Source for file port_scan.php

Documentation is available at port_scan.php

  1. #!/usr/bin/php
  2. <?php
  3. /**
  4.  * /opt/nac/bin/portscan
  5.  *
  6.  * Long description for file:
  7.  * Learn open ports from equipments allowed
  8.  * Currently it has 3 modes of operation:
  9.  * Normal: Without parameters
  10.  *    Will get ips from devices allowed in the network and will scan them
  11.  * Scannow: With the parameter "scannow"
  12.  *    Will get ips which have the scannow value set to 1 no matter if
  13.  *    they are allowed in the network or not
  14.  * Manual:
  15.  *    Every parameter passed through the command line will be taken
  16.  *    as an ip to be scanned. No to be used in combination with the
  17.  *    "scannow" parameter
  18.  *
  19.  * Important: You have to define first networks to scan in the
  20.  *    nac_netsallowed table
  21.  *
  22.  * PHP version 5
  23.  *
  24.  * LICENSE: This program is free software; you can redistribute it and/or
  25.  * modify it under the terms of the GNU General Public License as published
  26.  * by the Free Software Foundation.
  27.  *
  28.  * @package            FreeNAC
  29.  * @author            Héctor Ortiz (FreeNAC Core Team)
  30.  * @copyright            2006 FreeNAC
  31.  * @license            http://www.gnu.org/copyleft/gpl.html   GNU Public License Version 2
  32.  * @version            SVN: $Id$
  33.  * @link                http://www.freenac.net
  34.  *
  35.  */
  36.  
  37. require_once "funcs.inc.php";
  38. $output=TRUE;
  39.  
  40. $logger->setDebugLevel(0);
  41. $logger->setLogToStdOut(false);
  42.  
  43. #Compatibility with old vars
  44. if (!$conf->scan_directory && $conf->nmap_scan_directory)
  45.    $scan_directory=$conf->nmap_scan_directory;
  46. else 
  47.    $scan_directory=$conf->scan_directory;
  48.  
  49. if (!$conf->what_units_time && $conf->nmap_what_units_time)
  50.    $what_units_time=$conf->nmap_what_units_time;
  51. else 
  52.    $what_units_time=$conf->what_units_time;
  53.  
  54. if (!$conf->time_threshold && $conf->nmap_time_threshold)
  55.    $time_threshold=$conf->nmap_time_threshold;
  56. else
  57.    $time_threshold=$conf->time_threshold;
  58.  
  59. if (!$conf->which_nmap && $conf->nmap_path)
  60.    $which_nmap=$conf->nmap_path;
  61. else
  62.    $which_nmap=$conf->which_nmap;
  63.  
  64. check_requirements();
  65. //If we get up to this point, life is good
  66. $queries['number']=0;
  67. $queries['messages']=0;
  68. $flagscannow=0;
  69. for ($i=0;$i<$argc;$i++)
  70. {
  71.    if ($argv[$i]=="--scannow")
  72.       $flagscannow++;
  73.    else if ($argv[$i]=="--verbose")
  74.       $logger->setDebugLevel(1);      
  75. }  
  76. if ($flagscannow)
  77.    $output=FALSE;
  78.  
  79. message("Doing port_scan to sytems... Please wait...\n");
  80. $logger->debug("port_scan started");
  81. $file_timestamp=date('Y-m-d H:i:s');
  82. $file_timestamp=str_replace(' ','-',$file_timestamp);
  83.  
  84. $scan_results=$scan_directory."/scan-$file_timestamp.xml";       //Scan file
  85. $logger->debug("Scan file: $scan_results");        //Parameters from port_scan.inc
  86. $logger->debug("Nmap flags: ".$conf->nmap_flags);
  87. if (($what_units_time<0)||($what_units_time>6)||($what_units_time==2))
  88.    $string=$time_threshold." hours";
  89. else if ($what_units_time==0)
  90.    $string=$time_threshold." seconds";
  91. else if ($what_units_time==1)
  92.    $string=$time_threshold." minutes";
  93. else if ($what_units_time==3)
  94.    $string=$time_threshold." days";
  95. else if ($what_units_time==4)
  96.    $string=$time_threshold." weeks";
  97. else if ($what_units_time==5)
  98.    $string=$time_threshold." months";
  99. else if ($what_units_time==6)
  100.    $string=$time_threshold." years";
  101. $logger->debug("Last_seen threshold: $string");
  102. if ($argc==1)                //Running mode
  103.    $logger->debug("Running mode: Normal");
  104. else if ($flagscannow)
  105.    $logger->debug("Running mode: Scannow");
  106. else $logger->debug("Running mode: Manual")
  107. $list=scan($scan_results,$conf->nmap_flags);        //Scan network with those flags    
  108. if is_array($list|| (count($list== 0) )
  109.    check_and_abort("No info retrieved from the scan"0);
  110. $var=parse_scanfile($scan_results,$list);        //Parse the xml file
  111. if ($var['equipments']>0)            
  112.    do_inventory($var);                //Check against database    
  113. else
  114.    $var['equipments']=0;
  115.  
  116. syscall("rm $scan_results");
  117. message("port_scan finished normally. ".$var['equipments']." hosts scanned\n");
  118. $logger->debug("port_scan finished normally. ".$var['equipments']." hosts scanned\n");
  119. if ($flagscannow)
  120.    log2db('info',"port_scan finished normally. ".$var['equipments']." hosts scanned");
  121.  
  122. function check_requirements()  //Checks for required functions and tables structure
  123. {
  124.    global $conf,$what_units_time$scan_directory$time_threshold$which_nmap;
  125.    $functions=get_defined_functions();
  126.    $functions=$functions['user']//A little bit of paranoia :)
  127.    if (!in_array('logit',$functions))
  128.       check_and_abort("Function logit not defined in funcs.inc\n",0);
  129.    if (!in_array('db_connect',$functions))
  130.       check_and_abort("Function db_connect not defined in funcs.inc\n",0);
  131.    if (!in_array('syscall',$functions))
  132.       check_and_abort("Function syscall not defined in funcs.inc\n",0);
  133.    if (!in_array('normalise_mac',$functions))
  134.       check_and_abort("Function normalise_mac not defined in funcs.inc\n",0);
  135.    if (!in_array('log2db',$functions))
  136.       check_and_abort("Function log2db not defined in funcs.inc\n",0);
  137.    if (!$which_nmap)
  138.       check_and_abort("Var \$which_nmap not defined in port_scan.inc\n",0);
  139.    if (!$scan_directory)
  140.       check_and_abort("Var \$scan_directory not defined in port_scan.inc\n",0);
  141.    if (!$scan_directory)
  142.         check_and_abort("Required directory $scan_directory doesn't exist\n",0);
  143.    if (!$time_threshold)
  144.       check_and_abort("Var \$time_threshold not defined in port_scan.inc\n",0);
  145.    if (!$what_units_time)
  146.      check_and_abort("Var \$what_units_time not defined in port_scan.inc\n",0);
  147.    $query="describe systems;";
  148.    $res=execute_query($query);
  149.    check_and_abort("Please make sure you have properly installed FreeNAC\n",$res);
  150.    $query="describe nac_hostscanned;";
  151.    $res=execute_query($query);
  152.    check_and_abort("Please make sure you have properly followed the doc file README.port_scan\n",$res);
  153.    $query="describe nac_openports;";
  154.    $res=execute_query($query);
  155.    check_and_abort("Please make sure you have properly followed the doc file README.port_scan\n",$res);
  156.    $query="describe subnets;";
  157.    $res=execute_query($query);
  158.    check_and_abort("Please make sure you have properly followed the doc file README.port_scan\n",$res);
  159.    $query="describe services;";
  160.    $res=execute_query($query);
  161.    check_and_abort("Please make sure you have properly followed the doc file README.port_scan\n",$res);
  162.    $query="describe protocols;";
  163.    $res=execute_query($query);
  164.    check_and_abort("Please make sure you have properly followed the doc file README.port_scan\n",$res);
  165.    $tmp=syscall($which_nmap." --version | grep -i nmap");
  166.    $nmap_string NULL;
  167.    $nmap_version NULL;
  168.    if $tmp )
  169.    {
  170.       $tmp=explode(" ",$tmp);
  171.       $nmap_string=$tmp[0];
  172.       $nmap_version=$tmp[2];
  173.    }
  174.    if (isset($nmap_string)&&(strcasecmp($nmap_string,"nmap")!=0))
  175.       check_and_abort("Nmap seems not to be installed in your system\n",0);
  176.    #if (isset($nmap_version)&&($nmap_version<4.11))
  177.    if (isset($nmap_version)&&($nmap_version<4.10))
  178.       check_and_abort("You need a newer version of nmap\n",0);
  179.    if (!$conf->nmap_flags)
  180.      check_and_abort("Var \$nmap_flags not defined in port_scan.inc\n",0);
  181. }
  182.  
  183. function message($string)
  184. {
  185.    global $output,$logger,$output_to_syslog;
  186.    if (($output===TRUE)&&(!$logger->getDebugLevel()))
  187.    {
  188.       if ($output_to_syslog===TRUE)
  189.       {
  190.          $logger->logit($string);
  191.          //log2db('info',$string);
  192.       }   
  193.       else
  194.       {
  195.          $logger->setLogToStdOut();
  196.          $logger->logit($string);
  197.          $logger->setLogToStdOut(false);
  198.       }
  199.    }
  200. }
  201.  
  202. function validate($string)
  203. {
  204.    rtrim($string,' ');
  205.    if (get_magic_quotes_gpc()) {
  206.       $value=stripslashes($string);
  207.    }
  208.    if (!is_numeric($string)) {
  209.       $stringmysql_real_escape_string($string);
  210.    }
  211.    return $string;
  212. }
  213.  
  214. function do_something($query)            //Let's do something with our structure
  215. {
  216.    global $logger;
  217.    if isset($query['number']) )
  218.       $queries=$query['number'];           //How many queries we have?
  219.    else
  220.       $queries 0;
  221.    if isset($query['messages']) )
  222.       $messages=$query['messages'];           //How many messages?
  223.    else
  224.       $messages 0;
  225.    for ($i=0;$i<$queries;$i++)
  226.    {
  227.       if isset($query['query'][$i]) )
  228.          execute_query($query['query'][$i]);       //Execute the queries
  229.    }
  230.    for ($i=0;$i<$messages;$i++)
  231.       if isset($query['message'][$i]) )
  232.         $logger->debug($query['message'][$i]);       //And display the messages
  233. }
  234.  
  235. function update_queries($mesg,$what)
  236. {
  237.    global $queries//Here we hold messages and queries
  238.    if ($what=='q')
  239.    {
  240.       if isset($queries['query'][$queries['number']]) )
  241.          $queries['query'][$queries['number']]=$mesg//This is a query
  242.       if isset($queries['number']) )
  243.          $queries['number'0;
  244.       $queries['number']++;    //Count queries
  245.    }
  246.    else if ($what=='m')
  247.    {
  248.       if isset($queries['message'][$queries['messages']]) )
  249.          $queries['message'][$queries['messages']]=$mesg//This is a message
  250.       if isset($queries['messages']) )
  251.          $queries['messages'0;
  252.       $queries['messages']++;    //Count messages
  253.    }
  254. }
  255.  
  256. function do_inventory($data_from_xml)
  257. {
  258.    global $queries;
  259.    for ($i=0;$i<$data_from_xml['equipments'];$i++)    //How many hosts scanned
  260.    {
  261.        if isset($data_from_xml[$i]['ip']) )
  262.           $ip=$data_from_xml[$i]['ip'];        //Get ip of one host
  263.        else
  264.           $ip 0;
  265.        if isset($data_from_xml[$i]['sid']) )
  266.           $id=$data_from_xml[$i]['sid'];
  267.        else
  268.           $id 0;
  269.        $query=sprintf("select * from nac_hostscanned where sid='%s';",mysql_real_escape_string($id));
  270.        $res=execute_query($query);
  271.        if ($res)
  272.        {
  273.           if (mysql_num_rows($res==0)
  274.              add_entry($data_from_xml[$i]);//Host not found in database 
  275.           else
  276.              check_existent($data_from_xml[$i])//Host in database, let's see if something has changed
  277.        }
  278.    }
  279.    do_something($queries);             //Do something with the structure
  280. }
  281.  
  282. function check_existent($data)     //This function will check info concerning one host scanned against its info in the database
  283. {
  284.    global $logger$queries;
  285.    $timestamp=date('Y-m-d H:i:s');
  286.    if ((!isset($data))||(!is_array($data)))
  287.       check_and_abort("There was a problem parsing the XML file. Make sure you have the right version of PHP and libXML in your system",0);
  288.    if isset($data['ip']) )
  289.       $ip=$data['ip'];   
  290.    else
  291.       $ip 0;
  292.    if isset($data['ports']) )
  293.       $ports=$data['ports'];              //Number of open ports this time
  294.    else
  295.       $ports 0;
  296.    if isset($data['hostname']) )
  297.       $hostname=strtolower($data['hostname']);
  298.    else
  299.       $hostname '';
  300.    if isset($data['os']) )
  301.       $os=$data['os'];                   //OS system this time
  302.    else 
  303.       $os '';
  304.    if isset($data['sid']) )
  305.       $id=$data['sid'];
  306.    else
  307.       $id 0;
  308.    $query=sprintf("select * from nac_hostscanned where sid='%s';",mysql_real_escape_string($id));
  309.    $res=execute_query($query);
  310.    if ($res)
  311.    {
  312.       $result=mysql_fetch_array($resMYSQL_ASSOC);
  313.       $db_ports=mysql_num_rows($res);
  314.       $db_ip=$result['ip'];            //Same IP from last time?
  315.       $db_hostname=strtolower($result['hostname']);        //Same hostname from last time?
  316.       $db_os=$result['os'];            //Same OS from last time?
  317.       $db_timestamp=$result['timestamp'];      //If it changed, since when?
  318.       $host_changed=$os_changed=$mac_changed=0//To control if we need to update its record in the database
  319.       if (!empty($hostname)&&!empty($db_hostname)&&(strcasecmp($hostname,$db_hostname)!=0))       //Info about its hostname
  320.       {
  321.          if ((strcasecmp($db_hostname,'NULL')==0)&&(strcasecmp($hostname,'NULL')!=0))
  322.          
  323.             update_queries("Host $ip has its hostname resolved now. $ip is $hostname\n",'m');
  324.             $host_changed++;
  325.          }
  326.          else  if ((strcasecmp($db_hostname,'unknown')==0)&&(strcasecmp($hostname,'NULL')!=0))
  327.          {
  328.             update_queries("Host $ip has its hostname resolved now. $ip is $hostname\n",'m');
  329.             $host_changed++;
  330.          }
  331.          else if ((strcasecmp($db_hostname,'NULL')!=0)&&(strcasecmp($hostname,'NULL')==0))
  332.          {
  333.             update_queries("Unable to resolve $ip this time, old hostname $db_hostname preserved\n",'m');
  334.             $mac=$db_mac;
  335.          }
  336.          else
  337.          
  338.             update_queries("Old hostname $db_hostname no longer valid. Renamed to $hostname\n",'m');
  339.             $host_changed++;
  340.          }
  341.       }
  342.       if (!empty($os)&&!empty($db_os)&&(strcasecmp($os,$db_os)!=0))        //Info about its OS
  343.       {
  344.          if ((strcasecmp($db_os,'NULL')==0)&&(strcasecmp($os,'NULL')!=0))
  345.          {
  346.             update_queries("OS from $ip now determined. $ip is using $os\n",'m');
  347.             $os_changed++;
  348.          }
  349.          else if ((strcasecmp($db_os'Firewalled')==0&& (strcasecmp($db_os$os)!=0))
  350.          {
  351.             update_queries("OS from $ip now determined. $ip is using $os\n",'m');
  352.             $os_changed++;
  353.          }
  354.          else if ((strcasecmp($db_os,'NULL')!=0)&&(strcasecmp($os,'NULL')==0))
  355.          {
  356.             //update_queries("No OS info yet for $ip this time\n",'m');
  357.             $os=$db_os;
  358.          }
  359.          else
  360.          {
  361.             if (strcasecmp($db_os,'Unreachable')!=0)
  362.                update_queries("$ip has changed its OS since $db_timestamp. Now is using $os\n",'m');
  363.             $os_changed++;
  364.          }
  365.       }
  366.       $changes=$host_changed+$os_changed+$mac_changed;
  367.       if($changes>0)
  368.       {
  369.          $query=sprintf("update nac_hostscanned set hostname='%s',os='%s',timestamp='%s' where sid='%d' and ip='%s';",$hostname,$os,$timestamp,$id,$ip);
  370.          update_queries($query,'q');
  371.       }
  372.       $query=sprintf("select o.banner as banner,o.timestamp as timestamp, p.name as protocol, s.port as port from nac_openports o inner join services s on o.service=s.id inner join protocols p on s.protocol=p.protocol and o.sid='%s';",mysql_real_escape_string($id));
  373.       $res1=execute_query($query);
  374.       if ($res1)                //Let's check info about ports
  375.       {
  376.          $db_ports=mysql_num_rows($res1);
  377.          $counter=0
  378.          $db_tcp=0;
  379.          $db_udp=0;
  380.          while ($result=mysql_fetch_array($res1MYSQL_ASSOC))
  381.          {
  382.             if (strcasecmp($result['protocol'],'tcp')==0)
  383.             {
  384.                $db_tmp_port_tcp[$db_tcp]['port']=$result['port'];
  385.                $db_tmp_port_tcp[$db_tcp]['timestamp']=$result['timestamp'];
  386.                $db_tmp_port_tcp[$db_tcp]['banner']=$result['banner'];
  387.                $db_tcp++;
  388.             }
  389.             else if (strcasecmp($result['protocol'],'udp')==0)
  390.             {
  391.                $db_tmp_port_udp[$db_udp]['port']=$result['port'];
  392.                $db_tmp_port_udp[$db_udp]['timestamp']=$result['timestamp'];
  393.                $db_tmp_port_udp[$db_udp]['banner']=$result['banner'];
  394.                $db_udp++;
  395.             }
  396.          }
  397.          if ((isset($db_tmp_port_tcp))&&(is_array($db_tmp_port_tcp)))
  398.             sort($db_tmp_port_tcp);
  399.          if ((isset($db_tmp_port_udp))&&(is_array($db_tmp_port_udp)))
  400.             sort($db_tmp_port_udp);
  401.          if (($db_tcp==0)&&($db_udp==0)) //In case we have no info in the db
  402.          {
  403.             $db_protocol[0]='tcp';
  404.             $db_port[0]=0;
  405.             $db_porttstmp[0]='0000-00-00 00:00:00';
  406.             $db_banner[0]=':'
  407.          }
  408.          else
  409.          {
  410.             for ($i=0;$i<$db_tcp;$i++)
  411.             {
  412.                $db_protocol[$i]='tcp';
  413.                $db_port[$i]=$db_tmp_port_tcp[$i]['port'];
  414.                $db_porttstmp[$i]=$db_tmp_port_tcp[$i]['timestamp'];
  415.                $db_banner[$i]=$db_tmp_port_tcp[$i]['banner'];
  416.             }
  417.             for (;$i<($db_tcp+$db_udp);$i++)
  418.             {
  419.                $db_protocol[$i]='udp';
  420.                $db_port[$i]=$db_tmp_port_udp[($i-$db_tcp)]['port'];
  421.                $db_porttstmp[$i]=$db_tmp_port_udp[($i-$db_tcp)]['timestamp'];
  422.                $db_banner[$i]=$db_tmp_port_udp[($i-$db_tcp)]['banner'];
  423.             }
  424.          }
  425.          $tcp=0;
  426.          $udp=0;
  427.          for ($i=0;$i<$ports;$i++)
  428.          {
  429.             if ($data['port'][$i]['protocol']=='tcp')
  430.             {
  431.                $tmp_port_tcp[$tcp]['port']=$data['port'][$i]['portid'];
  432.                $tmp_port_tcp[$tcp]['banner']=$data['port'][$i]['description'];
  433.                $tcp++;
  434.             }
  435.             else if ($data['port'][$i]['protocol']=='udp')
  436.             {
  437.                $tmp_port_udp[