home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / anti_nessus.nasl

< prev

next >

Wrap

Text File  |  2005-03-31  |  4KB  |  151 lines

---

1. #
2. # This script was written by Michel Arboi <arboi@alussinan.org>
3. #
4. # GNU Public Licence
5. #
6. ########################
7.  
8. if(description)
9. {
10.  script_id(11238);
11.  script_version ("$Revision: 1.14 $");
12.  
13.  name["english"] = "Anti Nessus defenses";
14.  name["francais"] = "DΘfenses anti Nessus";
15.  script_name(english:name["english"], francais:name["francais"]);
16.  
17.  desc["english"] = "
18. It seems that your web server rejects requests 
19. from Nessus. It is probably protected by a reverse proxy.
20.  
21. Risk factor : None
22.  
23. Solution : change your configuration if you want accurate audit results";
24.  
25.  desc["francais"] = "
26. Il semble que votre serveur web rejette les requΩtes
27. envoyΘes par Nessus. Il est probablement protΘgΘ par un 
28. relais. 
29.  
30.  
31. Facteur de risque : Aucun
32.  
33. Solution : Modifiez votre configuration 
34.            si vous voulez des tests exhaustifs";
35.  
36.  
37.  script_description(english:desc["english"], francais:desc["francais"]);
38.  
39.  summary["english"] = "Detects anti Nessus features";
40.  summary["francais"] = "DΘtecte des fonctions anti Nessus";
41.  script_summary(english:summary["english"], francais:summary["francais"]);
42.  
43.  script_category(ACT_GATHER_INFO); 
44.  
45.  script_copyright(english:"This script is Copyright (C) 2003 Michel Arboi",
46.         francais:"Ce script est Copyright (C) 2003 Michel Arboi");
47.  family["english"] = "CGI abuses";
48.  family["francais"] = "Abus de CGI";
49.  script_family(english:family["english"], francais:family["francais"]);
50.  script_dependencie("find_service.nes", "httpver.nasl", "no404.nasl");
51.  script_require_ports("Services/www",  80);
52.  exit(0);
53. }
54.  
55. #
56.  
57. include("global_settings.inc");
58. if (! experimental_scripts) exit(0); # Still broken?
59.  
60. include("http_func.inc");
61. ##include("http_keepalive.inc");
62. include("misc_func.inc");
63.  
64. port = get_http_port(default:80);
65.  
66. if (! get_port_state(port)) exit(0);
67.  
68. no404 = get_kb_item(string("www/no404/", port));
69. rep = "It seems that your web server rejects requests 
70. from Nessus. It is probably protected by a reverse proxy.
71. ";
72.  
73. if (no404)
74.  rep += "
75. However, the way the filter is implemented, it may in fact
76. help a script kiddy that uses Nessus to scan your system.
77.  
78.  
79. Risk factor : Low
80.  
81. Solution : change your configuration if you want accurate 
82.            audit results and a better protection";
83. else
84.   rep += "
85.  
86. Risk factor : None
87.  
88. Solution : change your configuration 
89.            if you want accurate audit results";
90.  
91. u = string("/NessusTest", rand(), ".html");
92. r = http_get(port: port, item: u);
93.  
94. c1 = http_send_recv(port:port, data:r);
95. if( c1 == NULL ) exit(0);
96. x1 = ereg_replace(pattern:"^HTTP/[0-9]\.[0-9] ([0-9][0-9][0-9]) .*$",
97.         string:c1, replace: "\1");
98. if (c1 == x1) x1 = "";
99.  
100. u = string("/", rand_str(), ".html");
101. r = http_get(port: port, item: u);
102.  
103. c2 = http_send_recv(port:port, data:r);
104. if(c2 == NULL)exit(0);
105. x2 = ereg_replace(pattern:"^HTTP/[0-9]\.[0-9] ([0-9][0-9][0-9]) .*$",
106.         string:c2, replace: "\1");
107. if (c2 == x2) x2 = "";
108.  
109. ##display("x1=", x1, "\tx2=", x2, "\n");
110.  
111. if (x1 != x2)
112. {
113.   security_warning(port: port, data: rep);
114.   set_kb_item(name: string("www/anti-nessus/",port,"/rand-url"), value: TRUE);
115.   exit(0);
116. }
117.  
118.  
119. r = http_get(port: port, item: "/");
120. c1 = http_send_recv(port:port, data:r);
121. if(c1 == NULL)exit(0);
122. # Extract the HTTP code
123. c1 = egrep(pattern:"^HTTP/[0-9]\.[0-9] [0-9]* .*", string:c1);
124. x1 = ereg_replace(pattern:"^HTTP/[0-9]\.[0-9] ([0-9][0-9][0-9]) .*$",
125.         string:c1, replace: "\1");
126. if (c1 == x1) x1 = "";
127.  
128. #ua = '\nUser-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.3.1) Gecko/20030425\r\n';
129. ua = '\nUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)\r\n';
130.  
131. r2 = ereg_replace(string: r, pattern: '\nUser-Agent:[^\r]*Nessus[^\r]*\r\n', replace: ua);
132. if (r == r2) exit(0);    # Cannot test
133.  
134. c2 = http_send_recv(port:port, data:r2);
135. if(c2 == NULL)exit(0);
136. # Extract the HTTP code
137. c2 = egrep(pattern:"^HTTP/[0-9]\.[0-9] [0-9]* .*", string:c2);
138. x2 = ereg_replace(pattern:"^HTTP/[0-9]\.[0-9] ([0-9][0-9][0-9]) .*$",
139.         string:c2, replace: "\1");
140. if (c2 == x2) x2 = "";
141.  
142. ##display("x1=", x1, "\tx2=", x2, "\n");
143.  
144. if (x1 != x2)
145. {
146.   security_warning(port: port, data: rep);
147.   set_kb_item(name: string("www/anti-nessus/",port,"/user-agent"),value: ua);
148.   exit(0);
149. }
150.  
151.