• Artillery: Ferramenta de Proteção para Linux

    Publicado em 19-10-2011 00:43
    0 Comentários Comentários
    Artillery é uma combinação de honeypot, um arquivo de monitoramento e integridade, alertas e ferramenta de prevenção à ataques de força bruta. É leve, tem vários métodos diferentes para a detecção de ataques específicos e, eventualmente, também irá notificá-lo de insegurança de configurações nix. A sua codificação é feita em Python. A sua instalação é feita assim: ./install.py

    root@bt:~/Desktop/dev# netstat -antp | grep LISTEN
    root@bt:~/Desktop/dev#

    A partir daí, será adicionado para o boot e começar o Artillery. Se quiser verificar se o utilitário está em execução:

    root@bt:~# netstat -antp | grep LISTEN

    tcp 0 0 0.0.0.0:135 0.0.0.0: LISTEN 29310/python
    tcp 0 0 0.0.0.0:5800 0.0.0.0: LISTEN 29310/python
    tcp 0 0 0.0.0.0:3306 0.0.0.0: LISTEN 29310/python
    tcp 0 0 0.0.0.0:5900 0.0.0.0: LISTEN 29310/python
    tcp 0 0 0.0.0.0:110 0.0.0.0: LISTEN 29310/python
    tcp 0 0 0.0.0.0:10000 0.0.0.0: LISTEN 29310/python
    tcp 0 0 0.0 .0.0:8080 0.0.0.0: LISTEN 29310/python
    tcp 0 0 0.0.0.0:53 0.0.0.0: LISTEN 29310/python
    tcp 0 0 0.0.0.0:21 0.0.0.0: LISTEN 29310/python
    tcp 0 0 0.0.0.0 : 22 0.0.0.0: LISTEN 29310/python
    tcp 0 0 0.0.0.0:25 0.0.0.0: LISTEN 29310/python
    tcp 0 0 0.0.0.0:1433 0.0.0.0: LISTEN 29310/python
    tcp 0 0 0.0.0.0:1337 0.0.0.0: LISTEN 29310/python
    tcp 0 0 0.0.0.0:44443 0.0.0.0: LISTEN 29310/python
    tcp 0 0 0.0.0.0:1723 0.0.0.0: LISTEN 29310/python
    tcp 0 0 0.0.0.0:3389 0.0. 0.0: LISTEN 29310/python
    tcp 0 0 0.0.0.0:445 0.0.0.0: LISTEN 29310/python


    Funcionamento do Artillery

    Se alguém decide fazer uma varredura de portas ou tocar essas portas, eles estarão na lista negra imediata e permanentemente. A ferramenta é multi-threaded e pode lidar com tantas conexões que forem executadas nele. Nesse contexto, o seu autor fez alguns testes em seu próprio site, e os resultados foram surpreendentes. Nos primeiros três dias, houve o bloqueio de mais de 387 elementos.

    Além do monitoramento, que também irá verificar a integridade de arquivo e alavancar banco de dados sha-512, onde se mantém a par de todos os arquivos do sistema e se alguma coisa mudar, será enviado um e-mail para você informando a mudança. Por padrão, ele monitora /etc/and/var/www. Artillery também monitora os logs SSH, e no caso de um ataque de força bruta, o host fica para sempre na blacklist.

    Por padrão, a instalação é feita em /var/artillery e o arquivo de configuração está localizado em /var/artillery/config

    Entre as mudanças ocorridas no Artillery 0.1.1, está a remoção da maioria das importações em artillery.py, correção no instalador, remoção do __init__.py, adição de verificação para ssh log em harden.py (verificar se a porta padrão em 22, está sendo executada como root), entre outras funções.


    Saiba Mais:

    [1] SecManiac http://www.secmaniac.com/blog/2011/1...ux-protection/
    + Enviar Comentário