Вопрос в следующем:
Мой файрвол (Outpost) периодически обнаруживает, что с ip-адреса сервера, на котором находится мой же сайт, идёт сканирование портов моего компа. Хостер говорит, что это глюки файрвола, потому что в принципе с сервера, на котором лежат обычные рядовые акаунты, которые не позволяют устанавливать и запускать на сервере какое-то специальное ПО, не возможно сканировать порты.
Вот мне и интересно, так ли это?
1) Можно ли в принципе, скажем на Перле или ПХП написать скрипт, который будет сканировать порты компов в сети?
2) Может ли файрвол так глюкавить?
3) Как поймать того, кто сканирует порты (если это действительно происходит)?

1. естественно
2. настроить просто надо (проверить предварительно какие именно порты сканируются и кем или чем)
3. отправить хостеру логи фаерволла

Не нашёл, как в Outpost что-либо настраивать, связанное с логами. А в логах видно только то, с какого адреса идёт сканирование и номера портов. Ну и время.
Хостеру уже отправлял: во-первых, они уже отвечали, что это глюки файрвола, и что сканирование их клиентами в принципе невозможно. А во-вторых, единственное их действие, которое они готовы сделать - забанить мой адрес на все протоколы, кроме http. А мне это не интересно, потому что я ни по ftp не могу зайти, ни по ssh.

а какие порты сканировались?

TCP (1792, 1801, 1802, 1799, 1797, 1800)

что за система стоит на хостинге? юникс? какой софт - веб-сервер, контрольная панель?

SERVER_SOFTWARE = Cofee Machine/0.33 (Unix) PHP/4.3.10 mod_ssl/2.8.22 OpenSSL/0.9.7d rus/PL30.20
Контрольная панель самописная, не стандартная.

Если хостер запретил из сервера исходящие запросы кроме разрешенных процессов с разрешенных портов - то не могут. Иначе могут.

1) Да
2) Да
3) Попросить хостера настроить файервол на сервере так чтоб исключить исходящие запросы и оставить только те порты для тех процессов которые могут это делать. Тогда и ловаит будет нечего.

Если в принципе файрвол может говорить о каких-то сканированиях, а их на самом деле нет, то хостер ничего не будет делать вообще, потому что он уверен, что (1) - НЕТ.
3) По большому счёту, если мой файрвол останавливает эту атаку, то нет никакой разницы, где она остановлена - на стороне сервера или на стороне клиента. Суть в другом: если у этого хостера в принципе живёт такой пользователь, который сканирует порты, то ему просто надо надавать по рукам. Или я не прав?
Но я не могу убедить хостера заняться поисками этого пользователя.

если это происходит при посещении вашего собственного сайта размещенного на этом сервере, выключите на нем все внешние ссылки (уберите коды баннеров, счетчики и т.п.) . если это не поможет, то на сервере действительно может быть кто то сканирует порты.
в этом случае надо будет еще раз попросить их сделать проверку отправив им логи фаерволла и указав что внешних ссылок у вас на сайте нет.
порты такие, что другому объяснению они не подлежат.

PS. кстати, предварительно проверьте свой компьютер на наличии spyware софта. если есть что то типа дополнительных панелей (гугль поиск и т.п.), то их выключить.

Это не всегда происходит, когда я нахожусь на сайте, но узнаю я об этом именно по тому, что сайт становится вдруг недоступен: файрвол, заметив атаку, отключает этот ip на пол-часа.
С другой стороны, просто повыключать баннеры и счётчики - результатов не даст, потому что сканирование происходит очень редко: предпоследний раз было 14 мая, а последний - вчера. Это я сейчас всё повыключаю, и буду 2 месяца ждать...

Что такое внешние ссылки? Ссылки на другие сайты? Так как они влияют? Или это загрузка чего-то с других сайтов к себе? Такого нет. (кроме баннеров и счётчиков).


Ничего они не хотят делать. И предупредили меня, что если я ещё раз пожалуюсь на сканирование, то всё, что они будут делать - это банить мой ip на все протоколы, кроме http.


Нету ничего. И файрвол за этим следит, и Касперский с расширенными базами. И панелями я всякими вообще не пользуюсь.


А ещё интересно, что впервые мне об этом сканировании рассказал один посетитель моего сайта. Его файрвол тоже обнаружил такое сканирование. Причём он выходил по диалапу! А у меня самого не было ни разу. А потом, в мае, и у меня появилось...

Ну касперского обмануть несложно, послав спуфинг, так что могут быть и ложные срабатывания.
Уже был опыт

Не, Касперский имеется ввиду проверка софта на локальной машине на предмет шпионских программ.

Ну и аутпост тоже думаю просигналит об атаке с сервера если послать спуфинговый пакет. Просто не стоит блокировать на столь долгий срок "подозрительные" IP.

А пожно по-подробнее, что такое спуфинг, и кто его посылает и зачем?

1. Если на сервере хостера разрешены запросы скриптов к другим серверам - можно.
2. В Outpost есть опция - "предупреждать при сканировании одного порта". Если она включена, возможны "ложные" срабатывания, но Вы говорите, что сканируются несколько портов...
3. Только если это дествительно происходит:

Вы можете попробовать сделать несколько простых действий, но сам процесс может занять много времени Так-что, можете и не делать ничего
Я так понял, на сервере (на IP), где расположен Ваш сайт, находятся и другие сайты (если у Вас нет выделенного IP).
В таком случае, не факт, что сканирование идет именно с Вашего сайта.

Вам необходимо обнаружить определенную закономерность.
Скорее всего, у кого-то, при заходе на сайт, срабатывает скрипт, возможно, что бы не привлекать внимание, он срабатывает с отсрочкой (минут на 5-10).

Попытаться обнаружить "виновника торжества" можно следующим образом. Когда файрвел сообщит Вам об очередном сканировании портов, Вам необходимо просмотреть, какие сайты Вы посещали за последние 10-15 минут.
Потом, пропинговать адреса всех этих сайтов (незабудьте снять блокировку файрвела)
(командная строка >> ping имя_сайта.ru)

В ответ, Вы будете получать информацию, в том числе IP адреса этих сайтов. Если среди них встретится IP Вашего сервера - есть вероятность (но только вероятность), что сканирование идет именно с него, т.е. Вам, с определенной долей вероятности, будет известен домен, с которого идет сканирование.
Если IP Вашего сервера не встретится - немного сложнее (вернее более трудоемко). Можно просмотреть адреса всех банеров на посещенных сайтах и пропинговать эти адреса - среди них так же может встретиться IP Вашего сервера.

Если встретится несколько сайтов на Вашем сервере - ситуация немного усложнится по понятным причинам, тут останется действовать толлько методом исключения (вышеописанным способом), что может занять уйму времени...

В любом случае, получив адрес(а) сайта(ов) расположенного(ных) на Вашем сервере, можно попытаться зайти на эти сайты, посмотреть - не повторится ли сканирование (возможно, минут через 10 после повторного посещения). Кстати, если у Вас диалап, Вы можете отключиться от сети и подключиться снова, что бы поменялся Ваш собственный IP, прежде чем повторно посещать эти сайты (в скрипте может стоять защита от повторного скана одного IP).

Если при повторном посещении сканирование повторится - 99% Вы нашли источник неприятностей. Вот с этой информацией уже сможете обратиться к своему хостеру (желательно, если Вы точно запишете даты и время сканирования).

В том, что я описал, нет совершенно ничего сложного, да и делать это стоит разве-что из интереса

Спасибо большое. Буду пробовать.
Не знаю, правда, сколько ждать придётся...

А вот мне что-то кажется, что оба этих раза я заходил на свой же собственный форум. Это может быть где-то зарыто в phpBB?

Зависит от того, где Вы взяли скрипт форума.
Совершенно не представляет сложности для "злоумышленника", добавить в скрипт форума (или в файл скина) собственный код, который:
1. либо будет выполнять нежелательные действия (напрмер скан портов),
2. либо (в целях большей секретности) позволит уже после установки форума на сервер, дописать в код форума необходимую "заразу".
Кстати, таким образром могли "заразить" не сам форум, а любой из скриптов сайта.

Если сам форум взят с официального сайта, то врядли причина в нем... Возможно в скине - здесь сложнее сказать, зависит опять-таки от источника скина

Это можно проверить, но зависит от Ваших познаний в php. Если такие функции как Вам знакомы - не составит труда найти, откуда с Вашего сайта идет проблема. Так же, можно будет понять, в чем она заключается...

Ну, в общем-то, перед тем, как всё началось, мой форум хакнули. Потом я перезаписал все исполняемые файлы с локальной машины, а после этого сделал апгрейт до последней версии. Брал, конечно, из официальных источников.
Так что, в принципе, ничего не должно было остаться...

А тему я сам делал.

Ага, вот и до сути добираемся хотя, возможно это только предположения

Ну допустим:
1. Ваш форум хакнули используя определенную уязвимость
2. Так понимаю, Вы не в курсе, с помощью какой именно уязвимости хакнули форум.
3. Вы перезаписали форум.
4. Его снова хакнули используя ту же самую уязвимость. Но на сей раз, не стали это проявлять, а оставили ВАШ сервер для возможности использования в незаконных целях (бэк дор).

Логично звучит?

Кстати, для того, что бы проСПАМить или сделать что-либо похуже, обычно именно так и делают.
Я бы на вашем месте разбирался в коде форума - если есть знания, время и желание.
В ином случае, я обратился бы к разработчикам форума, объяснив им ситуацию и предоставив хакнутый (или возможно хакнутый) форум (т.е. файлы и полный дамп БД).
А форум бы прикрыл на время или заменил другим.
Вполне возможно, что разработчики найдут эту уязвимость и сделают исправление, а Вам еще и благодарность объявят.

в большинстве случаев, подобное сканирование происходит при фтп подключении (вспомните подключались ли вы по фтп в критические дни ), в этом нет ничего незаконного, просто в определенных случаях фтп сервер ищет по каким еще портам можно произвести соединение (обычно если вы в PASV mode).
Один клиент тоже жаловался, посоветовали сменить firewall.

Да.

Да.

Да

Мало вероятно. Во-первых, до этого у меня была действительно очень старая версия, а я её проапгрейтил до последней. Во-вторых, насколько я знаю, все хаки сводятся к тому, чтобы сначала получить доступ к управлению. Я закрыл доступ к папке администрирования с помощью базовой аутонтификации.

Спасибо за подсказку. Наверное так и сделаю.

Нет, не подключался. По крайней мере в пределах часа до атаки.

Что на что менять? Если один файрвол чувствительный, а другой начнёт сигналить только когда хакер попытается выдернуть вилку из розетки, то зачем это нужно?

ИМХО - Outpost хороший и удобный файрвел.

Я, наверно, глупость сделал... Переписал весь форум (исполняемые файлы). Теперь нечего отсылать авторам... Ну, остаётся теперь подождать, пока опять сканирование начнётся.