel *und* die Kommentare zu dem in Post Numero 2 genannten Link gelesen hätten sich deine Fragen zu 90% erübrigt. Das Filtern in deiner Birne kann dir allerdings niemand abnehmen, das musst du schon noch alleine.

hoernchen
21.04.2006, 18:27
full ack.

theton
21.04.2006, 19:27
Und was meine Frage eigentlich hier war, ich kann z.B. mit "nc" auf einen Port horchen und gebe Beispielsweise bei Port 80 den Befehl GET / HTTP1.1 ein um Infos zu sammeln und das wollte ich für den Port 6000 wissen.


Wenn du in einem der groessten Sicherheitsunternehmen arbeitest, solltest du auch wissen, dass es sehr gute Dokumentationen zur Netzwerk-Kommunikation und zur Sicherheit des XServer gibt (wie waere es z.B. mit 'man Xsecurity'? :rtfm: ). Auch ein Blick in die Quelltexte ist hier mehr als aufschlussreich. Und mit diesen Dokus und den Quelltexten kannst du ganz allein rausbekommen, wie der Netzwerk-Traffic fuer den XServer aussieht. Wenn dir das alles noch nicht reicht, kannst du auch einfach mal testweise einen Remote-XServer aufsetzen und mit ethereal, tcpdump, snort o.ae. schauen, was an Daten zwischen dem Client und dem Server ausgetauscht wird und schon hast du die Infos die du wolltest. All' das lernt man auch im Studium. *anmerk*

Mein Chef wuerde mich allerdings gleich wieder rausschmeissen, wenn ich bei sicherheitskritischen Sachen auf das hoeren wuerde, was mir Leute in einem Forum erzaehlen ohne es selbst auszuprobieren und einen Blick in die Sources zu werfen (und hier wird dir bestimmt niemand eine Doku zur Netzwerk-Kommunikation des XServers liefern, die findet man naemlich bei www.x.org ). Da auch bei uns mit sogenannten kritischen Daten gearbeitet wird, hat bei mir eine Sicherheitsueberpruefung immer den Ablauf: Dokus durchforsten -> bekannte Sicherheitsluecken testen -> Quelltexte durchschauen -> Testumgebung aufsetzen -> moegliche Fehler versuchen auszunutzen. Wenn das bei euch nicht so gemacht wird, moechte ich nicht euer Kunde sein, denn schliesslich sagtest du, dass ihr euch "Sicherheitsunternehmen" nennt. Und gerade in solchen Unternehmen sollte Sicherheit im eigenen Netzwerk die hoechste Prioritaet haben und dabei kann und sollte man sich nicht auf die Aussagen anderer verlassen. Viel mehr bekommt man raus, wenn man eine entsprechende Testumgebung aufbaut und dort mit Packet-Sniffern, Trace-Programmen, Debuggern usw. ein Programm selbst untersucht, wie es eigentlich in einem Sicherheitsunternehmen ueblich ist.

Allerdings hast du dich wirklich etwas unklar ausgedrueckt *zugeb*, denn sonst haette ich dir diese Antwort schon frueher gegeben und waere nicht nur allgemein auf das Risiko offener Ports eingegangen. Das die Leute (wie auch ich) dich fuer ein Script-Kiddie gehalten haben, hast du dir selbst zuzuschreiben, denn wer erst nachfragt, wie man eine Sicherheitsluecke ausnutzt und dann nach xscan (was nunmal ein Win-Tool ist) fragt, muss sich nicht wundern, wenn das falsch verstanden wird. *find*
Wobei sich mir immer noch die Frage stellt, warum du das unbedingt wissen musst. Port zu und du musst dir keine Sorgen mehr machen ob darueber irgendwelche Infos abfragbar sind. Gut, vielleicht ist es auch nur die Neugierde (was ich sehr gut verstehen koennte, geht mir oft nicht anders), aber etwas Eigeninitiative sollte man schon erwarten koennen, glaube ich.