LINUX.ORG.RU
ФорумTalks

Как узнать что висит на 80 порту?


0

0

Есть некий хост (предположительно домашний комп или роутер). Скан портов показал открытые http и https.
С https все вообще не понятно. А вот на 80м что-то отвечает.
Браузер говорит что хост не ответил.

Коннекчусь телнетом:
GET /index.html HTTP/1.О
Connection: Keep-Alive
User-Agent: Mozilla/4.05 (WinNT; 1)
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*

HTTP/1.0 404 Not Found

Connection closed by foreign host.

Такой же результат и для «/index.htm» и просто «/»
На много символов перевода строки отвечает мусором (а может это и не мусор, х.з.):
/Парсер ЛОРа лох, на попытку вставить этот мусор сказал:
0x1d is not a legal XML character
/


Как узнать хто там?

★★★★★
Ответ на: комментарий от ShTH

nmap'ом я уже прошелся и нашел 2 открытых порта, о которых написал выше.

ls-h ★★★★★
() автор топика

Помнится был какой-то свободный сканер уязвимостей, который еще определял что там такое на порту (название проги, версию, т.п.).
Не напомните?

ls-h ★★★★★
() автор топика
Ответ на: комментарий от isden

wget --spider --server-response ***
Включен режим робота. Проверка существования удалённого файла.
--2010-08-28 15:20:06-- http://***/
Устанавливается соединение с ***:80... соединились.
Запрос HTTP послан, ожидание ответа...
Длина: нет информации
Удалённый файл существует и может содержать дополнительные
ссылки, но рекурсия отключена — не загружается.

ls-h ★★★★★
() автор топика

На 443м оказалось тоже самое.

ls-h ★★★★★
() автор топика

Что сказал nmap:

Starting Nmap 5.00 ( http://nmap.org ) at 2010-08-28 14:54 MSD
Interesting ports on ***.ru (***):
Not shown: 991 closed ports
PORT STATE SERVICE
80/tcp open http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
1110/tcp filtered nfsd-status
2869/tcp filtered unknown
3389/tcp filtered ms-term-serv
19780/tcp filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 74.98 seconds

ls-h ★★★★★
() автор топика
Ответ на: комментарий от yltsrc

>netstat -tnlp
Это удаленный хост.

ls-h ★★★★★
() автор топика
Ответ на: комментарий от evoken

PORT STATE SERVICE VERSION
80/tcp open http?
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port80-TCP:V=5.00%I=7%D=8/28%Time=4C7912CC%P=x86_64-unknown-linux-gnu%r
SF:(GetRequest,1A,«HTTP/1\.0\x20404\x20Not\x20Found\r\n\r\n»)%r(HTTPOption
SF:s,49,«d\r\xc3Q\xb1\xc8\xd48\xa0GXZ\xb7L\xb9\x99\xf4\xa6\x96\xc1w\x08i`/
SF:\x97\xb1/x\x81\x9caK\xdd\x9d\xa4!\xd1\xdc\x20\xd3v\xefT\x80\xf9\x86\xbb
SF:\.GLM\x1aC\x18\xa9\xc6\xff\xa4\xc52{\xf0\xa1\^\xb7\xfc=J\xb3\xc8\x99\xf
SF:6»)%r(RTSPRequest,58,«c\xd1\xfb\x9e1W\xa8\+d\r\xb5\xdb~!\x8e\x1cr\xe1:e
SF:\xf8#\xbc\xeb7\x99x\(\xde\xd6\t\xbf\xe7\xd1\x98\xa0\xc2\xe8\\\x92a\]\xc
SF:3\xa3<\xc3\xdcD_\x84%\x12\xdb\xd0\x01>\x17\xdc\x9d\*\x13\xa8\xf9\xd6\xc
SF:f4\x15BK\x80\xf1n\x87\x8c\x8dZ\x83X\xe9\x06\?\xe4\x05r\xbb0\xe1\x9e»)%r
SF:(FourOhFourRequest,1A,«HTTP/1\.0\x20404\x20Not\x20Found\r\n\r\n»)%r(RPC
SF:Check,67,«a\xcf\x9f\x19s\x0e\xb1\r`\x8b\xdeh\x1dS\xf0\x88\xb1\xeaC\xe3H
SF:#\xa3r\xdb\xa5N\xe1\xc0\xfe;\xa4\xcbX\x94\x98\x12\x97\x06\xeb~kX\x1e\x8
SF:b\x82\x1a\x06\xe5\xd2\x9b\x90\xc1\xfe\xd7\x9c\]\xea\xd3h\xb9\x96\x8f\xf
SF:4\xd5\x02\x0b@\xb1\.GLM\x1aC\x18\xa9\xc6\xff\xa4\xc52{\xf0\xa1\^\xb7\xf
SF:c=J\xb3\xc8\x99\xf6oT\xb5b\xeb\xa0\x91\x8e'»)%r(DNSVersionBindReq,57,«r
SF:x\xa2\xbc\x84\xaa\xc2\x8cd\x81\x85,_\xb04\xe8Y\xc7\xe4\xc2\x961\+V\xfbv
SF:\xecXl\xdaXM\xb8\xc0_\x83\xc0\xdeG\n\xbd1@\xc2\x1f\xcfT\x1eJ\xb3\xc8\x9
SF:9\xf6oT\xb5b\xeb\xa0\x91\x8e'\xac-z#x\x89&\xdf\x04\xa5\x92\[P\x81\xbe\x
SF:97\\\x1d\xaa\x93\(yVO\xb4»)%r(DNSStatusRequest,34,«\xe8\xdd\*a\xa1\*\xd
SF:f\\u`7\xc8\+\xf3\xde\xbc\x8e\xaf\x1eB\xbd\x8e#\x0cB;\xde-L\xb8\xadlW\xe
SF:d\xb8\xb8\xc9\*3\x12\xfe\xa3\xe7\xc8\xf8\x81R\xe8\x81\xbe\x97\\»)%r(SSL
SF:SessionReq,43,«\xae\xf0\x87\xef\xb8t\xb1\n\xbdg\x966~\xd0,\x01\x95\xb7\
SF:x97g&~w\*\xcb\xc05\xffG\xb3\x9d\xea\x97S\xe1\xf7}\xce\xd1\xc6\xd7\x82>\
SF:xaf@\xe1>\x9e\x9e\xf7<}\x8a\xf3\x08\xd96\xaf\x94_\x1a'=\x85eh3»)%r(SMBP
SF:rogNeg,69,«z\x92\x11\x94pH\x98\xc2\xf6\xcf\x1fB\.i\xac\xb80\»\xcf\xa5\x
SF:20\x82\x1e/\xe3J`vDu\*\xa4\xb4S\xe6\|\]u\xa9\x8el\xb3P\x9bI\x86\xbb\xf0
SF:@\xb1\.GLM\x1aC\x18\xa9\xc6\xff\xa4\xc52{\xf0\xa1\^\xb7\xfc=J\xb3\xc8\x
SF:99\xf6oT\xb5b\xeb\xa0\x91\x8e'\xac-z#x\x89&\xdf\x04\xa5\x92\[P\x979\x07
SF:\tKC:q")%r(LDAPBindReq,64,«\xa2\xff-\xfc\x92\xd5Q\x18\xac\xdc=O\xe9R\xd
SF:6P\x7f={\x98\x89\xa8`\xa4,\x99\xb5\xf7\xba\xd0\x9f-\x01iB1\x15`/\x06\x9
SF:d\*\x9c\x81\x1f\?\$\xda\x90\xc1\xfe\xd7\x9c\]\xea\xd3h\xb9\x96\x8f\xf4\
SF:xd5\x02\x0b@\xb1\.GLM\x1aC\x18\xa9\xc6\xff\xa4\xc52{\xf0\xa1\^\xb7\xfc=
SF:J\xb3\xc8\x99\xf6oT\xb5b\xeb\xa0\x91\x8e'»);

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 89.47 seconds

ls-h ★★★★★
() автор топика
Ответ на: комментарий от A2K

Очень маловероятно. Тот кому принадлежит комп не шарит в них.
Есть вероятность что по известному IP: комп, домашний роутер, хрень провайдера (но не похоже, т.к. IP из пула динамических).

ls-h ★★★★★
() автор топика
Ответ на: комментарий от ls-h

Вдолбил себе в голову, будто это веб сервер, а вывод nmap говорит, что он не знает что это и просит, если вы знаете чего это, засабмитить ему fingerprint.

uspen ★★★★★
()
Ответ на: комментарий от uspen

>Вдолбил себе в голову, будто это веб сервер
Я так предположил потому, что на GET оно отвечает 404.

ls-h ★★★★★
() автор топика
Ответ на: комментарий от Turbid

>у меня подобное возвращается с порта, на котором висит веб-мода к торрент-качалке.
так браузером то оно открывается? А это браузером не открывается...

ls-h ★★★★★
() автор топика
Ответ на: комментарий от ls-h

>так браузером то оно открывается? А это браузером не открывается...

тот же uTorrent висит не на http://host:8080, а на http://host:8080/gui

Turbid ★★★★★
()
Ответ на: комментарий от Turbid

>тот же uTorrent висит не на http://host:8080, а на http://host:8080/gui

/gui там нет.
Есть какие-нибудь способы кроме перебора всех возможных каталогов?

ls-h ★★★★★
() автор топика
Ответ на: комментарий от kostian

>да, блин, скайп там, в винде
А в винде не нужны права чтобы открыть порт ниже 1024?
И скайп ведет себя как веб сервер? 404 он таки отвечает.

ls-h ★★★★★
() автор топика

Поставил Nessus. Буду копать дальше.

ls-h ★★★★★
() автор топика
Ответ на: комментарий от Borman3000

>lsof -i TCP:80
Мозг ключаем, а потом пишем, ага?

Еще раз: Это не мой компьютер.

ls-h ★★★★★
() автор топика
Ответ на: комментарий от Andaril

>netstat -tapn попробуй
Вы че, сговорились? Почитай что я написал. netstat уже предлагали.

ls-h ★★★★★
() автор топика
Ответ на: комментарий от ls-h

>А в винде не нужны права чтобы открыть порт ниже 1024?
Юзеру с админскими привелегиями не нужны.

eugene2k
()
Ответ на: комментарий от ls-h

Проскань любую сетку, найдешь кучу виндовых тачек с такими же симптомами, да и потыкай udp, тоже будет висеть.

И скайп ведет себя как веб сервер? 404 он таки отвечает.


Ъ такие Ъ... по ссылке синим по белому:
Fact 1: Skype pretends to be an HTTP server

kostian ★★★★☆
()
Ответ на: комментарий от kostian

Жаль.... Т.е., если это скайп то никакой уязвимости и следовательно удаленного контроля не светит...

ls-h ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.