[FUG-BR] TCP PORT SCAN

Márcio Elias marcioelias em gmail.com
Quinta Junho 20 20:28:09 BRT 2013 

2013/6/20 Nilton Jose Rizzo <rizzo em i805.com.br>

> Em Thu, 20 Jun 2013 14:40:31 -0300, Márcio Elias escreveu
> > 2013/6/20 Nilton Jose Rizzo <rizzo em i805.com.br>
> >
> > > Em Thu, 20 Jun 2013 11:26:16 -0300, Márcio Elias escreveu
> > > > 2013/6/20 Márcio Elias <marcioelias em gmail.com>
> > > >
> > > > > 2013/6/20 Marcelo Gondim <gondim em bsdinfo.com.br>
> > > > >
> > > > >> Em 20/06/13 09:35, Márcio Elias escreveu:
> > > > >> > Bom dia colegas,
> > > > >> >
> > > > >> > trabalho em um ISP e recebi um e-mail do registro.br que me
> gerou
> > > > >> algumas
> > > > >> > dúvidas. Pelo que entendi no e-mail, a reclamação é de um port
> scan
> > > > >> > realizado a partir de um de nossos IPs para um determinado ip na
> > > porta
> > > > >> 6881.
> > > > >> >
> > > > >> > Abaixo vou colocar o e-mail recebido (com dados mascarados) para
> que
> > > vcs
> > > > >> > possam me dar a opinião de vcs sobre isso,
> > > > >> >
> > > > >> > Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x ->
> > > > >> > xxx.xxx.3.103/32 (PORT:6881)
> > > > >> >
> > > > >> > "Caro Sr. ,
> > > > >> >
> > > > >> > Favor investigar o incidente descrito com os logs parciais
> abaixo,
> > > > >> > e dar o devido tratamento reportando com copia para todos os
> > > enderecos
> > > > >> > listados acima com as providencias/medidas tomadas para que tal
> > > evento
> > > > >> > nao volte a se repetir.
> > > > >> >
> > > > >> > No caso de tratamento indevido deste evento com reincidencia,
> serao
> > > > >> > adotadas politicas unilaterais de protecao pelo Registro.br.
> > > > >> >
> > > > >> >
> > > > >> >
> > > > >>
> > >
> Logs---------------------------------------------------------------------
> > > --
> > > > >> > "2013-06-18 15:53:34" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> > > > >> > "2013-06-18 15:53:37" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> > > > >> > "2013-06-18 15:53:43" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> > > > >> > "2013-06-18 15:54:59" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> > > > >> > "2013-06-18 15:55:02" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> > > > >> > "2013-06-18 15:55:08" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> > > > >> > "2013-06-18 15:55:58" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> > > > >> > "2013-06-18 15:56:01" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> > > > >> > "2013-06-18 15:56:07" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> > > > >> > "2013-06-18 16:00:39" x.x.x.x/53190->xxx.xxx.3.103/6881 6(0)"
> > > > >> >
> > > > >> >
> > > > >> > Pois bem, pesquisando descobri que o range de portas 6881-6999 é
> > > usado
> > > > >> > por DHT no protocolo BitTorrent.
> > > > >> >
> > > > >> >
> > > > >> > Mais pelo que entendi no e-mail (ou melhor pelo título do
> mesmo) é
> > > que
> > > > >> > trata-se de um port scan...
> > > > >> >
> > > > >> >
> > > > >> > Vcs acham que é essa mesma a reclamação? Quais seus conselhos
> para
> > > > >> > evitar este tipo de problema?
> > > > >> >
> > > > >> >
> > > > >> > Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW
> para
> > > > >> > rotear sub-redes do meu bloco de IPs.
> > > > >> >
> > > > >> >
> > > > >> > Obrigado.
> > > > >> >
> > > > >> >
> > > > >> Marcio,
> > > > >>
> > > > >> Primeiro de tudo. De onde partiu o provável scan é um servidor
> seu ou
> > > um
> > > > >> cliente de IP dinâmico?
> > > > >> Acredito que seja um servidor e se for sugiro olhar os processos
> > > rodando
> > > > >> e checagens habituais pois você poderia estar com algo rodando
> nele.
> > > > >> Como você mesmo disse essa porta é utilizada para conexões
> entrantes
> > > de
> > > > >> torrents. O deluged mesmo é um server que escuta nessa porta por
> > > padrão
> > > > >> se eu não estou enganado. Dá uma auditada nesse seu servidor.
> > > > >>
> > > > >> Grande abraço,
> > > > >> Gondim
> > > > >>
> > > > >> -------------------------
> > > > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > >
> > > > >
> > > > > Humm, Valeu Marcelo, vou verificar isso. Embora o acesso a esses
> > > > > servidores seja bem restrito. Todas as portas de acesso a ele estão
> > > abertas
> > > > > somente para um servidor que controla nossa intranet...
> > > > >
> > > > > Bom, auditarei o mesmo como vc falou e qualquer coisa volto a
> > > questionar
> > > > > aqui.
> > > > >
> > > > > Obrigado por hora.
> > > > >
> > > > >
> > > > >
> > > > > Bom, verifiquei os processos, e não encontrei nenhuma anomalia. Não
> > > > contente com isso, instalei o chkrootkit e rodei ele no server em
> questão
> > > > para verificar algum possível rootkit instalado, mais também nada...
> > > >
> > > > Acho mesmo que esse port scan partiu de um cliente de de uma rede
> atrás
> > > > deste servidor (os clientes tem ips inválidos e passam por um NAT).
> > > >
> > > > Algum conselho pra evitar esse tipo de serviço por parte dos usuários
> > > > conectados a meu servidor por meio de IPFW?
> > > >
> > > > Ou que seja por outro software..
> > > >
> > > > Obrigado
> > >
> > >   Você loga as conexões nesse servidor, se não, deveria pois só assim
> > > poderá indentificar que originou essa conexeão.
> > >
> > >   Eu sou meio neurótico com isso .. tinha uma regra no meu ipfw assim
> > >
> > > ipfw add 1 count log logamount 0 ip from any to any
> > >
> > >    isso gera Kilos de logs, você deve ter uma maneira eficiente de
> > > gerenciar essa montueira de informações.
> > >
> > >    Eu fazia o seguinte:
> > >
> > >      a cada 24h fazia o rotate do log e criava um backup em uma máquina
> > >  remota, só para armazenar os backups dos logs compactados apos 6 meses
> > >  gerava um dvd com os logs mais antigos e os apagava da máquina, e
> assim
> > >  ficavam armazenados por mais 2 anos
> > >
> > >      A maquina de log ficava em uma rede privada própria sem conexão
> direta
> > >  com nenhuma outra máquina sem ser os servidores e o servidor de
> backup é
> > > quem
> > >  iniciava a cópia dos arquivos e não ao contrário.
> > >
> > >
> > >                S1    S2...S5
> > >                  \   |   /
> > >                   \  |  /
> > >                      SB
> > >
> > >
> > > Estou colocando no passado pois hoje não administro mais nenhum
> servidor
> > > em produção ( mudei de área ), uma pena por que sinto muita falta de
> meter
> > > a mão na massa :)
> > >
> > > Rizzo
> > >
> > >
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> > Então Nilton, legal a ideia, mais no momento não tenho esse "mega
> > log" hehhehe...
> >
> > mais confesso que teu passado vai influenciar meu futuro heheh.
> >
> > Bom mais o que interessa agora, é, qual seria a maneira mais
> > eficiente de eu poder conter esse tipo de tentativa de acesso de
> > máquinas atrás do meu servidor?
> >
> > Alguém tem ideia?
>
>   Essa máquina é um roteador + nat? as portas são todas abertas ou
>   eles saem apenas via proxy?  se for do tipo liberado, acho que tem
>   muito pouca coisa à fazer, se puder feche tudo e só permita
> explicitamente
>   o que você quer deixar sair.  No meu caso eu deixava aberto para
>   ssh, ftp, https, protocolos doidos da caixa economica ( a caixa tem
>   uns aplicativos meio mal comportados que necessitam de algumas portas
>   abertas). mas quando se fala em acesso à pessoa física, fica dificil,
>   pois eles podem acessar jogos on-line que necessitam de portas
> expecificas
>   ai é melhor só logar mesmo....
>
>   Só para constar, só criei esse tipo de log neurótico, depois que o NOC.br
>   me solicitou algumas coisinhas ..... só se fecha a casa depois que foi
>   arrombada ..., mas no meu caso tinha alguns logs no /var/message que me
>   ajudaram a achar o culpado ( ips via DHCP amarrados ao mac)
>
>    Rizzo
> >
> > --
> > Att.
> > __________________________________
> > Márcio Elias Hahn do Nascimento
> >
> > Araranguá - SC
> > Cel:   (55) 48-9661-0233
> > msn: marcioeliashahn em hotmail.com
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Então Nilton, é do tipo aberto, por que esses usuários conectados são
pessoas físicas, empresas, qualquer tipo de cliente. É quase inviável
bloquear alguma coisa. As únicas regras que uso é para bloqueio de acesso
ao servidor propriamente dito. Esses servidores fazem basicamente o nat
entre as sub-redes e a rede onde está o router cisco com os links das
operadoras.


-- 
Att.
__________________________________
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliashahn em hotmail.com

Mais detalhes sobre a lista de discussão freebsd