Tema destacado: Recuperar cuenta de Google, GMail, Youtube
 Autor
|
Tema: Zombie scan (Leído 5,921 veces)
|
kiran
 Desconectado
Mensajes: 22
|
hola buenas alguien podria decirme con detalle mas bien explicarme como realizar un Zombie scan gracias
|
|
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Ex-Staff
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
A que te refieres exactamente con Zombie scan? Me perdí!
Saludos
|
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
|
kamsky
|
por lo que puedo deducir del nombre...supongo que será a un scaner de redes Zombies...
supongo que estas botnets se aprovechan de fallos comunes, como el recientemente famoso Conficker, para infectarse en diferentes hosts, y a continuación algo común, es que los propios troyanos parcheen la vulnerabilidad para que otros no puedan aprovecharse de ella, eso si, dejando algún backdoor para poder dar instrucciones...
asi que lo lógico es que busques troyanoz usados para 'botnetear' redes, te enteres como funciona y que puerto dejan abierto para dirigirlas, y a partir de eso sondees la red en busca de esos puertos...
salu2
|
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
Novlucker
Ninja y
Ex-Staff
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Es que la verdad no me ha quedado clara la pregunta: Primero porque como dices, depende del malware utilizado para crear la botnet, si se aprovecha de alguna vulnerabilidad, si deja a la escucha algún puerto, etc etc. El conficker por ejemplo se puede detectar en una red con el uso de nmap, pero en ese caso en concreto es por el uso de determinados puertos. Otros bots basados en el componente webbrowser (vb6) por ejemplo, son relativamente invisibles en una red ya que más allá de lo que puede ser el tráfico en concreto (muchas solicitudes consecutivas a un server), no difiere mucho de lo que puede ser cualquier persona navegando en la red con el iexplorer  Por lo dicho antes, detectar bots desde "afuera" puede resultar complicado si no se tiene un objetivo puntual (algún bot), en lo que refiere a una LAN ya se puede tener algo más concreto .... BotHunter  Igual puede que este pidiendo algo totalmente distinto  Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
kiran
Desconectado
Mensajes: 22
|
solamente quiero escanear los puertos donde se aloja una pagina web dicho server no tiene mucho trafico poreso se llaman Zombie hosts alguna idea para hacer eso tenis ?
|
|
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Ex-Staff
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Sigo sin entender, quizás me hace falta un café Veamos ... un scan de puertos/servicios corriendo en un determinado servidor lo puedes hacer con nmapLo del tráfico y el nombre es lo que confunde, ya que por zombie scan o zombie host tengo entendida otra cosa, es un scan desde un/unos pc's zombie (zombie host) para así evitar que se conozca el verdadero origen del que se realizaría el scan Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
|
kamsky
|
solamente quiero escanear los puertos donde se aloja una pagina web dicho server no tiene mucho trafico poreso se llaman Zombie hosts alguna idea para hacer eso tenis ?
acojonado me he kedado!!! jejeje la primera vez que oigo que un server con poco tráfico se llama "Zombie hosts"  yo creo que más que un café NOS falta un verano o algo :p
|
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
|
|
|
ANELKAOS
|
La técnica a la que se refiere es el llamado "Zombie Scan" o "Idle Scan" que consiste en escanear una máquina desde otra. Se realiza con los parámetros -Is de nmap. nmap -PN -p- -sI <zombie> <víctima>
Está detallado en el capítulo 5 del libro de Fyodor sobre nmap. |
|
|
|
|
En línea
|
|
|
|
|
haxorcito
|
Hola,
Zombie/Idle scan es una de esas cosas que queda muy bien en el libro, pero que en la práctica desde casa no se puede hacer. Si no recuerdo mal, vale sólo para escanear spoofeando otro ordenador de tu misma VLAN, y los ISPs no dejan hacer eso ...
Para escanear el servidor web:
nmap -P0 -T0 -p 21,22,25,80,443, 1433,3306 ip_del_server
El resto de puertos dudo mucho que merezca la pena mirarlos. He puesto el smtp, mysql y sqlserver, porque son los normales, pero si se quiere se puede añadir pop3 (110), oracle(1521) y postgre (no_me_acuerdo). El parámetro -T0 es por si tienen IDS, que no verá el escaneo así.
Hoy en día, para un servidor web no hace falta mirar más. No va a haber abierto más que estos ... con suerte. De hecho, si es una empresa grande, no va a haber abierto más que HTTP(s) y punto.
Le costará un rato escanear por el -T0.
Saludos,
|
|
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Ex-Staff
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Entonces si era lo que pensaba, es lanzar un scan falsificando nuestra identidad, ... lo que no me terminaba de aclarar era la pregunta en si Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
kiran
Desconectado
Mensajes: 22
|
ok ya lo tengo solucionao despues de localizar el puerto abierto que e de hacer para poder aceder al servidor si me pide passs y user por telnet ?
|
|
|
|
|
En línea
|
|
|
|
|
haxorcito
|
Pues, salvo que tengas la opción de que la versión del telnet sea más vieja que matusalén (mira el banner), atacar por fuerza bruta la cuenta "root" (linux) o "administra(t|d)or" (windows). Supongo que es linux, porque tiene telnet abierto, así que root.
Para ello, puedes usar brutus o medusa.
Saludos,
|
|
|
|
|
En línea
|
|
|
|
|
haxorcito
|
Ah!, lo olvidaba: hazlo vía Proxy, con TOR, porque vas a dejar unos logs de escándalo ...
|
|
|
|
|
En línea
|
|
|
|
kiran
Desconectado
Mensajes: 22
|
es decir que con las versiones nuevas no es posible
|
|
|
|
|
En línea
|
|
|
|
|
 |
