[FUG-BR] TCP PORT SCAN

Quinta Junho 20 10:31:21 BRT 2013

2013/6/20 Marcelo Gondim <gondim em bsdinfo.com.br>

> Em 20/06/13 09:35, Márcio Elias escreveu:
> > Bom dia colegas,
> >
> > trabalho em um ISP e recebi um e-mail do registro.br que me gerou
> algumas
> > dúvidas. Pelo que entendi no e-mail, a reclamação é de um port scan
> > realizado a partir de um de nossos IPs para um determinado ip na porta
> 6881.
> >
> > Abaixo vou colocar o e-mail recebido (com dados mascarados) para que vcs
> > possam me dar a opinião de vcs sobre isso,
> >
> > Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x ->
> > xxx.xxx.3.103/32 (PORT:6881)
> >
> > "Caro Sr. ,
> >
> > Favor investigar o incidente descrito com os logs parciais abaixo,
> > e dar o devido tratamento reportando com copia para todos os enderecos
> > listados acima com as providencias/medidas tomadas para que tal evento
> > nao volte a se repetir.
> >
> > No caso de tratamento indevido deste evento com reincidencia, serao
> > adotadas politicas unilaterais de protecao pelo Registro.br.
> >
> >
> >
> Logs-----------------------------------------------------------------------
> > "2013-06-18 15:53:34" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> > "2013-06-18 15:53:37" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> > "2013-06-18 15:53:43" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> > "2013-06-18 15:54:59" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> > "2013-06-18 15:55:02" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> > "2013-06-18 15:55:08" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> > "2013-06-18 15:55:58" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> > "2013-06-18 15:56:01" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> > "2013-06-18 15:56:07" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> > "2013-06-18 16:00:39" x.x.x.x/53190->xxx.xxx.3.103/6881 6(0)"
> >
> >
> > Pois bem, pesquisando descobri que o range de portas 6881-6999 é usado
> > por DHT no protocolo BitTorrent.
> >
> >
> > Mais pelo que entendi no e-mail (ou melhor pelo título do mesmo) é que
> > trata-se de um port scan...
> >
> >
> > Vcs acham que é essa mesma a reclamação? Quais seus conselhos para
> > evitar este tipo de problema?
> >
> >
> > Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW para
> > rotear sub-redes do meu bloco de IPs.
> >
> >
> > Obrigado.
> >
> >
> Marcio,
>
> Primeiro de tudo. De onde partiu o provável scan é um servidor seu ou um
> cliente de IP dinâmico?
> Acredito que seja um servidor e se for sugiro olhar os processos rodando
> e checagens habituais pois você poderia estar com algo rodando nele.
> Como você mesmo disse essa porta é utilizada para conexões entrantes de
> torrents. O deluged mesmo é um server que escuta nessa porta por padrão
> se eu não estou enganado. Dá uma auditada nesse seu servidor.
>
> Grande abraço,
> Gondim
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Humm, Valeu Marcelo, vou verificar isso. Embora o acesso a esses servidores
seja bem restrito. Todas as portas de acesso a ele estão abertas somente
para um servidor que controla nossa intranet...

Bom, auditarei o mesmo como vc falou e qualquer coisa volto a questionar
aqui.

Obrigado por hora.