Récupération d’informations par la bannière d'un serveur FTP

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Récupération d’informations par la bannière d'un serveur FTP

Messagepar bombart » 27 Jan 2005 16:21

Bonjour,

La bannière suivante est relevée sur mon serveur FTP :

220 ProFTPD x.x.x Server (ProFTPD Default Installation) [nom_du_serveur]

Quelqu'un connait-il un moyen pour masquer les informations sur cette bannière ? Merci.
bombart
Matelot
Matelot
 
Messages: 2
Inscrit le: 27 Jan 2005 16:05

Récupération d’informations par la bannière d'un serveur FTP

Messagepar bendiou » 27 Jan 2005 16:35

Bonjour,

Regarde dans le fichier de config du serveur s'il n'est pas possible de modidier le texte dela banniere.
Avatar de l’utilisateur
bendiou
Second Maître
Second Maître
 
Messages: 29
Inscrit le: 25 Déc 2003 01:00

Récupération d’informations par la bannière d'un serveur FTP

Messagepar bendiou » 27 Jan 2005 17:01

Dans le cas ou la modification du fichier de config ne fonctionne pas ( je pense que ce sera certainement le cas, mais bon on ne sais jamais) il te faut modifier le fichier version.h qui se trouve dans les sources de ProFtpd puis recompiler l'application.
Cela te permettra de modifier la version de Proftpd
Maintenant si tu veux modifier l'intégralité de la banniére, il te faut chercher du coté du fichier nommé main.c toujours dans les sources.

Bonne fin d'aprés midi.
Avatar de l’utilisateur
bendiou
Second Maître
Second Maître
 
Messages: 29
Inscrit le: 25 Déc 2003 01:00

Messagepar vanvan » 27 Jan 2005 17:30

même si tu modifies ta bannière et que tu mets tototata à la place, le gars qui veux savoir ce que c, pourra toujours utiliser nessus, ou autre.
En plus, le fait d'envoyer des paquets en envoi -réception à une machine permet de récupérer en retour des paquets formatés d'une certaine manière qui fera dire au gars qui a testé ça, quel système d'exploitation tu possèdes. Donc quoique tu fasses il y aura toujours une manière de savoir quel service tourne sur ta machine.

l'idéal est de coller un pare-feu entre toi et internet en autorisant en entrée de ton réseau que ftp et http. Pour tout ce qui sort de ton réseau ( spyware and co ) autorise que ce qui est nécessaire mais bon si tu joues, ça peut être tendu de bloquer tout en sortie, vu que les ports utilisés peuvent variés.
Dernière édition par vanvan le 28 Jan 2005 02:53, édité 1 fois au total.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Récupération d’informations par la bannière d'un serveur FTP

Messagepar bendiou » 27 Jan 2005 18:44

>même si tu modifies ta bannière et que tu mets tototata à la place, le gars qui veux savoir ce que c pourra toujours >utiliser nessus, ou autre.

Nessus utilise les bannieres des serveurs pour les identifier.

>En plus, le fait d'envoyer des paquets en envoi -réception à une machine permet de récupérer en retour des >paquets formatés d'une certaine manière qui fera dire au gars qui a testé ça, quel système d'exploitation tu >possèdes. Donc quoique tu fasses il y aura toujours une manière de savoir quel service tourne sur ta machine.

Cela permet d'identitifier le systéme d'exploitation sur lequel tourne le service, mais n'identifie pas le service.

Modifier la banniére d'un serveur permet d'éviter les attaques ou tentatives d'attaques des scripts-kiddies qui cherchent des machines vulnérables à l'aide de scanner prévus à cet effet.

Maintenant je ne connais pas l'efficacité réelle d'un changement de banniére pour une personne qui désire réllement s'attaquer à un serveur en particulier. Cela aura au moins l'avantage derendre plus difficile la tache de l'attaquant, mais s'il s'acharne et qu'il est ingénieux il pourra y arriver (A condition que le serveur soit vulnérable).
Avatar de l’utilisateur
bendiou
Second Maître
Second Maître
 
Messages: 29
Inscrit le: 25 Déc 2003 01:00

Messagepar vanvan » 28 Jan 2005 02:54

un ptit nmap et c bon.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Récupération d’informations par la bannière d'un serveur FTP

Messagepar bendiou » 28 Jan 2005 07:25

>>un ptit nmap et c bon.

D'aprés ce que j'ai compris du fonctionnement de la reconnaissance des versions des services par nmap

Nmap identifie la version par la banniére, la compare avec une base de données contenant toutes les banniéres sous formes d'expression réguliére et vérifie si elle existe.
Le but de la manoeuvre est d'identifier les serveurs qui sont executés mais surtout ceux qui tournent sur des ports autres que ceux par défaut.
Si tu modifie la banniére par des données bidons, Nmap indiquera que le service n'est pas identifiable.

Les explications sur insecure.org (en anglais)
http://www.insecure.org/nmap/versionscan.html
La base de données des banniéres sous forme d'expressions réguliéres
http://www.insecure.org/nmap/data/nmap-service-probes

Merçi de me corriger si je dis une bêtise.

Bonne journée
Avatar de l’utilisateur
bendiou
Second Maître
Second Maître
 
Messages: 29
Inscrit le: 25 Déc 2003 01:00

Récupération d’informations par la bannière d'un serveur FT

Messagepar bendiou » 28 Jan 2005 07:55

Pour confirme ce que j'ai dis précédemment.

Un petit test sur un serveur m'appartenant et ayant des banniéres non conventionnelles (sauf apache et vsFTPd).

[root@#####]# nmap -F -A -T4 192.168.0.100

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2005-01-28 06:44 CET

Interesting ports on 192.168.0.100:
(The 1213 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
21/tcp open ftp vsFTPd
22/tcp open ssh?
25/tcp open smtp?
80/tcp open http Apache httpd 2.0.52 ((Debian GNU/Linux) PHP/4.3.10-2)
2 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :

Seul le serveur web dont la banniére n'a pas été modifiée est identifié. Concernant vsFTPd il est incapable d'identifier la version.
Avatar de l’utilisateur
bendiou
Second Maître
Second Maître
 
Messages: 29
Inscrit le: 25 Déc 2003 01:00


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron