[FUG-BR] TCP PORT SCAN

Nilton Jose Rizzo rizzo em i805.com.br
Quinta Junho 20 14:50:23 BRT 2013 

Em Thu, 20 Jun 2013 14:40:31 -0300, Márcio Elias escreveu
> 2013/6/20 Nilton Jose Rizzo <rizzo at i805.com.br>
> 
> > Em Thu, 20 Jun 2013 11:26:16 -0300, Márcio Elias escreveu
> > > 2013/6/20 Márcio Elias <marcioelias at gmail.com>
> > >
> > > > 2013/6/20 Marcelo Gondim <gondim at bsdinfo.com.br>
> > > >
> > > >> Em 20/06/13 09:35, Márcio Elias escreveu:
> > > >> > Bom dia colegas,
> > > >> >
> > > >> > trabalho em um ISP e recebi um e-mail do registro.br que me gerou
> > > >> algumas
> > > >> > dúvidas. Pelo que entendi no e-mail, a reclamação é de um port scan
> > > >> > realizado a partir de um de nossos IPs para um determinado ip na
> > porta
> > > >> 6881.
> > > >> >
> > > >> > Abaixo vou colocar o e-mail recebido (com dados mascarados) para 
que
> > vcs
> > > >> > possam me dar a opinião de vcs sobre isso,
> > > >> >
> > > >> > Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x ->
> > > >> > xxx.xxx.3.103/32 (PORT:6881)
> > > >> >
> > > >> > "Caro Sr. ,
> > > >> >
> > > >> > Favor investigar o incidente descrito com os logs parciais abaixo,
> > > >> > e dar o devido tratamento reportando com copia para todos os
> > enderecos
> > > >> > listados acima com as providencias/medidas tomadas para que tal
> > evento
> > > >> > nao volte a se repetir.
> > > >> >
> > > >> > No caso de tratamento indevido deste evento com reincidencia, serao
> > > >> > adotadas politicas unilaterais de protecao pelo Registro.br.
> > > >> >
> > > >> >
> > > >> >
> > > >>
> > Logs---------------------------------------------------------------------
> > --
> > > >> > "2013-06-18 15:53:34" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> > > >> > "2013-06-18 15:53:37" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> > > >> > "2013-06-18 15:53:43" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> > > >> > "2013-06-18 15:54:59" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> > > >> > "2013-06-18 15:55:02" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> > > >> > "2013-06-18 15:55:08" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> > > >> > "2013-06-18 15:55:58" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> > > >> > "2013-06-18 15:56:01" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> > > >> > "2013-06-18 15:56:07" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> > > >> > "2013-06-18 16:00:39" x.x.x.x/53190->xxx.xxx.3.103/6881 6(0)"
> > > >> >
> > > >> >
> > > >> > Pois bem, pesquisando descobri que o range de portas 6881-6999 é
> > usado
> > > >> > por DHT no protocolo BitTorrent.
> > > >> >
> > > >> >
> > > >> > Mais pelo que entendi no e-mail (ou melhor pelo título do mesmo) é
> > que
> > > >> > trata-se de um port scan...
> > > >> >
> > > >> >
> > > >> > Vcs acham que é essa mesma a reclamação? Quais seus conselhos para
> > > >> > evitar este tipo de problema?
> > > >> >
> > > >> >
> > > >> > Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW para
> > > >> > rotear sub-redes do meu bloco de IPs.
> > > >> >
> > > >> >
> > > >> > Obrigado.
> > > >> >
> > > >> >
> > > >> Marcio,
> > > >>
> > > >> Primeiro de tudo. De onde partiu o provável scan é um servidor seu ou
> > um
> > > >> cliente de IP dinâmico?
> > > >> Acredito que seja um servidor e se for sugiro olhar os processos
> > rodando
> > > >> e checagens habituais pois você poderia estar com algo rodando nele.
> > > >> Como você mesmo disse essa porta é utilizada para conexões entrantes
> > de
> > > >> torrents. O deluged mesmo é um server que escuta nessa porta por
> > padrão
> > > >> se eu não estou enganado. Dá uma auditada nesse seu servidor.
> > > >>
> > > >> Grande abraço,
> > > >> Gondim
> > > >>
> > > >> -------------------------
> > > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > >
> > > > Humm, Valeu Marcelo, vou verificar isso. Embora o acesso a esses
> > > > servidores seja bem restrito. Todas as portas de acesso a ele estão
> > abertas
> > > > somente para um servidor que controla nossa intranet...
> > > >
> > > > Bom, auditarei o mesmo como vc falou e qualquer coisa volto a
> > questionar
> > > > aqui.
> > > >
> > > > Obrigado por hora.
> > > >
> > > >
> > > >
> > > > Bom, verifiquei os processos, e não encontrei nenhuma anomalia. Não
> > > contente com isso, instalei o chkrootkit e rodei ele no server em 
questão
> > > para verificar algum possível rootkit instalado, mais também nada...
> > >
> > > Acho mesmo que esse port scan partiu de um cliente de de uma rede atrás
> > > deste servidor (os clientes tem ips inválidos e passam por um NAT).
> > >
> > > Algum conselho pra evitar esse tipo de serviço por parte dos usuários
> > > conectados a meu servidor por meio de IPFW?
> > >
> > > Ou que seja por outro software..
> > >
> > > Obrigado
> >
> >   Você loga as conexões nesse servidor, se não, deveria pois só assim
> > poderá indentificar que originou essa conexeão.
> >
> >   Eu sou meio neurótico com isso .. tinha uma regra no meu ipfw assim
> >
> > ipfw add 1 count log logamount 0 ip from any to any
> >
> >    isso gera Kilos de logs, você deve ter uma maneira eficiente de
> > gerenciar essa montueira de informações.
> >
> >    Eu fazia o seguinte:
> >
> >      a cada 24h fazia o rotate do log e criava um backup em uma máquina
> >  remota, só para armazenar os backups dos logs compactados apos 6 meses
> >  gerava um dvd com os logs mais antigos e os apagava da máquina, e assim
> >  ficavam armazenados por mais 2 anos
> >
> >      A maquina de log ficava em uma rede privada própria sem conexão 
direta
> >  com nenhuma outra máquina sem ser os servidores e o servidor de backup é
> > quem
> >  iniciava a cópia dos arquivos e não ao contrário.
> >
> >
> >                S1    S2...S5
> >                  \   |   /
> >                   \  |  /
> >                      SB
> >
> >
> > Estou colocando no passado pois hoje não administro mais nenhum servidor
> > em produção ( mudei de área ), uma pena por que sinto muita falta de meter
> > a mão na massa :)
> >
> > Rizzo
> >
> >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> 
> Então Nilton, legal a ideia, mais no momento não tenho esse "mega 
> log" hehhehe...
> 
> mais confesso que teu passado vai influenciar meu futuro heheh.
> 
> Bom mais o que interessa agora, é, qual seria a maneira mais 
> eficiente de eu poder conter esse tipo de tentativa de acesso de 
> máquinas atrás do meu servidor?
> 
> Alguém tem ideia?

  Essa máquina é um roteador + nat? as portas são todas abertas ou 
  eles saem apenas via proxy?  se for do tipo liberado, acho que tem
  muito pouca coisa à fazer, se puder feche tudo e só permita explicitamente
  o que você quer deixar sair.  No meu caso eu deixava aberto para 
  ssh, ftp, https, protocolos doidos da caixa economica ( a caixa tem 
  uns aplicativos meio mal comportados que necessitam de algumas portas 
  abertas). mas quando se fala em acesso à pessoa física, fica dificil,
  pois eles podem acessar jogos on-line que necessitam de portas expecificas
  ai é melhor só logar mesmo....

  Só para constar, só criei esse tipo de log neurótico, depois que o NOC.br
  me solicitou algumas coisinhas ..... só se fecha a casa depois que foi
  arrombada ..., mas no meu caso tinha alguns logs no /var/message que me 
  ajudaram a achar o culpado ( ips via DHCP amarrados ao mac)

   Rizzo
> 
> -- 
> Att.
> __________________________________
> Márcio Elias Hahn do Nascimento
> 
> Araranguá - SC
> Cel:   (55) 48-9661-0233
> msn: marcioeliashahn at hotmail.com
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd