Re: Tentativa de invasão. Que providencia tomar?

[Miguel Da Silva - Centro de Matemática]

Daniel escribió:
Lista, bom dia.
O meu servidor de entrada (NAT/FIREWALL) está rodando o debian 4.0 r3, 
com kernel 2.6.24 e iptables 1.4.0.
A única porta aberta para a entrada é a porta de ssh alternativa, do 
resto está tudo fechado para conexões entrantes.

Depois de liberar estas duas regras, coloco um log no sistema e logo 
após a regra de bloqueio.
Pasei o nmap de uma rede externa e confirma que de fato todas as demais 
portas, exceto a de ssh, estão filtradas.

Vendo meu log encontrei várias linhas (cerca de 3000) dessa forma:

Apr  1 17:31:23 MEUMICRO kernel: ...ENTRADA-eth0-BLOQUEADA...IN=eth0 
OUT= MAC=00:30:48:97:a4:10:00:04:80:15:c4:00:08:00 SRC=208.177.78.4 
DST=MEU_IPLEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=3357 DF PROTO=TCP 
SPT=3243 DPT=8080 WINDOW=65535 RES=0x00 SYN URGP=0

Apr  1 17:31:26 MEUMICRO kernel: ...ENTRADA-eth0-BLOQUEADA...IN=eth0 
OUT= MAC=00:30:48:97:a4:10:00:04:80:15:c4:00:08:00 SRC=208.177.78.4 
DST=MEU_IP LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=4337 DF PROTO=TCP 
SPT=3243 DPT=8080 WINDOW=65535 RES=0x00 SYN URGP=0

Apr  1 17:31:32 MEUMICRO kernel: ...ENTRADA-eth0-BLOQUEADA...IN=eth0 
OUT= MAC=00:30:48:97:a4:10:00:04:80:15:c4:00:08:00 SRC=208.177.78.4 
DST=MEU_IP LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=6056 DF PROTO=TCP 
SPT=3243 DPT=8080 WINDOW=65535 RES=0x00 SYN URGP=0

Isto é uma tentativa de intrusão certo?
Acredito que o invasor não está conseguindo acesso, o meu sistema está 
normal e segundo o nmap as portas estão devidamente protegidas. Porém, 
há alguma atitude que eu posso tomar, além de um bloqueio de portas? 
Tipo algo pra derrubar a conexão do cara ou algo similar para que o cara 
deixe de ficar tentando entrar na máquina?

Obrigado a todos.

Daniel


Tentativa de intrusão?! Não necessariamente... um companheiro da lista 
disse que poderia ser um bot (existem vários por aí). Alguém tentou 
acessar o seu servidor através da porta 8080.

O iptables bloqueou a conexão, então pronto. Ele está fazendo o seu 
trabalho. É melhor você ficar de olho no arquivo /var/log/auth.log. Se 
lá aparecer que alguém não autorizado pôde realizar login no seu 
servidor, então a coisa está feia.

No mais é preparar um capuccino e ver o iptables trabalhar.

Até.
--
Miguel Da Silva
Administrador de Red
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]