[FUG-BR] TCP PORT SCAN

Nilton Jose Rizzo rizzo em i805.com.br
Quinta Junho 20 14:22:58 BRT 2013 

Em Thu, 20 Jun 2013 11:26:16 -0300, Márcio Elias escreveu
> 2013/6/20 Márcio Elias <marcioelias at gmail.com>
> 
> > 2013/6/20 Marcelo Gondim <gondim at bsdinfo.com.br>
> >
> >> Em 20/06/13 09:35, Márcio Elias escreveu:
> >> > Bom dia colegas,
> >> >
> >> > trabalho em um ISP e recebi um e-mail do registro.br que me gerou
> >> algumas
> >> > dúvidas. Pelo que entendi no e-mail, a reclamação é de um port scan
> >> > realizado a partir de um de nossos IPs para um determinado ip na porta
> >> 6881.
> >> >
> >> > Abaixo vou colocar o e-mail recebido (com dados mascarados) para que 
vcs
> >> > possam me dar a opinião de vcs sobre isso,
> >> >
> >> > Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x ->
> >> > xxx.xxx.3.103/32 (PORT:6881)
> >> >
> >> > "Caro Sr. ,
> >> >
> >> > Favor investigar o incidente descrito com os logs parciais abaixo,
> >> > e dar o devido tratamento reportando com copia para todos os enderecos
> >> > listados acima com as providencias/medidas tomadas para que tal evento
> >> > nao volte a se repetir.
> >> >
> >> > No caso de tratamento indevido deste evento com reincidencia, serao
> >> > adotadas politicas unilaterais de protecao pelo Registro.br.
> >> >
> >> >
> >> >
> >> Logs---------------------------------------------------------------------
--
> >> > "2013-06-18 15:53:34" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> >> > "2013-06-18 15:53:37" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> >> > "2013-06-18 15:53:43" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> >> > "2013-06-18 15:54:59" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> >> > "2013-06-18 15:55:02" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> >> > "2013-06-18 15:55:08" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> >> > "2013-06-18 15:55:58" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> >> > "2013-06-18 15:56:01" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> >> > "2013-06-18 15:56:07" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> >> > "2013-06-18 16:00:39" x.x.x.x/53190->xxx.xxx.3.103/6881 6(0)"
> >> >
> >> >
> >> > Pois bem, pesquisando descobri que o range de portas 6881-6999 é usado
> >> > por DHT no protocolo BitTorrent.
> >> >
> >> >
> >> > Mais pelo que entendi no e-mail (ou melhor pelo título do mesmo) é que
> >> > trata-se de um port scan...
> >> >
> >> >
> >> > Vcs acham que é essa mesma a reclamação? Quais seus conselhos para
> >> > evitar este tipo de problema?
> >> >
> >> >
> >> > Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW para
> >> > rotear sub-redes do meu bloco de IPs.
> >> >
> >> >
> >> > Obrigado.
> >> >
> >> >
> >> Marcio,
> >>
> >> Primeiro de tudo. De onde partiu o provável scan é um servidor seu ou um
> >> cliente de IP dinâmico?
> >> Acredito que seja um servidor e se for sugiro olhar os processos rodando
> >> e checagens habituais pois você poderia estar com algo rodando nele.
> >> Como você mesmo disse essa porta é utilizada para conexões entrantes de
> >> torrents. O deluged mesmo é um server que escuta nessa porta por padrão
> >> se eu não estou enganado. Dá uma auditada nesse seu servidor.
> >>
> >> Grande abraço,
> >> Gondim
> >>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
> > Humm, Valeu Marcelo, vou verificar isso. Embora o acesso a esses
> > servidores seja bem restrito. Todas as portas de acesso a ele estão 
abertas
> > somente para um servidor que controla nossa intranet...
> >
> > Bom, auditarei o mesmo como vc falou e qualquer coisa volto a questionar
> > aqui.
> >
> > Obrigado por hora.
> >
> >
> >
> > Bom, verifiquei os processos, e não encontrei nenhuma anomalia. Não
> contente com isso, instalei o chkrootkit e rodei ele no server em questão
> para verificar algum possível rootkit instalado, mais também nada...
> 
> Acho mesmo que esse port scan partiu de um cliente de de uma rede atrás
> deste servidor (os clientes tem ips inválidos e passam por um NAT).
> 
> Algum conselho pra evitar esse tipo de serviço por parte dos usuários
> conectados a meu servidor por meio de IPFW?
> 
> Ou que seja por outro software..
> 
> Obrigado

  Você loga as conexões nesse servidor, se não, deveria pois só assim
poderá indentificar que originou essa conexeão.

  Eu sou meio neurótico com isso .. tinha uma regra no meu ipfw assim

ipfw add 1 count log logamount 0 ip from any to any

   isso gera Kilos de logs, você deve ter uma maneira eficiente de 
gerenciar essa montueira de informações.

   Eu fazia o seguinte:

     a cada 24h fazia o rotate do log e criava um backup em uma máquina
 remota, só para armazenar os backups dos logs compactados apos 6 meses
 gerava um dvd com os logs mais antigos e os apagava da máquina, e assim
 ficavam armazenados por mais 2 anos

     A maquina de log ficava em uma rede privada própria sem conexão direta
 com nenhuma outra máquina sem ser os servidores e o servidor de backup é quem
 iniciava a cópia dos arquivos e não ao contrário.


               S1    S2...S5
                 \   |   /
                  \  |  /
                     SB


Estou colocando no passado pois hoje não administro mais nenhum servidor
em produção ( mudei de área ), uma pena por que sinto muita falta de meter
a mão na massa :)

Rizzo


> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd