Em Thu, 20 Jun 2013 14:40:31 -0300, Márcio Elias escreveu > 2013/6/20 Nilton Jose Rizzo <[email protected]> > > > Em Thu, 20 Jun 2013 11:26:16 -0300, Márcio Elias escreveu > > > 2013/6/20 Márcio Elias <[email protected]> > > > > > > > 2013/6/20 Marcelo Gondim <[email protected]> > > > > > > > >> Em 20/06/13 09:35, Márcio Elias escreveu: > > > >> > Bom dia colegas, > > > >> > > > > >> > trabalho em um ISP e recebi um e-mail do registro.br que me gerou > > > >> algumas > > > >> > dúvidas. Pelo que entendi no e-mail, a reclamação é de um port scan > > > >> > realizado a partir de um de nossos IPs para um determinado ip na > > porta > > > >> 6881. > > > >> > > > > >> > Abaixo vou colocar o e-mail recebido (com dados mascarados) para que > > vcs > > > >> > possam me dar a opinião de vcs sobre isso, > > > >> > > > > >> > Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x -> > > > >> > xxx.xxx.3.103/32 (PORT:6881) > > > >> > > > > >> > "Caro Sr. , > > > >> > > > > >> > Favor investigar o incidente descrito com os logs parciais abaixo, > > > >> > e dar o devido tratamento reportando com copia para todos os > > enderecos > > > >> > listados acima com as providencias/medidas tomadas para que tal > > evento > > > >> > nao volte a se repetir. > > > >> > > > > >> > No caso de tratamento indevido deste evento com reincidencia, serao > > > >> > adotadas politicas unilaterais de protecao pelo Registro.br. > > > >> > > > > >> > > > > >> > > > > >> > > Logs--------------------------------------------------------------------- > > -- > > > >> > "2013-06-18 15:53:34" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0) > > > >> > "2013-06-18 15:53:37" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0) > > > >> > "2013-06-18 15:53:43" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0) > > > >> > "2013-06-18 15:54:59" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0) > > > >> > "2013-06-18 15:55:02" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0) > > > >> > "2013-06-18 15:55:08" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0) > > > >> > "2013-06-18 15:55:58" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0) > > > >> > "2013-06-18 15:56:01" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0) > > > >> > "2013-06-18 15:56:07" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0) > > > >> > "2013-06-18 16:00:39" x.x.x.x/53190->xxx.xxx.3.103/6881 6(0)" > > > >> > > > > >> > > > > >> > Pois bem, pesquisando descobri que o range de portas 6881-6999 é > > usado > > > >> > por DHT no protocolo BitTorrent. > > > >> > > > > >> > > > > >> > Mais pelo que entendi no e-mail (ou melhor pelo título do mesmo) é > > que > > > >> > trata-se de um port scan... > > > >> > > > > >> > > > > >> > Vcs acham que é essa mesma a reclamação? Quais seus conselhos para > > > >> > evitar este tipo de problema? > > > >> > > > > >> > > > > >> > Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW para > > > >> > rotear sub-redes do meu bloco de IPs. > > > >> > > > > >> > > > > >> > Obrigado. > > > >> > > > > >> > > > > >> Marcio, > > > >> > > > >> Primeiro de tudo. De onde partiu o provável scan é um servidor seu ou > > um > > > >> cliente de IP dinâmico? > > > >> Acredito que seja um servidor e se for sugiro olhar os processos > > rodando > > > >> e checagens habituais pois você poderia estar com algo rodando nele. > > > >> Como você mesmo disse essa porta é utilizada para conexões entrantes > > de > > > >> torrents. O deluged mesmo é um server que escuta nessa porta por > > padrão > > > >> se eu não estou enganado. Dá uma auditada nesse seu servidor. > > > >> > > > >> Grande abraço, > > > >> Gondim > > > >> > > > >> ------------------------- > > > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > > > > Humm, Valeu Marcelo, vou verificar isso. Embora o acesso a esses > > > > servidores seja bem restrito. Todas as portas de acesso a ele estão > > abertas > > > > somente para um servidor que controla nossa intranet... > > > > > > > > Bom, auditarei o mesmo como vc falou e qualquer coisa volto a > > questionar > > > > aqui. > > > > > > > > Obrigado por hora. > > > > > > > > > > > > > > > > Bom, verifiquei os processos, e não encontrei nenhuma anomalia. Não > > > contente com isso, instalei o chkrootkit e rodei ele no server em questão > > > para verificar algum possível rootkit instalado, mais também nada... > > > > > > Acho mesmo que esse port scan partiu de um cliente de de uma rede atrás > > > deste servidor (os clientes tem ips inválidos e passam por um NAT). > > > > > > Algum conselho pra evitar esse tipo de serviço por parte dos usuários > > > conectados a meu servidor por meio de IPFW? > > > > > > Ou que seja por outro software.. > > > > > > Obrigado > > > > Você loga as conexões nesse servidor, se não, deveria pois só assim > > poderá indentificar que originou essa conexeão. > > > > Eu sou meio neurótico com isso .. tinha uma regra no meu ipfw assim > > > > ipfw add 1 count log logamount 0 ip from any to any > > > > isso gera Kilos de logs, você deve ter uma maneira eficiente de > > gerenciar essa montueira de informações. > > > > Eu fazia o seguinte: > > > > a cada 24h fazia o rotate do log e criava um backup em uma máquina > > remota, só para armazenar os backups dos logs compactados apos 6 meses > > gerava um dvd com os logs mais antigos e os apagava da máquina, e assim > > ficavam armazenados por mais 2 anos > > > > A maquina de log ficava em uma rede privada própria sem conexão direta > > com nenhuma outra máquina sem ser os servidores e o servidor de backup é > > quem > > iniciava a cópia dos arquivos e não ao contrário. > > > > > > S1 S2...S5 > > \ | / > > \ | / > > SB > > > > > > Estou colocando no passado pois hoje não administro mais nenhum servidor > > em produção ( mudei de área ), uma pena por que sinto muita falta de meter > > a mão na massa :) > > > > Rizzo > > > > > > > ------------------------- > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > Então Nilton, legal a ideia, mais no momento não tenho esse "mega > log" hehhehe... > > mais confesso que teu passado vai influenciar meu futuro heheh. > > Bom mais o que interessa agora, é, qual seria a maneira mais > eficiente de eu poder conter esse tipo de tentativa de acesso de > máquinas atrás do meu servidor? > > Alguém tem ideia?
Essa máquina é um roteador + nat? as portas são todas abertas ou eles saem apenas via proxy? se for do tipo liberado, acho que tem muito pouca coisa à fazer, se puder feche tudo e só permita explicitamente o que você quer deixar sair. No meu caso eu deixava aberto para ssh, ftp, https, protocolos doidos da caixa economica ( a caixa tem uns aplicativos meio mal comportados que necessitam de algumas portas abertas). mas quando se fala em acesso à pessoa física, fica dificil, pois eles podem acessar jogos on-line que necessitam de portas expecificas ai é melhor só logar mesmo.... Só para constar, só criei esse tipo de log neurótico, depois que o NOC.br me solicitou algumas coisinhas ..... só se fecha a casa depois que foi arrombada ..., mas no meu caso tinha alguns logs no /var/message que me ajudaram a achar o culpado ( ips via DHCP amarrados ao mac) Rizzo > > -- > Att. > __________________________________ > Márcio Elias Hahn do Nascimento > > Araranguá - SC > Cel: (55) 48-9661-0233 > msn: [email protected] > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
