Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    adcorp
    Quais a atitudes a ser tomadas quando se sofre tentativas de invasão ??
    No meu caso eu venho sofrendo ataques de "2 redes" porem pelo que notei os as duas "redes" de mesmo IP´s (aparentemente uma pessoa de cada rede).
    Meu server esta´ okey ja´ o sniffei e testei com meus amigos sua segurança.
    As pessoas que atacam neste momento não me preocupam por que pelas tentativas delas elas não sabem definir nem que sistema é o server vejam alguns logs aqui.
    --
    200.242.49.4 - - [01/Jul/2002:21:22:11 -0300] "GET /scripts/..%c1%1c../winnt/sys
    tem32/cmd.exe?/c+dir HTTP/1.0" 404 307
    200.242.49.4 - - [01/Jul/2002:21:22:13 -0300] "GET /scripts/..%c0%2f../winnt/sys
    tem32/cmd.exe?/c+dir HTTP/1.0" 404 307
    200.242.49.4 - - [01/Jul/2002:21:22:16 -0300] "GET /scripts/..%c0%af../winnt/sys
    tem32/cmd.exe?/c+dir HTTP/1.0" 404 307
    200.242.49.4 - - [01/Jul/2002:21:22:16 -0300] "GET /scripts/..%c1%9c../winnt/sys
    tem32/cmd.exe?/c+dir HTTP/1.0" 404 307
    200.242.49.4 - - [01/Jul/2002:21:22:19 -0300] "GET /scripts/..%%35%63../winnt/sy
    stem32/cmd.exe?/c+dir HTTP/1.0" 400 291
    200.242.49.4 - - [01/Jul/2002:21:22:22 -0300] "GET /scripts/..%%35c../winnt/syst
    em32/cmd.exe?/c+dir HTTP/1.0" 400 291
    200.242.49.4 - - [01/Jul/2002:21:22:25 -0300] "GET /scripts/..%25%35%63../winnt/
    system32/cmd.exe?/c+dir HTTP/1.0" 404 308
    200.242.49.4 - - [01/Jul/2002:21:22:26 -0300] "GET /scripts/..%252f../winnt/syst
    em32/cmd.exe?/c+dir HTTP/1.0" 404 308
    ----
    OBS: tendo em vista que uso Linux isso nao causa efeito nenhum em mim :)
    ----
    200.37.91.60 - - [07/Jul/2002:19:43:47 -0300] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 286
    200.37.91.60 - - [07/Jul/2002:19:43:49 -0300] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 284
    200.37.91.60 - - [07/Jul/2002:19:43:51 -0300] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
    200.37.91.60 - - [07/Jul/2002:19:44:04 -0300] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
    200.37.91.60 - - [07/Jul/2002:19:44:10 -0300] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
    200.37.91.60 - - [07/Jul/2002:19:44:17 -0300] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
    200.37.91.60 - - [07/Jul/2002:19:44:20 -0300] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
    ------------------------------------------
    Bem não sei se fiz correto, pois sou novo nisso, mas chequei(snifei) a rede dele e notei que O QUE ELE QUERIAM ENCONTRAR EM MIM ESTA NELE O PROBLEMA, ou seja´ sua rede ambas estao nada bem ::P
    Bem, meu objeto é, como devo agir principalemente para uma atitude futura em um caso mais sério, me recomendaram notificar as redes mandando um email de como root do meu server para o adm do server de ambas redes.

    Agradeço dede já.
    <IMG SRC="images/forum/smilies/icon_confused.gif"> :)

  2. #2
    paulogrifo
    ((
    Estas tentativas de ataques foram para servidores NT com IIS.

    Porém mesmo assim seria bom bloquear o acesso destes IPs.
    1- um tipo de bloqueio é o de acesso a serviços:
    indet -> /etc/hosts.deny
    2-smtp/pop -> /etc/postfix/main.cf
    3-firewall -> inclua o IP na arquivos de rules de bloqueio (acho que seu firewall provavelmente tenha um arquivo deste!.)
    4->Notificar, por exemplo no site da www.snort.org, entre outros abuse.org, ... tem um monte deles.
    5->Criar scripts de configuração, automatizando estas tarefas totalmente (pela análise do /var/log/message) ou manualmente (após sua verificação de ataque , vc roda o script).

    ...

    ))



  3. #3
    _r00tz
    O amigo paulogrifo passou boas dicas para você evitar novos problemas "vindo desses hosts", mas você pode ainda tentar descobrir de onde são essas máquinas (DNS reverso), identificar se isto está vindo de uma rede de provedor, estação de uma empresa, acesso discado etc...

    Me parece que você possui algumas informações sobre as redes, pois bem, tente entrar em contato com o Administrador ou responsável técnico, reporte o problema.

    Veja se consegue descobrir o domínio e identifique o responsável pela nic ou registro.br.

    As máquinas podem estar infectadas com esses worms que ficam procurandos IIS´s e se uma dessas máquinas for um proxy , por exemplo, você estará bloqueando no seu firewall o acesso de alguns usuários dessas redes, a utilização de serviços da sua rede/empresa será comprometida.

    Tente bloquear de inicio, entre em contato com o admin, após resolver ou identificar o que está ocorrendo e os scans pararem, libere novamente.





  4. #4
    adcorp
    Deixa ver se explico melhor...
    Eu quero saber é como agir em termos de leis em casos como esse. O Brasil possui alguma lei que proiba ivasão, quem eu devo notificar do outro lado (digo, maquina que fez a requisicao).
    sobre quem é a rede o deixar de ser não e bem o quero saber(isso eu já tenho aruivado e guardado).



  5. #5
    _r00tz
    As leis e projetos de leis relacionados à crimes eletrônicos no Brasil estão em http://www.modulo.com.br/pt/page_i.jsp?page=2&tipoid=16&pagecounter=0

    Veja o Projeto de Lei do Senado nº 76 , de 2000 , Art 1o. IV - a modificação, a supressão de dados ou adulteração de seu conteúdo;

    Teoricamente um scan ou tentativa de execução indevida de softwares do seu servidor, legalmente, caracteriza a tentativa de a modificação, a supressão de dados ou adulteração de seu conteúdo.

    Creio eu que seja isso, pelo menos é o que a lei diz.

    Você deveria procurar um apoio jurídico para esclarecer-lhe melhor sobre o assunto.






Tópicos Similares

  1. Tentativas de Invasão !!
    Por spyderlinux no fórum Segurança
    Respostas: 12
    Último Post: 16-10-2006, 07:46
  2. Tentativa de invasão ?????
    Por mastellaro no fórum Segurança
    Respostas: 4
    Último Post: 13-10-2006, 18:51
  3. Problemas com tentativa de invasão
    Por sarna no fórum Servidores de Rede
    Respostas: 2
    Último Post: 16-09-2005, 17:06
  4. tentativas de invasão
    Por LinuxKids no fórum Segurança
    Respostas: 6
    Último Post: 14-12-2004, 07:58
  5. É tentativa de invasão
    Por pirat no fórum Segurança
    Respostas: 2
    Último Post: 21-07-2003, 12:07

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L