Problemas con Nessus 4.2.2

Iniciado por illuminat3d, 11 Septiembre 2010, 04:00 AM

0 Miembros y 1 Visitante están viendo este tema.

Debci

Cita de: shark0 en 18 Septiembre 2010, 15:18 PM
Cita de: averno en 18 Septiembre 2010, 13:10 PM
Perfecto.

Ahora si el scanneo resulta como dices (sin resultados) prueba a scannear otro Target. Puede ser que el que scanneastes sin resultados o no tuviera puertos abiertos al exterior o filtrados.


Saludos.

He escaneado a un amigo con nmap.. me muestra dos puertos abiertos y otros filtrados, luego en el nessus lo vuelvo a escanear y nada.. el escaner dura dos segundos y pone completado..
O puede que tu amigo tenga un firewall que bloquee ping probes y que nmap estes haciendo algun tipo de técnica evasiva.

Saludos

illuminat3d



Como veis en la foto el escaner de nmap es simple, detecta dos puertos abiertos y uno cerrado, lo mismo en Nessus pero no da resultados.

Un saludo y gracias por la constante ayuda.

toxeek

Bueno,

no esperes resultados de Nessus escaneando a Google !

Yo de ti recogia dominios menos relevantes en Google y m ehacia de una lista de unos 3 o 4 dominios. Scannea esos, no Google shark0, yo tampoco tengo resultados si scanneo a Google !  ;D


Bueno Suerte y postea cuando scannees hosts menos poderosos que Google.
"La envidia es una declaración de inferioridad"
Napoleón.

illuminat3d

Cita de: averno en 19 Septiembre 2010, 16:43 PM
Bueno,

no esperes resultados de Nessus escaneando a Google !

Yo de ti recogia dominios menos relevantes en Google y m ehacia de una lista de unos 3 o 4 dominios. Scannea esos, no Google shark0, yo tampoco tengo resultados si scanneo a Google !  ;D


Bueno Suerte y postea cuando scannees hosts menos poderosos que Google.

Pues nada, los mismo resultados, he probado a escanear las ips de algunos contactos que tengo en el msn y lo mismo.. también probe con otras paginas que se alojan en hostings gratuitos.. pero todo sin ningun resultado.

Saludos!

toxeek

Aha,

bueno pues la cosa se pone mas seria. Intenta poner Wireshark a correr y pega aqui el .cap para ver que ocurre a otros niveles. O sea, cuando scannees un host al azar (no un pez gordo) pones a correr Wireshark. Guarda como .cap y pega un link de descarga.

Saludos.


P.D: mirate la configuracion de los plugins tambien
"La envidia es una declaración de inferioridad"
Napoleón.

illuminat3d

Cita de: averno en 19 Septiembre 2010, 18:21 PM
Aha,

bueno pues la cosa se pone mas seria. Intenta poner Wireshark a correr y pega aqui el .cap para ver que ocurre a otros niveles. O sea, cuando scannees un host al azar (no un pez gordo) pones a correr Wireshark. Guarda como .cap y pega un link de descarga.

Saludos.


P.D: mirate la configuracion de los plugins tambien

Listo, link.

toxeek

Que tal

Bueno yo no veo nada anomalo en esas comunicaciones. Algun que otro checksum erroneo pero para eso esta TCP y la retransmision :D

Ahora si que me parece curioso. Uno de los hosts que creo que escaneas, area51 (sudominio) solo existen comunicaciones de HTTP sobre TCP. Es decir, me temo que esas no son peticiones de Nessus, primero el puerto source no concuerda, y ademas no hay ningun scanneo de puertos por parte de Nessus.

Asi pues MI opinion es que Nessus no llega a comenzar ni a scannear. Por lo tanto todo se podria resumir a un error en un estado prematuro de los scanneos. Mira que introduzcas bien los credenciales para Nessus, mirate la confi de los plugins e intenta buscar el log de errores de Nessus y postealo.


Suerte.
"La envidia es una declaración de inferioridad"
Napoleón.

illuminat3d

Cita de: averno en 21 Septiembre 2010, 04:07 AM
Que tal

Bueno yo no veo nada anomalo en esas comunicaciones. Algun que otro checksum erroneo pero para eso esta TCP y la retransmision :D

Ahora si que me parece curioso. Uno de los hosts que creo que escaneas, area51 (sudominio) solo existen comunicaciones de HTTP sobre TCP. Es decir, me temo que esas no son peticiones de Nessus, primero el puerto source no concuerda, y ademas no hay ningun scanneo de puertos por parte de Nessus.

Asi pues MI opinion es que Nessus no llega a comenzar ni a scannear. Por lo tanto todo se podria resumir a un error en un estado prematuro de los scanneos. Mira que introduzcas bien los credenciales para Nessus, mirate la confi de los plugins e intenta buscar el log de errores de Nessus y postealo.


Suerte.

Supongo que dices este log.

[Tue Sep 21 14:49:58 2010][4068.0] nessusd 4.2.2 (Build 9129) (build K9129) started
[Tue Sep 21 14:50:04 2010][4068.4] nessus-update-plugins: started
[Tue Sep 21 14:50:04 2010][4068.4] nessus-update-plugins: started. Will update plugins every 24 hours
[Tue Sep 21 14:50:05 2010][4068.0] nessusd: Another instance is running (pid 3652)
[Tue Sep 21 14:50:05 2010][4068.5] Nessus Web Server is running (pid=6)
[Tue Sep 21 14:50:05 2010][4068.0] nessusd is ready
[Tue Sep 21 14:50:05 2010][4068.0] Redirecting debugging output to C:\Program Files\Tenable\Nessus\nessus\logs\nessusd.dump
[Tue Sep 21 14:50:21 2010][4068.5] User 'shark0' logged in via the XMLRPC interface
[Tue Sep 21 14:50:49 2010][4068.21] User shark0 starts a new scan (e4e214df-4168-a82a-9a03-0ea5d0cbbbd1702e4cb0f3d60b22)
[Tue Sep 21 14:50:49 2010][4068.21] Reducing max_hosts to 16 (HomeFeed)
[Tue Sep 21 14:50:50 2010][4068.21] user shark0 starts a new scan. Target(s) : eom-team.org, with max_hosts = 16 and max_checks = 5
[Tue Sep 21 14:50:50 2010][4068.21] user shark0 : testing eom-team.org (217.160.124.161) [25]
[Tue Sep 21 14:50:50 2010][4068.25] user shark0 : launching dont_scan_settings.nasl against eom-team.org [26]
[Tue Sep 21 14:50:50 2010][4068.25] user shark0 : launching ssh_settings.nasl against eom-team.org [27]
[Tue Sep 21 14:50:50 2010][4068.25] user shark0 : launching portscanners_settings.nasl against eom-team.org [28]
[Tue Sep 21 14:50:50 2010][4068.25] user shark0 : launching clrtxt_proto_settings.nasl against eom-team.org [29]
[Tue Sep 21 14:50:50 2010][4068.25] dont_scan_settings.nasl (process 26) finished its job in 0.004 seconds
[Tue Sep 21 14:50:50 2010][4068.25] ssh_settings.nasl (process 27) finished its job in 0.004 seconds
[Tue Sep 21 14:50:50 2010][4068.25] portscanners_settings.nasl (process 28) finished its job in 0.003 seconds
[Tue Sep 21 14:50:50 2010][4068.25] clrtxt_proto_settings.nasl (process 29) finished its job in 0.002 seconds
[Tue Sep 21 14:50:50 2010][4068.25] user shark0 : launching snmp_settings.nasl against eom-team.org [30]
[Tue Sep 21 14:50:54 2010][4068.25] snmp_settings.nasl (process 30) finished its job in 4.005 seconds
[Tue Sep 21 14:50:54 2010][4068.25] user shark0 : launching kerberos.nasl against eom-team.org [31]
[Tue Sep 21 14:50:54 2010][4068.25] kerberos.nasl (process 31) finished its job in 0.002 seconds
[Tue Sep 21 14:50:54 2010][4068.25] user shark0 : launching global_settings.nasl against eom-team.org [32]
[Tue Sep 21 14:50:54 2010][4068.25] global_settings.nasl (process 32) finished its job in 0.002 seconds
[Tue Sep 21 14:50:54 2010][4068.25] user shark0 : launching ping_host.nasl against eom-team.org [33]
[Tue Sep 21 14:50:58 2010][4068.25] ping_host.nasl (process 33) finished its job in 3.340 seconds
[Tue Sep 21 14:50:58 2010][4068.25] user shark0 : launching logins.nasl against eom-team.org [34]
[Tue Sep 21 14:50:58 2010][4068.25] user shark0 : The remote host (eom-team.org) is dead
[Tue Sep 21 14:50:58 2010][4068.25] Finished testing eom-team.org. Time : 7.35 secs
[Tue Sep 21 14:51:00 2010][4068.21] user shark0 : test complete
[Tue Sep 21 14:51:00 2010][4068.21] Scan done: 0 hosts up
[Tue Sep 21 14:51:00 2010][4068.21] Total time to scan all hosts : 11 seconds
[Tue Sep 21 14:51:10 2010][4068.5] Task e4e214df-4168-a82a-9a03-0ea5d0cbbbd1702e4cb0f3d60b22 is finished


toxeek

El scanneo de los plugins es muy corto de tiempo. Puedes pingear al host destino ??

Por algun motivo (ping ..) Nessus te reporta que el host esta down. Puede ser que en Windows la configuracion de plugins tenga que ser mas cuidadosa, mirate la configuracion y a ver si necesitas cambiar algo.

De todas maneras no se si es a mi solo, pero todos los plugins con los que scannean (o casi todos) llevan el nombre "settings". No se pero deberias de revisar la configuracion de los plugins y como scanneas.


Saludos.
"La envidia es una declaración de inferioridad"
Napoleón.

toxeek

Es mas,

si nos fijamos bien vemos como todos log plugins hasta el ping son "settings" y son para las actualizaciones. Pero en cuanto empieza el scanneo (ping_host.nasl) Nessus decide que el host esta down. Es por ello que no vi ninguna activdad propia de Nessus en el .cap.

Asi pues Nessus no esta mandando paquetes a los hosts porque decide que estan down. Prueba a quitar ese nasl (ping_host.nasl) de la confi, aunque el que ya decide que el host esta "dead" es logins.nasl
logins.nasl creo que es el plugin propio de Nessus para el portscan, mira a ver si puedes configurarlo para que use Nmap.

Citar[Tue Sep 21 14:50:58 2010][4068.25] ping_host.nasl (process 33) finished its job in 3.340 seconds
[Tue Sep 21 14:50:58 2010][4068.25] user shark0 : launching logins.nasl against eom-team.org [34]
[Tue Sep 21 14:50:58 2010][4068.25] user shark0 : The remote host (eom-team.org) is dead
[Tue Sep 21 14:50:58 2010][4068.25] Finished testing eom-team.org. Time : 7.35 secs
[Tue Sep 21 14:51:00 2010][4068.21] user shark0 : test complete
[Tue Sep 21 14:51:00 2010][4068.21] Scan done: 0 hosts up

Ahi empieza (y termina!) el scanneo, asi que hay que ver si Nessus puede pingear al host (prueba a deshabilitar el ping_host.nasl) y prueba a ver si puedes usar Nmap con Nessus para scannear puertos..


Saludos.
"La envidia es una declaración de inferioridad"
Napoleón.