2013/6/20 Nilton Jose Rizzo <ri...@i805.com.br> > Em Thu, 20 Jun 2013 11:26:16 -0300, Márcio Elias escreveu > > 2013/6/20 Márcio Elias <marcioel...@gmail.com> > > > > > 2013/6/20 Marcelo Gondim <gon...@bsdinfo.com.br> > > > > > >> Em 20/06/13 09:35, Márcio Elias escreveu: > > >> > Bom dia colegas, > > >> > > > >> > trabalho em um ISP e recebi um e-mail do registro.br que me gerou > > >> algumas > > >> > dúvidas. Pelo que entendi no e-mail, a reclamação é de um port scan > > >> > realizado a partir de um de nossos IPs para um determinado ip na > porta > > >> 6881. > > >> > > > >> > Abaixo vou colocar o e-mail recebido (com dados mascarados) para que > vcs > > >> > possam me dar a opinião de vcs sobre isso, > > >> > > > >> > Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x -> > > >> > xxx.xxx.3.103/32 (PORT:6881) > > >> > > > >> > "Caro Sr. , > > >> > > > >> > Favor investigar o incidente descrito com os logs parciais abaixo, > > >> > e dar o devido tratamento reportando com copia para todos os > enderecos > > >> > listados acima com as providencias/medidas tomadas para que tal > evento > > >> > nao volte a se repetir. > > >> > > > >> > No caso de tratamento indevido deste evento com reincidencia, serao > > >> > adotadas politicas unilaterais de protecao pelo Registro.br. > > >> > > > >> > > > >> > > > >> > Logs--------------------------------------------------------------------- > -- > > >> > "2013-06-18 15:53:34" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0) > > >> > "2013-06-18 15:53:37" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0) > > >> > "2013-06-18 15:53:43" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0) > > >> > "2013-06-18 15:54:59" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0) > > >> > "2013-06-18 15:55:02" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0) > > >> > "2013-06-18 15:55:08" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0) > > >> > "2013-06-18 15:55:58" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0) > > >> > "2013-06-18 15:56:01" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0) > > >> > "2013-06-18 15:56:07" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0) > > >> > "2013-06-18 16:00:39" x.x.x.x/53190->xxx.xxx.3.103/6881 6(0)" > > >> > > > >> > > > >> > Pois bem, pesquisando descobri que o range de portas 6881-6999 é > usado > > >> > por DHT no protocolo BitTorrent. > > >> > > > >> > > > >> > Mais pelo que entendi no e-mail (ou melhor pelo título do mesmo) é > que > > >> > trata-se de um port scan... > > >> > > > >> > > > >> > Vcs acham que é essa mesma a reclamação? Quais seus conselhos para > > >> > evitar este tipo de problema? > > >> > > > >> > > > >> > Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW para > > >> > rotear sub-redes do meu bloco de IPs. > > >> > > > >> > > > >> > Obrigado. > > >> > > > >> > > > >> Marcio, > > >> > > >> Primeiro de tudo. De onde partiu o provável scan é um servidor seu ou > um > > >> cliente de IP dinâmico? > > >> Acredito que seja um servidor e se for sugiro olhar os processos > rodando > > >> e checagens habituais pois você poderia estar com algo rodando nele. > > >> Como você mesmo disse essa porta é utilizada para conexões entrantes > de > > >> torrents. O deluged mesmo é um server que escuta nessa porta por > padrão > > >> se eu não estou enganado. Dá uma auditada nesse seu servidor. > > >> > > >> Grande abraço, > > >> Gondim > > >> > > >> ------------------------- > > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > Humm, Valeu Marcelo, vou verificar isso. Embora o acesso a esses > > > servidores seja bem restrito. Todas as portas de acesso a ele estão > abertas > > > somente para um servidor que controla nossa intranet... > > > > > > Bom, auditarei o mesmo como vc falou e qualquer coisa volto a > questionar > > > aqui. > > > > > > Obrigado por hora. > > > > > > > > > > > > Bom, verifiquei os processos, e não encontrei nenhuma anomalia. Não > > contente com isso, instalei o chkrootkit e rodei ele no server em questão > > para verificar algum possível rootkit instalado, mais também nada... > > > > Acho mesmo que esse port scan partiu de um cliente de de uma rede atrás > > deste servidor (os clientes tem ips inválidos e passam por um NAT). > > > > Algum conselho pra evitar esse tipo de serviço por parte dos usuários > > conectados a meu servidor por meio de IPFW? > > > > Ou que seja por outro software.. > > > > Obrigado > > Você loga as conexões nesse servidor, se não, deveria pois só assim > poderá indentificar que originou essa conexeão. > > Eu sou meio neurótico com isso .. tinha uma regra no meu ipfw assim > > ipfw add 1 count log logamount 0 ip from any to any > > isso gera Kilos de logs, você deve ter uma maneira eficiente de > gerenciar essa montueira de informações. > > Eu fazia o seguinte: > > a cada 24h fazia o rotate do log e criava um backup em uma máquina > remota, só para armazenar os backups dos logs compactados apos 6 meses > gerava um dvd com os logs mais antigos e os apagava da máquina, e assim > ficavam armazenados por mais 2 anos > > A maquina de log ficava em uma rede privada própria sem conexão direta > com nenhuma outra máquina sem ser os servidores e o servidor de backup é > quem > iniciava a cópia dos arquivos e não ao contrário. > > > S1 S2...S5 > \ | / > \ | / > SB > > > Estou colocando no passado pois hoje não administro mais nenhum servidor > em produção ( mudei de área ), uma pena por que sinto muita falta de meter > a mão na massa :) > > Rizzo > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >
Então Nilton, legal a ideia, mais no momento não tenho esse "mega log" hehhehe... mais confesso que teu passado vai influenciar meu futuro heheh. Bom mais o que interessa agora, é, qual seria a maneira mais eficiente de eu poder conter esse tipo de tentativa de acesso de máquinas atrás do meu servidor? Alguém tem ideia? -- Att. __________________________________ Márcio Elias Hahn do Nascimento Araranguá - SC Cel: (55) 48-9661-0233 msn: marcioeliash...@hotmail.com ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd