[FUG-BR] TCP PORT SCAN
Márcio Elias
marcioelias em gmail.com
Quinta Junho 20 14:40:31 BRT 2013
2013/6/20 Nilton Jose Rizzo <rizzo em i805.com.br>
> Em Thu, 20 Jun 2013 11:26:16 -0300, Márcio Elias escreveu
> > 2013/6/20 Márcio Elias <marcioelias em gmail.com>
> >
> > > 2013/6/20 Marcelo Gondim <gondim em bsdinfo.com.br>
> > >
> > >> Em 20/06/13 09:35, Márcio Elias escreveu:
> > >> > Bom dia colegas,
> > >> >
> > >> > trabalho em um ISP e recebi um e-mail do registro.br que me gerou
> > >> algumas
> > >> > dúvidas. Pelo que entendi no e-mail, a reclamação é de um port scan
> > >> > realizado a partir de um de nossos IPs para um determinado ip na
> porta
> > >> 6881.
> > >> >
> > >> > Abaixo vou colocar o e-mail recebido (com dados mascarados) para que
> vcs
> > >> > possam me dar a opinião de vcs sobre isso,
> > >> >
> > >> > Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x ->
> > >> > xxx.xxx.3.103/32 (PORT:6881)
> > >> >
> > >> > "Caro Sr. ,
> > >> >
> > >> > Favor investigar o incidente descrito com os logs parciais abaixo,
> > >> > e dar o devido tratamento reportando com copia para todos os
> enderecos
> > >> > listados acima com as providencias/medidas tomadas para que tal
> evento
> > >> > nao volte a se repetir.
> > >> >
> > >> > No caso de tratamento indevido deste evento com reincidencia, serao
> > >> > adotadas politicas unilaterais de protecao pelo Registro.br.
> > >> >
> > >> >
> > >> >
> > >>
> Logs---------------------------------------------------------------------
> --
> > >> > "2013-06-18 15:53:34" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> > >> > "2013-06-18 15:53:37" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> > >> > "2013-06-18 15:53:43" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> > >> > "2013-06-18 15:54:59" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> > >> > "2013-06-18 15:55:02" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> > >> > "2013-06-18 15:55:08" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> > >> > "2013-06-18 15:55:58" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> > >> > "2013-06-18 15:56:01" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> > >> > "2013-06-18 15:56:07" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> > >> > "2013-06-18 16:00:39" x.x.x.x/53190->xxx.xxx.3.103/6881 6(0)"
> > >> >
> > >> >
> > >> > Pois bem, pesquisando descobri que o range de portas 6881-6999 é
> usado
> > >> > por DHT no protocolo BitTorrent.
> > >> >
> > >> >
> > >> > Mais pelo que entendi no e-mail (ou melhor pelo título do mesmo) é
> que
> > >> > trata-se de um port scan...
> > >> >
> > >> >
> > >> > Vcs acham que é essa mesma a reclamação? Quais seus conselhos para
> > >> > evitar este tipo de problema?
> > >> >
> > >> >
> > >> > Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW para
> > >> > rotear sub-redes do meu bloco de IPs.
> > >> >
> > >> >
> > >> > Obrigado.
> > >> >
> > >> >
> > >> Marcio,
> > >>
> > >> Primeiro de tudo. De onde partiu o provável scan é um servidor seu ou
> um
> > >> cliente de IP dinâmico?
> > >> Acredito que seja um servidor e se for sugiro olhar os processos
> rodando
> > >> e checagens habituais pois você poderia estar com algo rodando nele.
> > >> Como você mesmo disse essa porta é utilizada para conexões entrantes
> de
> > >> torrents. O deluged mesmo é um server que escuta nessa porta por
> padrão
> > >> se eu não estou enganado. Dá uma auditada nesse seu servidor.
> > >>
> > >> Grande abraço,
> > >> Gondim
> > >>
> > >> -------------------------
> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > >
> > > Humm, Valeu Marcelo, vou verificar isso. Embora o acesso a esses
> > > servidores seja bem restrito. Todas as portas de acesso a ele estão
> abertas
> > > somente para um servidor que controla nossa intranet...
> > >
> > > Bom, auditarei o mesmo como vc falou e qualquer coisa volto a
> questionar
> > > aqui.
> > >
> > > Obrigado por hora.
> > >
> > >
> > >
> > > Bom, verifiquei os processos, e não encontrei nenhuma anomalia. Não
> > contente com isso, instalei o chkrootkit e rodei ele no server em questão
> > para verificar algum possível rootkit instalado, mais também nada...
> >
> > Acho mesmo que esse port scan partiu de um cliente de de uma rede atrás
> > deste servidor (os clientes tem ips inválidos e passam por um NAT).
> >
> > Algum conselho pra evitar esse tipo de serviço por parte dos usuários
> > conectados a meu servidor por meio de IPFW?
> >
> > Ou que seja por outro software..
> >
> > Obrigado
>
> Você loga as conexões nesse servidor, se não, deveria pois só assim
> poderá indentificar que originou essa conexeão.
>
> Eu sou meio neurótico com isso .. tinha uma regra no meu ipfw assim
>
> ipfw add 1 count log logamount 0 ip from any to any
>
> isso gera Kilos de logs, você deve ter uma maneira eficiente de
> gerenciar essa montueira de informações.
>
> Eu fazia o seguinte:
>
> a cada 24h fazia o rotate do log e criava um backup em uma máquina
> remota, só para armazenar os backups dos logs compactados apos 6 meses
> gerava um dvd com os logs mais antigos e os apagava da máquina, e assim
> ficavam armazenados por mais 2 anos
>
> A maquina de log ficava em uma rede privada própria sem conexão direta
> com nenhuma outra máquina sem ser os servidores e o servidor de backup é
> quem
> iniciava a cópia dos arquivos e não ao contrário.
>
>
> S1 S2...S5
> \ | /
> \ | /
> SB
>
>
> Estou colocando no passado pois hoje não administro mais nenhum servidor
> em produção ( mudei de área ), uma pena por que sinto muita falta de meter
> a mão na massa :)
>
> Rizzo
>
>
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Então Nilton, legal a ideia, mais no momento não tenho esse "mega log"
hehhehe...
mais confesso que teu passado vai influenciar meu futuro heheh.
Bom mais o que interessa agora, é, qual seria a maneira mais eficiente de
eu poder conter esse tipo de tentativa de acesso de máquinas atrás do meu
servidor?
Alguém tem ideia?
--
Att.
__________________________________
Márcio Elias Hahn do Nascimento
Araranguá - SC
Cel: (55) 48-9661-0233
msn: marcioeliashahn em hotmail.com
Mais detalhes sobre a lista de discussão freebsd