本日2つ目の投稿。 先日構築したT-Potが攻撃者からどう見えるのかを確認するためにnmapで確認してみる。

目次

1.nmapによる確認
2.動作確認

1.nmapによる確認

公開中のサーバへnmapでアクセスする。

root@kali:~# nmap -sS -sV <公開IPアドレス>

Host is up (0.14s latency).
Not shown: 134 filtered ports
PORT      STATE  SERVICE               VERSION
21/tcp    open   ftp                   vsftpd 2.0.8 or later
22/tcp    open   ssh                   OpenSSH 7.9p1 (protocol 2.0)
23/tcp    open   telnet?
25/tcp    open   smtp?
42/tcp    open   nameserver?
53/tcp    closed domain
80/tcp    open   http                  nginx 1.3.8
81/tcp    open   http                  nginx
110/tcp   open   pop3?
111/tcp   closed rpcbind
113/tcp   closed ident
119/tcp   open   nntp?
135/tcp   open   msrpc?
143/tcp   open   imap?
199/tcp   closed smux
256/tcp   closed fw1-secureremote
443/tcp   open   ssl/https?
465/tcp   open   tcpwrapped
554/tcp   closed rtsp
563/tcp   open   tcpwrapped
587/tcp   open   submission?
993/tcp   open   ssl/imaps?
995/tcp   open   ssl/pop3s?

<中略>

1433/tcp  open   ms-sql-s              Dionaea honeypot MS-SQL server

<中略>
9 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at https://nmap.org/cgi-bin/submit.cgi?new-service :
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============

<中略>

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

2.動作確認

• nmapに登録されていないサービスは FINGERPRINTを提出する旨のメッセージが表示された。
• 確認した結果、1433番ポートのmysqlサーバのサービスのみDionaeaが検出された。
  　次回はmysqlサーバのサービスについてnmapの検出を回避する方法を実施する。

今日はここまで!!