[FUG-BR] TCP PORT SCAN
Márcio Elias
marcioelias em gmail.com
Quinta Junho 20 11:26:16 BRT 2013
2013/6/20 Márcio Elias <marcioelias em gmail.com>
> 2013/6/20 Marcelo Gondim <gondim em bsdinfo.com.br>
>
>> Em 20/06/13 09:35, Márcio Elias escreveu:
>> > Bom dia colegas,
>> >
>> > trabalho em um ISP e recebi um e-mail do registro.br que me gerou
>> algumas
>> > dúvidas. Pelo que entendi no e-mail, a reclamação é de um port scan
>> > realizado a partir de um de nossos IPs para um determinado ip na porta
>> 6881.
>> >
>> > Abaixo vou colocar o e-mail recebido (com dados mascarados) para que vcs
>> > possam me dar a opinião de vcs sobre isso,
>> >
>> > Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x ->
>> > xxx.xxx.3.103/32 (PORT:6881)
>> >
>> > "Caro Sr. ,
>> >
>> > Favor investigar o incidente descrito com os logs parciais abaixo,
>> > e dar o devido tratamento reportando com copia para todos os enderecos
>> > listados acima com as providencias/medidas tomadas para que tal evento
>> > nao volte a se repetir.
>> >
>> > No caso de tratamento indevido deste evento com reincidencia, serao
>> > adotadas politicas unilaterais de protecao pelo Registro.br.
>> >
>> >
>> >
>> Logs-----------------------------------------------------------------------
>> > "2013-06-18 15:53:34" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
>> > "2013-06-18 15:53:37" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
>> > "2013-06-18 15:53:43" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
>> > "2013-06-18 15:54:59" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
>> > "2013-06-18 15:55:02" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
>> > "2013-06-18 15:55:08" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
>> > "2013-06-18 15:55:58" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
>> > "2013-06-18 15:56:01" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
>> > "2013-06-18 15:56:07" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
>> > "2013-06-18 16:00:39" x.x.x.x/53190->xxx.xxx.3.103/6881 6(0)"
>> >
>> >
>> > Pois bem, pesquisando descobri que o range de portas 6881-6999 é usado
>> > por DHT no protocolo BitTorrent.
>> >
>> >
>> > Mais pelo que entendi no e-mail (ou melhor pelo título do mesmo) é que
>> > trata-se de um port scan...
>> >
>> >
>> > Vcs acham que é essa mesma a reclamação? Quais seus conselhos para
>> > evitar este tipo de problema?
>> >
>> >
>> > Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW para
>> > rotear sub-redes do meu bloco de IPs.
>> >
>> >
>> > Obrigado.
>> >
>> >
>> Marcio,
>>
>> Primeiro de tudo. De onde partiu o provável scan é um servidor seu ou um
>> cliente de IP dinâmico?
>> Acredito que seja um servidor e se for sugiro olhar os processos rodando
>> e checagens habituais pois você poderia estar com algo rodando nele.
>> Como você mesmo disse essa porta é utilizada para conexões entrantes de
>> torrents. O deluged mesmo é um server que escuta nessa porta por padrão
>> se eu não estou enganado. Dá uma auditada nesse seu servidor.
>>
>> Grande abraço,
>> Gondim
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
> Humm, Valeu Marcelo, vou verificar isso. Embora o acesso a esses
> servidores seja bem restrito. Todas as portas de acesso a ele estão abertas
> somente para um servidor que controla nossa intranet...
>
> Bom, auditarei o mesmo como vc falou e qualquer coisa volto a questionar
> aqui.
>
> Obrigado por hora.
>
>
>
> Bom, verifiquei os processos, e não encontrei nenhuma anomalia. Não
contente com isso, instalei o chkrootkit e rodei ele no server em questão
para verificar algum possível rootkit instalado, mais também nada...
Acho mesmo que esse port scan partiu de um cliente de de uma rede atrás
deste servidor (os clientes tem ips inválidos e passam por um NAT).
Algum conselho pra evitar esse tipo de serviço por parte dos usuários
conectados a meu servidor por meio de IPFW?
Ou que seja por outro software..
Obrigado
Mais detalhes sobre a lista de discussão freebsd