Sicherheit: Peers prüfen

CS-Allgemeines was in die anderen Foren nicht hinein passt...
gollumA
IPC Freak
Beiträge: 152
Registriert: Di 26. Apr 2011, 18:10
Kontaktdaten:

Re: Sicherheit: Peers prüfen

Beitrag von gollumA »

So nun meine Frage.Was bringt eigentlich
SCAN localhost ?

ich habe Iptables so eingerichtet
#LAN und lo alles erlauben
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
Danke für eure Antworten !!
feissmaik
Entwickler Team
Beiträge: 2576
Registriert: So 17. Apr 2011, 11:39
Been thanked: 1 time
Kontaktdaten:

Re: Sicherheit: Peers prüfen

Beitrag von feissmaik »

sorry aber wenn du sowas derart fragst scheinst du leider noch nicht ganz verstanden zu haben was es damit überhaupt aufsich hat :(

Wieso hast du bei dir dein iptables denn derart eingerichtet?
Da steht doch "LAN und lo alles erlauben" ... nun frage ich dich aber was das mit dem Internet zu tun hat?
Leistest du etwa ernsthaft alles an den Linux-rechner weiter sodass überhaupt das einrichten und nutzen von iptables von nöten wäre?


Zum einen ist das nur ein Beispiel das man die zu scannede Adresse auch an das Script als Parameter übergeben könne und zum anderen gilt Deine iptables Einstellung nur für das loopback device aber nicht für deine Netzwerkkarte eth0, und nmap den lokalen Rechner abscanned nach den eingestellten Ports - natürlich bedeutet das nicht das diese Ports auch aus dem Internet erreichbar sind aber daran erkennt man welche Dienste lokal auf dem Standardport laufen, nicht nur die die du eigenhandig installiert hast und wie es aussehen könnte wenn diese Ports von anderen übers Internet zugänglich gemacht wurden etc...


(...denn sie wissen nicht was sie tun...)
Du musst nicht kämpfen um zu siegen
GuterJung
IPC Neuling
Beiträge: 4
Registriert: Mo 30. Jan 2012, 20:19
Kontaktdaten:

Re: Sicherheit: Peers prüfen

Beitrag von GuterJung »

HI!

Ich habe das erste Script ausprobiert.

Es bleibt aber immer hier stehen:

Code: Alles auswählen

Croot@debian ~ > SCAN
Scanning..
Failed to resolve given hostname/IP: 0x.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Failed to resolve given hostname/IP: 0x.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Failed to resolve given hostname/IP: 0x.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Failed to resolve given hostname/IP: 0x.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Failed to resolve given hostname/IP: 0x.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Failed to resolve given hostname/IP: 0x.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
sendto in send_ip_packet_sd: sendto(213, packet, 1492, 0, xxx.xxx.xxx.xxx, 16) => Message too long
Offending packet: TCP 192.168.0.55:52342 > xxx.xxx.xxx.xxx:443 S ttl=128 id=0 iplen=1492  seq=1857756971 win=3072 <mss 1460>
sendto in send_ip_packet_sd: sendto(213, packet, 1492, 0, xxx.xxx.xxx.xxx, 16) => Message too long
Offending packet: TCP 192.168.0.55:31858 > xxx.xxx.xxx.xxx:443 S ttl=128 id=0 iplen=1492  seq=773319848 win=3072 <mss 1460>
sendto in send_ip_packet_sd: sendto(213, packet, 1492, 0, xxx.xxx.xxx.xxx, 16) => Message too long
Offending packet: TCP 192.168.0.55:37548 > xxx.xxx.xxx.xxx9:443 S ttl=128 id=0 iplen=1492  seq=409544919 win=3072 <mss 1460>
In die Ipnew.txt werden alle DNS Adressen ordnungsgemäß geschrieben.

In die results.txt nimmt er immer nur diesen Eintrag vor:

Code: Alles auswählen


Starting Nmap 5.51 ( http://nmap.org ) at 2012-01-30 18:07 CET
Pre-scan script results:
| broadcast-wsdd-discover: 
|   Devices
|     192.168.0.104
|         Message id: 558e0869-893f-4bcc-9278-0528478dab19
|         Address: http://192.168.0.104:5357/f965e155-9cc8-44c1-acbd-884dbc784561/
|_        Type: Device pub:Computer
| broadcast-dns-service-discovery: 
|   192.168.0.6
|     9/tcp workstation
|       Address=192.168.0.6
|     22/tcp sftp-ssh
|       Address=192.168.0.6
|     22/tcp ssh
|_      Address=192.168.0.6
| broadcast-upnp-info: 
|   192.168.0.1
|       Server: Custom/1.0 UPnP/1.0 Proc/Ver
|_      Location: http://192.168.0.1:5431/dyndev/uuid:00236914-cabe-0023-6914-cabe00000000

192.168.0.1 = Router
192.168.0.6 = Dreambox
192.168.0.55 = Debian Server
192.168.0.104 = Mein PC

Das ganze hatte ich nun fast 2 Stunden am laufen Was mache ich falsch?

Die Scanmethode aus Post 3 funktioniert. Ich will je doch nicht jeden Peer einzeln bestätigen. Kann ich hier auch einstellen das die Ergebnisse in eine Datei geschrieben werden?
feissmaik
Entwickler Team
Beiträge: 2576
Registriert: So 17. Apr 2011, 11:39
Been thanked: 1 time
Kontaktdaten:

Re: Sicherheit: Peers prüfen

Beitrag von feissmaik »

GuterJung hat geschrieben: Die Scanmethode aus Post 3 funktioniert. Ich will je doch nicht jeden Peer einzeln bestätigen. Kann ich hier auch einstellen das die Ergebnisse in eine Datei geschrieben werden?
Mit folgendem Script ginge das sofern bei SaveToFile ein File angegeben wurde; ansonsten das gleiche wie in Post#3...

Code: Alles auswählen

#!/bin/bash
#
OScamCFG="/var/etc/oscam.server"
CCcamCFG="/var/etc/CCcam.cfg"
#
tcpPorts="21-25,80,139,443,988,8080,9080,12000,16000,16001,16002,22000"
udpPorts="53,111,137"
SKIPdevice="127.0.0.1,localhost,/dev/*"
NMAPopt="-PN --open --script=all"
#
# SaveToFile="" to disable
SaveToFile="/tmp/result.txt"
#

if [ -z "$1" ]; then
	PEERs=""
	if [ -f "$OScamCFG" ]; then
		PEERsO=$(cat $OScamCFG | grep "^device" | awk '{print $3}' | sed 's/,/ /g' | cut -d " " -f1)
		PEERs="$PEERs $PEERsO"
	fi
	if [ -f "$CCcamCFG" ]; then
		PEERsC=$(cat $CCcamCFG | grep "^C:" | awk '{print $2}' | cut -d " " -f1)
		PEERs="$PEERs $PEERsC"
	fi
	PEERs=$(echo $PEERs | sort | uniq)
else
 PEERs=$1
fi

SKIPdevice=$(echo $SKIPdevice | sed 's/,/ /g')
ScanPEERs=""; SPcount=0
for PEER in $PEERs; do
	SkipIt=0
	for SKIP in $SKIPdevice; do
		[ "$PEER" = "$SKIP" -a -z "$1" ] && SkipIt=1
	done
	[ "$SkipIt" = "0" ] && ScanPEERs="$ScanPEERs $PEER" && SPcount=$((SPcount + 1))
done
ScanPEERs=$(echo $ScanPEERs | sort)

[ ! -z "$udpPorts" ] && PORTS="U:$udpPorts"
if [ ! -z "$tcpPorts" -a ! -z "$udpPorts" ]; then
	PORTS+=",T:$tcpPorts"
elif [ ! -z "$tcpPorts" -a -z "$udpPorts" ]; then 
	PORTS="T:$tcpPorts"
fi

[ ! -z "$SaveToFile" ] && rm -f $SaveToFile

for SP in $ScanPEERs; do
	if [ -z "$SaveToFile" ]; then
		echo "" && echo "Scanning $SP"
		nmap $SP -p $PORTS $NMAPopt
		SPcount=$((SPcount - 1))
		echo "" && [ "$SPcount" -ne "0" ] && read -p "... Please hit <Enter> to continue ..."
	else
		echo "" >> $SaveToFile && echo "Scanning $SP" >> $SaveToFile
		nmap $SP -p $PORTS $NMAPopt >> $SaveToFile
		echo "" >> $SaveToFile
	fi
done

exit 0
Du musst nicht kämpfen um zu siegen
szonic
IPC Interessierter
Beiträge: 115
Registriert: Mi 25. Mai 2011, 17:30
Kontaktdaten:

Re: Sicherheit: Peers prüfen

Beitrag von szonic »

Macht sich gut! ;)

Wie kann ich mich denn mal selbst überprüfen?

Und weiter, wie kann ich meine Clienten überprüfen in Oscam.user?

Ansonsten bin ich froh und glücklich das meine server sicher sind! :geek:

Danke für das Script!

Grüsse
szonic
feissmaik
Entwickler Team
Beiträge: 2576
Registriert: So 17. Apr 2011, 11:39
Been thanked: 1 time
Kontaktdaten:

Re: Sicherheit: Peers prüfen

Beitrag von feissmaik »

Du kannst an das Script wie gesagt auch die zu scannende Adresse als Parameter übergeben:

SCAN 127.0.0.1

Oder wenn du mehrere Scannen möchtest: SCAN "127.0.0.1 1.2.3.4 9.8.7.6"

Wenn du deinen eigenen Server prüfen willst, was aus dem Internet erreichbar ist, musst du das von einem anderen Linux Rechner aus machen; am besten ausserhalb deines LANs also zb von einem ThinClient bei deinem Kumpel oder so...

Ansonsten gibts aber auch etliche Web-Dienste die solche PortScans für dich durchführen können
Du musst nicht kämpfen um zu siegen
szonic
IPC Interessierter
Beiträge: 115
Registriert: Mi 25. Mai 2011, 17:30
Kontaktdaten:

Re: Sicherheit: Peers prüfen

Beitrag von szonic »

Ah, prima, habe verstanden! :idea:

Danke schön!
feissmaik
Entwickler Team
Beiträge: 2576
Registriert: So 17. Apr 2011, 11:39
Been thanked: 1 time
Kontaktdaten:

Re: Sicherheit: Peers prüfen

Beitrag von feissmaik »

szonic hat geschrieben: Und weiter, wie kann ich meine Clienten überprüfen in Oscam.user?
Das ist leider etwas komplizierter weil man meistens keinen Hostname beim User angegeben hat; weil das ja leider auch oft Probleme verursacht wenn der DynDNS nicht schnell genug aktualisiert bzw das auch überall übernommen wurde (der DNS des CS-Servers) wodurch der User dann nicht "sofort" wieder rein käme; aber das ist hier nur nebensächlich...

Nachdem man also via Script die "^user" und "^F:" Zeilen aus den Configs ausgelesen hat müsste man dann zb also daher gehen und anhand der Cam Logs die aktuelle IP des Users herrausfinden sofern dieser überhaupt connected ist - ältere IPs zu scannen bringt wahrscheinlich nichts da Dynamische-IP...
Also zb durch auslesen der letzten x-Zeilen und prüfen ob sich dort die zuvor ausgelesenen User auftauchen und aus dem Zeilenmatch dann die IP rausfiltern und scannen....

Das wäre eine Möglichkeit die man nehmen könnte - Logs vorrausgesetzt

Wenn man aber KEINE Logs hat - was zb bei mir der Fall ist weil ich sowas auch als unsicher betrachte - wird das ganze dann schon komplizierter.... Bei CCcam könnte man übers WebIf die zzt verbundenen IPs auslesen und Scannen - aber bei OScam müsste dafür der Monitor enabled sein aber das ist auch nicht überall der Fall - weil auch das betrachte ich persönlich ebenfals als unsicher...

Eine weitere aber ebenfals komplizierte scriptseitige Lösung wäre aber auch das prüfen der allgemein zzt zu dem Linux verbundenen Verbindungen (hrhr) - also anhand aller Netzwerkverbindungen (netstat) die jeweilige IP scannen...



Also da müsste man gucken ob man für bestimmte Vorraussetzungen ein Script bastelt oder zb für letzteres was dann auch unabhängig der eingesetzten Cam wäre .... allerdings könnte es sowas evtl. bereits schon geben - weiss ich aber leider grad nicht...


Aber du kannst dir auch die IP des Clients angucken und das dann an das SCAN Script als Parameter übergeben um den dann zu Scannen...
Du musst nicht kämpfen um zu siegen
szonic
IPC Interessierter
Beiträge: 115
Registriert: Mi 25. Mai 2011, 17:30
Kontaktdaten:

Re: Sicherheit: Peers prüfen

Beitrag von szonic »

Danke für die ausführliche Antwort.
Da ich nur knapp über 10 Clienten habe ist das ja relativ schnell gemacht, ich kam nur bisher nicht dazu.

Kam meine PN an @feissmaik? :?:

Grüsse
szonic
Princos
IPC Neuling
Beiträge: 36
Registriert: Fr 22. Apr 2011, 11:39
Kontaktdaten:

Re: Sicherheit: Peers prüfen

Beitrag von Princos »

Habe Probleme bei der Installation von nmap

apt-get update -f && apt-get install aptitude -fy && aptitude safe-upgrade -f

dann:

root@debian ~/nmap-5.51 > ./configure && make && make install
checking whether NLS is requested... yes
checking build system type... i686-pc-linux-gnu
checking host system type... i686-pc-linux-gnu
checking for gcc... no
checking for cc... no
checking for cl.exe... no
configure: error: in `/root/nmap-5.51':
configure: error: no acceptable C compiler found in $PATH

gibt es für dieses Problem eine Lösung?

Gruß
Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast