Foro de elhacker.net

Seguridad Informática => Hacking Básico => Mensaje iniciado por: jarlnder en 7 Enero 2011, 18:07 pm



Título: Sobre informe de NMAP (escaneo de puertos)
Publicado por: jarlnder en 7 Enero 2011, 18:07 pm
Hola,

He realizado con NMAP un escaneo a una IP de la cual sospecho (en mis otros mensajes explico mi problema).
No obstante, obtengo un log que no soy capaz de interpretar.

Os lo pego aquí:
Citar
Starting Nmap 5.21 ( http://nmap.org ) at 2011-01-07 13:05 Hora estándar romance

NSE: Loaded 36 scripts for scanning.

Initiating Ping Scan at 13:05

Scanning 6x.x7.xx1.xx7 [8 ports]

Completed Ping Scan at 13:05, 0.43s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 13:05

Completed Parallel DNS resolution of 1 host. at 13:05, 0.05s elapsed

Initiating SYN Stealth Scan at 13:05

Scanning 6x.x7.xx1.xx7.dyn.user.ono.com (6x.x7.xx1.xx7) [65535 ports]

SYN Stealth Scan Timing: About 1.22% done; ETC: 13:48 (0:41:53 remaining)

SYN Stealth Scan Timing: About 3.79% done; ETC: 13:46 (0:39:45 remaining)

SYN Stealth Scan Timing: About 5.58% done; ETC: 13:42 (0:35:00 remaining)

SYN Stealth Scan Timing: About 9.29% done; ETC: 13:33 (0:25:03 remaining)

SYN Stealth Scan Timing: About 13.42% done; ETC: 13:28 (0:19:47 remaining)

SYN Stealth Scan Timing: About 16.85% done; ETC: 13:27 (0:18:30 remaining)

SYN Stealth Scan Timing: About 22.25% done; ETC: 13:24 (0:14:51 remaining)

SYN Stealth Scan Timing: About 26.82% done; ETC: 13:23 (0:13:03 remaining)

SYN Stealth Scan Timing: About 31.23% done; ETC: 13:23 (0:12:04 remaining)

SYN Stealth Scan Timing: About 36.31% done; ETC: 13:22 (0:10:30 remaining)

SYN Stealth Scan Timing: About 40.32% done; ETC: 13:21 (0:09:40 remaining)

SYN Stealth Scan Timing: About 46.97% done; ETC: 13:20 (0:07:57 remaining)

SYN Stealth Scan Timing: About 52.33% done; ETC: 13:20 (0:06:53 remaining)

SYN Stealth Scan Timing: About 57.09% done; ETC: 13:19 (0:06:08 remaining)

SYN Stealth Scan Timing: About 61.93% done; ETC: 13:19 (0:05:21 remaining)

SYN Stealth Scan Timing: About 66.91% done; ETC: 13:19 (0:04:35 remaining)

SYN Stealth Scan Timing: About 71.85% done; ETC: 13:19 (0:03:50 remaining)

SYN Stealth Scan Timing: About 76.92% done; ETC: 13:19 (0:03:06 remaining)

SYN Stealth Scan Timing: About 81.71% done; ETC: 13:18 (0:02:25 remaining)

SYN Stealth Scan Timing: About 87.41% done; ETC: 13:18 (0:01:39 remaining)

SYN Stealth Scan Timing: About 92.70% done; ETC: 13:18 (0:00:58 remaining)

Completed SYN Stealth Scan at 13:18, 790.53s elapsed (65535 total ports)

Initiating Service scan at 13:18

Initiating OS detection (try #1) against 6x.x7.xx1.xx7.dyn.user.ono.com (6x.x7.xx1.xx7)

Retrying OS detection (try #2) against 6x.x7.xx1.xx7.dyn.user.ono.com (6x.x7.xx1.xx7)

Initiating Traceroute at 13:18

Completed Traceroute at 13:18, 0.21s elapsed

Initiating Parallel DNS resolution of 2 hosts. at 13:18

Completed Parallel DNS resolution of 2 hosts. at 13:18, 0.05s elapsed

NSE: Script scanning 6x.x7.xx1.xx7.

NSE: Script Scanning completed.

Nmap scan report for 6x.x7.xx1.xx7.dyn.user.ono.com (6x.x7.xx1.xx7)

Host is up (0.11s latency).

Not shown: 65530 filtered ports

PORT     STATE  SERVICE VERSION

1406/tcp closed unknown

1857/tcp closed unknown

3050/tcp closed unknown

3656/tcp closed unknown

3726/tcp closed unknown

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

Aggressive OS guesses: HP OpenVMS 7.3-1 (98%), Netasq U70 firewall (98%), AirSpan ProST WiMAX access point (97%), Apple iPhone mobile phone (iPhone OS 2.2.1) (97%), Apple Mac OS X 10.4.10 (Tiger) (Darwin 8.10.0, PowerPC) (97%), BinTec R1200 WAP (97%), Blue Coat SG200 proxy server (SGOS 5.1.4.4) (97%), HP LaserJet 4300 JetDirect FW R.25.57 (97%), HP Brocade 1600 switch (97%), Juniper Networks JUNOS 9.0R2.10 (97%)

No exact OS matches for host (test conditions non-ideal).

Network Distance: 2 hops



TRACEROUTE (using port 3050/tcp)

HOP RTT       ADDRESS

1   202.00 ms 10.204.96.1

2   198.00 ms 6x.x7.xx1.xx7.dyn.user.ono.com (6x.x7.xx1.xx7)



Read data files from: C:\Program Files\Nmap

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 796.93 seconds

           Raw packets sent: 131516 (5.790MB) | Rcvd: 416 (17.802KB)
Me llama la atención lo que está marcado en negrita: lo de la detección de OS, y esa otra IP por la que debe pasar al trazar la ruta.
Con esta IP, lo que me sucedía es que al usar programas para trazar rutas, siempre me debía pasar por UK, y luego iba a España; de todas las IP que he probado, ésta es la única que me lo hace (mi problema está en que esta IP debería ser de UK y no de España).

¿Alguien sabría interpretar lo que dice el log; saber si esto es normal?
¿Estoy tratando con un usuario convencional?
Creo que esta persona es una impostora, y me gustaría tener información sobre ella para saber quién es...

Cualquier observación me será de grandísima ayuda.
Mil gracias.


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: Garfield07 en 7 Enero 2011, 18:10 pm
El scan...
1) Es un Firewall
2) Es un Mac / i*

Bueno, eso creo xD


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: jarlnder en 7 Enero 2011, 18:45 pm
Entonces, ¿el log es normal?

Imagino que todos los métodos de intrusión y demás no funcionarán igual en un Mac.
Siendo un Mac, ¿cómo puedo revelar información de esta persona?
¿Me podéis iluminar un poco?

Gracias de nuevo, Sagrini.


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: Garfield07 en 7 Enero 2011, 18:51 pm
De nadas!
Bueno, meterte en un Mac (si lo es) sera mas dificil. Yo usaria I.S. (Ingenieria Social xD). Y eso si lo es.

Y... si que lo es. Los porcentajes son porque no se esta seguro... Tmb podria ser otro, pero esos dos son los mas probables, aunque no seguros.
Bueno, ahora que lo miro... Podria ser una impresora? Ni idea  :huh:
Y... no creo que sea un firewall. Los puertos son muy altos. Los firewalls suelen tener algunos pequeños abiertos, creo.

Iluminadme!


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: jarlnder en 7 Enero 2011, 18:58 pm
Sí, eso era lo que más me confundía: OS muy dispares, y todos con porcentajes muy altos. Aparte, aparece un Netasq U70 que no parece algo muy doméstico, creo.

¿Cómo uso la ingeniería social para entrar en su ordenador u obtener información? Lo cierto es que no tengo ni idea.

Saludos.


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: Garfield07 en 7 Enero 2011, 19:11 pm
La ingenieria social es la mas facil de todas las ingenierias :P solo consiste en hacer que alguien haga algo que  tu quieres. Tan sencillo como llamar a Servicio Técnico para resetear pass con un enfado de pantalones [Eso le servia mucho a Kevin Mitchin, llamaba y el pobre trabajador se iba a su casa con un miedo...].
P. Ej. pasarle un programa con un troyanito programado por ti mismo, pedirle que te mande su hotmail (te mandara un correo desde hotmail, y consigues su ip), etc. es sencillamente pensar un poco. es de lo que mejor se me da jaja...

suerte!
PD: Recuerda que no sabemos exactamente que es. Busca mas datos de la victima. P.Ej. conectate a sus puertos con telnet, ssh, nc, a ver que te dan...


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: jarlnder en 7 Enero 2011, 19:50 pm
Jeje sí, pero para este caso no creo que la ingeniería social sirva de demasiado.
Si se confirman mis sospechas, es un impostor haciéndose pasar por alguien. No creo que caiga fácilmente en ninguna trampa de este tipo, porque sabe lo que se hace.

He probado a conectarme por telnet, pero no lo he conseguido (de hecho, se me cierra el cmd al cabo de un rato). El resto, ni idea de como funcionan; y tampoco sé si tanto estos como telnet funcionan para Mac.

He probado con los keyloggers, pero absolutamente todo me lo detecta el antivirus y me es imposible enviarlo (he probado con el perfect keylogger, que en teoría es de los mejores y más indetectables, según he leído). Además, si está en un Mac, imagino que no funcionará.

Saludos.


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: Garfield07 en 7 Enero 2011, 20:34 pm
Codea tu un keylogger. Hay alguno por el foro, para vaguitos  :P
Y... no te creas. Caerá jaja.

El CMD no se cierra "solo". Ejecutalo y copia lo que te de.

Y si es un mac, pasale un pen con un .sh ... tu me entiendes... jaja


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: jarlnder en 7 Enero 2011, 21:21 pm
Ahora sí he podido usar el telnet, pero me dice que no puede conectarse por el puerto 23. Lo que me decía el informe era eso: tiene todos los puertos cerrados, así que no creo que pueda usarlo.

Como expongo en el otro mensaje, tengo algunos problemas con los keyloggers. He hecho ya alguno (con el Perfect Keylogger), y el antivirus me lo detecta -- eso puedo solventarlo quitándome el antivirus, pero aún así me es imposible de enviarlo, sea por e-mail o por MSN, porque es detectado por el antivirus. Y lo que dije: si es un Mac, no creo que un keylogger para Windows funcione bien, ¿no?

Menudo lío...


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: jarlnder en 8 Enero 2011, 12:33 pm
Añado algo que no había comentado:

Esa IP en cuestión siempre me devuelve el ping. Es decir, el ordenador está absolutamente siempre conectado. Me parece algo extraño.
Tampoco había añadido que la IP es estática, siempre es la misma.

¿No estaré tratando con algún servidor, alguna derivación extraña o con algún cruce raro de IPs?

Recuerdo que los OS más probables según el log de NMAP son:
Citar
HP OpenVMS 7.3-1 (98%), Netasq U70 firewall (98%), AirSpan ProST WiMAX access point (97%), Apple iPhone mobile phone (iPhone OS 2.2.1) (97%), Apple Mac OS X 10.4.10 (Tiger) (Darwin 8.10.0, PowerPC) (97%), BinTec R1200 WAP (97%), Blue Coat SG200 proxy server (SGOS 5.1.4.4) (97%), HP LaserJet 4300 JetDirect FW R.25.57 (97%), HP Brocade 1600 switch (97%), Juniper Networks JUNOS 9.0R2.10 (97%)
Excepto el Mac OS X y el iPhone (éste creo que queda descartado, porque en sus mails no veo nada de "enviado desde mi iPhone", y tampoco me lo avisa por MSN), el resto son algo extraños, a mi parecer.
En general, no parece algo demasiado doméstico; empezando por HP OpenVMS o los servers, el firewall de Netasq...

¿Alguien sabe qué demonios pasa con esta IP?

¿No estaré contactando con el servidor de ONO encargado de gestionar una conexión de internet móvil por USB, por ejemplo (no sé cómo funcionan en el extranjero estos aparatos)?


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: Garfield07 en 8 Enero 2011, 19:21 pm
Bueno... repasando  ;D Si es asi, solo puede ser un firewall de los buenos o un server completito  :silbar:

A no ser que hayas sacado la IP de un mal sitio  :P a ver si te metes con la CIA xD...
De donde sacastes tu IP?


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: jarlnder en 8 Enero 2011, 21:00 pm
La IP la he sacado tanto del campo X-Originating-IP del código fuente del e-mail (de hotmail.es) como lo he verificado con netstat durante la conexión por MSN (que también pasa por hotmail.es, claro). También le envié un e-mail de estos que te envían la IP y demás información de la persona que lo ha abierto, y me ha arrojado los mismos resultados.
En cuanto pueda también probaré de que entre en mi web, y veré las estadísticas.

La persona en cuestión tampoco parece un hacker avanzado ni nada por el estilo. No creo que tenga un server montado en su casa.
Me parecen demasiadas molestias para alguien que simplemente se aburre y quiere pasar el rato; no creo que pretenda nada más.

Es extraño, pero parece que esa IP corresponda más bien a un server de ONO, y no me gustaría que se presentaran en mi casa o me denunciaran por intrusismo, claro.

No tengo mucha idea de cómo funciona todo esto; apenas empecé a investigar a raíz de este problema. De todas las pruebas que he hecho, el único caso en que tengo estos resultados tan extraños es en este.
Y son demasiadas cosas raras...: Al trazar la ruta és la única que pasa por UK, el tema del servidor, ...

No sé si es muy normal, todo esto.

Y lo que dije antes: ¿qué pasaría si esta persona se está conectando mediante Internet móvil por USB con Ono, por ejemplo? En teoría en UK tendría que coger señal, y quizás estoy pillando la IP del servidor que gestiona esa conexión...

Saludos.


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: Garfield07 en 8 Enero 2011, 21:13 pm
Puede ser.
Ahhh joer sere tonto !!!!!!

Claro! Esa IP es la del router de su casa. Por eso es asi! No puedes acceder asi, tienes que acceder primero a ese router... Busca vulns en Google xD. Ono creo que es facil, pero no lo he hecho nunca...


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: jarlnder en 8 Enero 2011, 21:43 pm
Puede ser.
Ahhh joer sere tonto !!!!!!

Claro! Esa IP es la del router de su casa. Por eso es asi! No puedes acceder asi, tienes que acceder primero a ese router... Busca vulns en Google xD. Ono creo que es facil, pero no lo he hecho nunca...
Hm... pero entonces estamos en lo del principio: esa IP sí indica donde se haya la persona. No me cuadra mucho.

La verdad es que de esto último que dices no tengo mucha idea. Para poder acceder a su router, debería saber qué router tiene, ¿no?
El informe de puertos no me indica nada de routers, sino de servidores y demás...
Y ya digo: el resto de pruebas que he hecho, he obtenido la IP del PC, no del router (empezando conmigo mismo).

Cuanto más entras en este mundo, más liado estás...


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: Garfield07 en 8 Enero 2011, 22:03 pm
Sep, vamos a ver, este user esta conectado a Internet desde un router. Entonces tu no puedes acceder desde fuera a su PC. Primero tienes que entrar en el router, y una vez en su red local, entrar :P
Es como una urbanización de casas. Para entrar en una casa, tienes que entrar primero en la urbanización  ;-)
Dudas here xD


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: jarlnder en 8 Enero 2011, 22:07 pm
Entonces las conclusiones que saco son:

a) La localización de la IP es correcta.
b) No voy a poder entrar en su PC ni saber quién es la persona (no sé qué modelo de router tiene, y tiene todos los puertos cerrados).

Pues vaya :(


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: Garfield07 en 8 Enero 2011, 22:30 pm
1) Correcto
2) Que va! Ahora se pone muy interesante :P. Te ayudare desde aqui  ;)

Lo primero que tenemos que hacer es recolectar algo de info de la victima  ::)
1) Empieza con un scan de puertos rapido, codea algo sencillito, o nmap, y luego posteas y veremos que tiene el muchachote.
2) Luego podriamos buscar alguna vulnerabilidad en sus versiones. Nada mas sencillo. Pero por favor ni Nessus ni Metasploit ni nada. Si no quieres buscarla tu en el code (lo cual por desgracia no querras hacer), mira en Google, pero nada mas. Seguro que hay algo xD... Pero es ya lo veremos cuando veamos los puertos.

Aqui te espero!


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: jarlnder en 8 Enero 2011, 23:16 pm
De nuevo y por enésima vez: mil gracias, Sagrini :)

El log más intenso que he hecho a esa IP es el que he posteado en el primer mensaje.
Ahora he hecho uno "normal", me arroja esto:
Citar
Starting Nmap 5.21 ( http://nmap.org ) at 2011-01-08 23:11 Hora estándar romance

NSE: Loaded 36 scripts for scanning.

Initiating Ping Scan at 23:11

Scanning xx.x7.xx1.xx7 [8 ports]

Completed Ping Scan at 23:11, 0.37s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 23:11

Completed Parallel DNS resolution of 1 host. at 23:11, 0.25s elapsed

Initiating SYN Stealth Scan at 23:11

Scanning xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7) [1000 ports]

Completed SYN Stealth Scan at 23:11, 31.41s elapsed (1000 total ports)

Initiating Service scan at 23:11

Initiating OS detection (try #1) against xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7)

Retrying OS detection (try #2) against xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7)

Initiating Traceroute at 23:11

Completed Traceroute at 23:11, 0.06s elapsed

Initiating Parallel DNS resolution of 2 hosts. at 23:11

Completed Parallel DNS resolution of 2 hosts. at 23:11, 0.04s elapsed

NSE: Script scanning xx.x7.xx1.xx7.

NSE: Script Scanning completed.

Nmap scan report for xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7)

Host is up (0.035s latency).

All 1000 scanned ports on xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7) are filtered

Too many fingerprints match this host to give specific OS details

Network Distance: 2 hops



TRACEROUTE (using proto 1/icmp)

HOP RTT      ADDRESS

1   28.00 ms 10.204.96.1

2   38.00 ms xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7)



Read data files from: C:\Program Files\Nmap

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 37.97 seconds

           Raw packets sent: 2055 (93.344KB) | Rcvd: 15 (988B)


Creo que este log no dice nada; pero tal y como decía el otro: tiene todos los puertos cerrados. Y sin puertos...

P.D.: Te mando un MP


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: Garfield07 en 9 Enero 2011, 00:17 am
Con que argumentos lo has hecho?
Prueba sencillamente con:
Código:
sudo nmap -v -sV 127.0.0.1
Eso nos da bastante informacion importante...


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: jarlnder en 9 Enero 2011, 00:41 am
Con este comando simplemente obtengo este log:
Citar

Starting Nmap 5.21 ( http://nmap.org ) at 2011-01-09 00:34 Hora estándar romance

NSE: Loaded 4 scripts for scanning.

Initiating Ping Scan at 00:34

Scanning xx.x7.xx1.xx7 [4 ports]

Completed Ping Scan at 00:34, 0.34s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 00:34

Completed Parallel DNS resolution of 1 host. at 00:34, 0.11s elapsed

Initiating SYN Stealth Scan at 00:34

Scanning xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7) [1000 ports]

Completed SYN Stealth Scan at 00:35, 48.82s elapsed (1000 total ports)

Initiating Service scan at 00:35

NSE: Script scanning xx.x7.xx1.xx7.

NSE: Script Scanning completed.

Nmap scan report for xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7)

Host is up (0.046s latency).

All 1000 scanned ports on xx.x7.xx1.xx7.dyn.user.ono.com (xx.x7.xx1.xx7) are filtered

Read data files from: C:\Program Files\Nmap

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 50.95 seconds

           Raw packets sent: 2004 (88.152KB) | Rcvd: 1 (28B)

Pero no veo ninguna información sobre los puertos; ni entiendo lo último de los paquetes (¿sólo ha recibido uno?).

Saludos.


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: Garfield07 en 9 Enero 2011, 00:53 am
¿Pero que comando?


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: jarlnder en 9 Enero 2011, 00:56 am
El log del último mensaje es con el que me has puesto:
Citar
nmap -v -sV xx.xx.xxx.xxx.


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: Garfield07 en 9 Enero 2011, 00:59 am
Nada ff me da down  >:( mañana codeo algo...


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: jarlnder en 9 Enero 2011, 16:12 pm
Hola de nuevo,

Un usuario de otro foro me ha comentado lo siguiente:
Citar
primero que todo una aclaració: puede que la ip tu "familiar" sea de un proxy o simplemente que el proveedor fuente de su internet es realmente de español (he visto que eso pasa sobretodo con el internet satelital).

Sobre esto sí que no tengo ni idea. ¿Es eso posible?
Si esto fuera cierto creo que sería lo más lógico, dado lo raro de esta IP y del asunto en sí.

¿Qué opináis?
¡Saludos!


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: Garfield07 en 9 Enero 2011, 17:21 pm
Código:
1)sagrini@sagrini:~$ sudo nmap -v -sV 127.0.0.1
[sudo] password for sagrini:
Sorry, try again.
[sudo] password for sagrini:

Starting Nmap 4.76 ( http://nmap.org ) at 2011-01-09 17:19 CET
Initiating SYN Stealth Scan at 17:19
Scanning localhost (127.0.0.1) [1000 ports]
Discovered open port 80/tcp on 127.0.0.1
Discovered open port 631/tcp on 127.0.0.1
Completed SYN Stealth Scan at 17:20, 0.04s elapsed (1000 total ports)
Initiating Service scan at 17:20
Scanning 2 services on localhost (127.0.0.1)
Completed Service scan at 17:20, 6.31s elapsed (2 services on 1 host)
SCRIPT ENGINE: Initiating script scanning.
SCRIPT ENGINE: '/usr/share/nmap/scripts/skype_v2-version.nse' threw a run time error and could not be loaded.
SCRIPT ENGINE: '/usr/share/nmap/scripts/iax2Detect.nse' threw a run time error and could not be loaded.
SCRIPT ENGINE: '/usr/share/nmap/scripts/PPTPversion.nse' threw a run time error and could not be loaded.
Host localhost (127.0.0.1) appears to be up ... good.
Interesting ports on localhost (127.0.0.1):
Not shown: 998 closed ports
PORT    STATE SERVICE VERSION
80/tcp  open  http    Apache httpd 2.2.11 ((Ubuntu))
631/tcp open  ipp     CUPS 1.3.9

Read data files from: /usr/share/nmap
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.58 seconds
           Raw packets sent: 1000 (44.000KB) | Rcvd: 2002 (84.088KB)
.
Me diras que no tiene mucha informacion... xD
2) Claro que puede ser, es probable, pero si tu crees que la victima no tiene conocimientos para eso... Te lo he dicho antes...

Modf: No creo que sea lo ultimo, pues si has sacado la IP de un hotmail, no creo que usase proxy... Depende del tema del mensaje, si era una contestacion normal, no, pero si era de un golpe de estado es normal que usase proxy xD
Modf2: Y te recuerdo que los proxys no son del todo "anonimos" siempre xD


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: jarlnder en 9 Enero 2011, 18:44 pm
Muchas gracias por el análisis. A mí no me sale nada parecido: me salían todos los puertos cerrados.

Tiendo a creer esto último que he dicho, aunque no sé si estoy siendo poco realista.
No quiero decir que la persona en cuestión esté usando un proxy adrede, sino que debido a cómo sea su conexión haya un lío de países.

He leído que es algo que puede ocurrir si tu ISP está en otro país (España) distinto al tuyo (UK); pero como digo, no tengo mucha idea del tema y no sé si lo que digo es una burrada (tampoco sé cómo puedes conectarte mediante ONO estando en el Reino Unido; no sé si internet móvil funcionaría; o si es una especie de roaming, o qué).

También he leído que por netcat puedes saber la IP real de la persona (en caso de que hubiera este lío con el ISP), pero no he obtenido ningún resultado (sale un mensaje de error con la conexión y se cierra).

Saludos.


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: Garfield07 en 9 Enero 2011, 18:58 pm
Ehhh, le he puesto 127.0.0.1 es mi PC pero como estoy con router no me importa  :silbar:
Vamos a ver... ehh, no, no creo que use un proxy, vamos, no se suele usar para mandar un e-mail. Si fuese por seguridad, usaria gmail. No usa proxy, por lógica... No es un lio de países, no tiene nada que ver.

Y con NC lo que se hace es abrir un puerto y decirle al otro que se conecte... para eso usa un server mas normal... en en foro de C/C++ puse un code de un server, si lo combinas con No-Ip a lo mejor...
Vamos a ver, y si te lo ha mandado desde un PC que no es suyo? Ay... asegurate que la IP le corresponde a el... a lo mejor esta desde Wi-Fi desde el movil... quien sabe... asegurate a que es su IP, si no, es tonteria...


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: jarlnder en 9 Enero 2011, 19:17 pm
Jeje, la cosa siempre se complica cuando creo que lo tengo más claro.

Por el momento he recibido ya algunos e-mails, y he hablado con esta persona por MSN (el rato suficiente como para poder enviarle un archivo y ver su IP por netstat), y en todo momento me ha salido esta IP.

Creo que, sin complicarnos demasiados y viéndolo en retrospectiva, la cuestión básica es esta: ¿podría esta persona estar conectándose desde UK, pese que la IP me marca que está en España? No sé si esto es absolutamente imposible, o si hay alguna posibilidad de ello, sea porque se conecta por USB con un servicio contratado con ONO, o porque tiene el ISP contratado en España. (Tal y como dices, no creo que esté usando un proxy, y que luego me envíe un correo de hotmail).

Sabiendo cuándo puede darse esto (que la IP te marque que es de España, cuando se está en UK) podría intentar preguntar qué tipo de conexión tiene, y si esto es lógico.

Debido a unos problemas personales, esta persona se ha ido a otro país (en teoría) de manera más bien fugaz. Así que, en caso de que fuera posible conectarse de este modo (cosa que desconozco), me parecería razonable que se estuviera conectando mediante su ISP habitual, o por un USB de internet móvil.

¡Saludos!


Título: Re: Sobre informe de NMAP (escaneo de puertos)
Publicado por: jarlnder en 10 Enero 2011, 18:55 pm
Escaneando la IP con el comando:
Citar
nmap -v -sV x2.x7.xx1.xx7

Tengo el siguiente informe:
Citar
Starting Nmap 5.21 ( http://nmap.org ) at 2011-01-10 18:51 Hora estándar romance

NSE: Loaded 4 scripts for scanning.

Initiating Ping Scan at 18:51

Scanning x2.x7.xx1.xx7 [4 ports]

Completed Ping Scan at 18:51, 0.39s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 18:51

Completed Parallel DNS resolution of 1 host. at 18:51, 0.08s elapsed

Initiating SYN Stealth Scan at 18:51

Scanning x2.x7.xx1.xx7.dyn.user.ono.com (x2.x7.xx1.xx7) [1000 ports]

Completed SYN Stealth Scan at 18:51, 27.23s elapsed (1000 total ports)

Initiating Service scan at 18:51

NSE: Script scanning x2.x7.xx1.xx7.

NSE: Script Scanning completed.

Nmap scan report for x2.x7.xx1.xx7.dyn.user.ono.com (x2.x7.xx1.xx7)

Host is up (0.047s latency).

Not shown: 999 filtered ports

PORT     STATE  SERVICE VERSION

3050/tcp closed unknown



Read data files from: C:\Program Files\Nmap

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 32.72 seconds

           Raw packets sent: 2004 (88.152KB) | Rcvd: 3 (108B)
El cual no me dice nada...

¿Es normal?

Saludos.