+ Responder ao Tópico



  1. #1
    adcorp
    Visitante

    Padrão Tentativa de invasão ???/ Como agir ??

    Quais a atitudes a ser tomadas quando se sofre tentativas de invasão ??
    No meu caso eu venho sofrendo ataques de "2 redes" porem pelo que notei os as duas "redes" de mesmo IP´s (aparentemente uma pessoa de cada rede).
    Meu server esta´ okey ja´ o sniffei e testei com meus amigos sua segurança.
    As pessoas que atacam neste momento não me preocupam por que pelas tentativas delas elas não sabem definir nem que sistema é o server vejam alguns logs aqui.
    --
    200.242.49.4 - - [01/Jul/2002:21:22:11 -0300] "GET /scripts/..%c1%1c../winnt/sys
    tem32/cmd.exe?/c+dir HTTP/1.0" 404 307
    200.242.49.4 - - [01/Jul/2002:21:22:13 -0300] "GET /scripts/..%c0%2f../winnt/sys
    tem32/cmd.exe?/c+dir HTTP/1.0" 404 307
    200.242.49.4 - - [01/Jul/2002:21:22:16 -0300] "GET /scripts/..%c0%af../winnt/sys
    tem32/cmd.exe?/c+dir HTTP/1.0" 404 307
    200.242.49.4 - - [01/Jul/2002:21:22:16 -0300] "GET /scripts/..%c1%9c../winnt/sys
    tem32/cmd.exe?/c+dir HTTP/1.0" 404 307
    200.242.49.4 - - [01/Jul/2002:21:22:19 -0300] "GET /scripts/..%%35%63../winnt/sy
    stem32/cmd.exe?/c+dir HTTP/1.0" 400 291
    200.242.49.4 - - [01/Jul/2002:21:22:22 -0300] "GET /scripts/..%%35c../winnt/syst
    em32/cmd.exe?/c+dir HTTP/1.0" 400 291
    200.242.49.4 - - [01/Jul/2002:21:22:25 -0300] "GET /scripts/..%25%35%63../winnt/
    system32/cmd.exe?/c+dir HTTP/1.0" 404 308
    200.242.49.4 - - [01/Jul/2002:21:22:26 -0300] "GET /scripts/..%252f../winnt/syst
    em32/cmd.exe?/c+dir HTTP/1.0" 404 308
    ----
    OBS: tendo em vista que uso Linux isso nao causa efeito nenhum em mim :)
    ----
    200.37.91.60 - - [07/Jul/2002:19:43:47 -0300] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 286
    200.37.91.60 - - [07/Jul/2002:19:43:49 -0300] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 284
    200.37.91.60 - - [07/Jul/2002:19:43:51 -0300] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
    200.37.91.60 - - [07/Jul/2002:19:44:04 -0300] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
    200.37.91.60 - - [07/Jul/2002:19:44:10 -0300] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
    200.37.91.60 - - [07/Jul/2002:19:44:17 -0300] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
    200.37.91.60 - - [07/Jul/2002:19:44:20 -0300] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
    ------------------------------------------
    Bem não sei se fiz correto, pois sou novo nisso, mas chequei(snifei) a rede dele e notei que O QUE ELE QUERIAM ENCONTRAR EM MIM ESTA NELE O PROBLEMA, ou seja´ sua rede ambas estao nada bem ::P
    Bem, meu objeto é, como devo agir principalemente para uma atitude futura em um caso mais sério, me recomendaram notificar as redes mandando um email de como root do meu server para o adm do server de ambas redes.

    Agradeço dede já.
    <IMG SRC="images/forum/smilies/icon_confused.gif"> :)

  2. #2
    paulogrifo
    Visitante

    Padrão Tentativa de invasão ???/ Como agir ??

    ((
    Estas tentativas de ataques foram para servidores NT com IIS.

    Porém mesmo assim seria bom bloquear o acesso destes IPs.
    1- um tipo de bloqueio é o de acesso a serviços:
    indet -> /etc/hosts.deny
    2-smtp/pop -> /etc/postfix/main.cf
    3-firewall -> inclua o IP na arquivos de rules de bloqueio (acho que seu firewall provavelmente tenha um arquivo deste!.)
    4->Notificar, por exemplo no site da www.snort.org, entre outros abuse.org, ... tem um monte deles.
    5->Criar scripts de configuração, automatizando estas tarefas totalmente (pela análise do /var/log/message) ou manualmente (após sua verificação de ataque , vc roda o script).

    ...

    ))



  3. #3
    _r00tz
    Visitante

    Padrão Tentativa de invasão ???/ Como agir ??

    O amigo paulogrifo passou boas dicas para você evitar novos problemas "vindo desses hosts", mas você pode ainda tentar descobrir de onde são essas máquinas (DNS reverso), identificar se isto está vindo de uma rede de provedor, estação de uma empresa, acesso discado etc...

    Me parece que você possui algumas informações sobre as redes, pois bem, tente entrar em contato com o Administrador ou responsável técnico, reporte o problema.

    Veja se consegue descobrir o domínio e identifique o responsável pela nic ou registro.br.

    As máquinas podem estar infectadas com esses worms que ficam procurandos IIS´s e se uma dessas máquinas for um proxy , por exemplo, você estará bloqueando no seu firewall o acesso de alguns usuários dessas redes, a utilização de serviços da sua rede/empresa será comprometida.

    Tente bloquear de inicio, entre em contato com o admin, após resolver ou identificar o que está ocorrendo e os scans pararem, libere novamente.





  4. #4
    adcorp
    Visitante

    Padrão Tentativa de invasão ???/ Como agir ??

    Deixa ver se explico melhor...
    Eu quero saber é como agir em termos de leis em casos como esse. O Brasil possui alguma lei que proiba ivasão, quem eu devo notificar do outro lado (digo, maquina que fez a requisicao).
    sobre quem é a rede o deixar de ser não e bem o quero saber(isso eu já tenho aruivado e guardado).



  5. #5
    _r00tz
    Visitante

    Padrão Tentativa de invasão ???/ Como agir ??

    As leis e projetos de leis relacionados à crimes eletrônicos no Brasil estão em http://www.modulo.com.br/pt/page_i.jsp?page=2&tipoid=16&pagecounter=0

    Veja o Projeto de Lei do Senado nº 76 , de 2000 , Art 1o. IV - a modificação, a supressão de dados ou adulteração de seu conteúdo;

    Teoricamente um scan ou tentativa de execução indevida de softwares do seu servidor, legalmente, caracteriza a tentativa de a modificação, a supressão de dados ou adulteração de seu conteúdo.

    Creio eu que seja isso, pelo menos é o que a lei diz.

    Você deveria procurar um apoio jurídico para esclarecer-lhe melhor sobre o assunto.

  6. #6
    Mr_Mind
    Visitante

    Padrão Tentativa de invasão ???/ Como agir ??

    Como foi dito em cima, isso são ataques a um servidor Web IIS da Microsoft. Pois bem, como e&acute; certo e sabido o worm Code Red e outros, tentam explorar essas falha, portanto qualquer pessoa que esteja infectada pode estar a "atacar-te". Eu chego a registar milhares de ataques identicos por dia nos meus web servers!!!

    Eu não sei como é a Lei/Justiça e sua aplicação no Brasil .. mas cá em Portugal demoraaaaaaaaaaaaaa muitoooooooooo e fica extremamente caro! Por isso, tenho de me safar com o que posso e tenho de aguentar os ataques! <IMG SRC="images/forum/smilies/icon_biggrin.gif">



  7. #7
    Valhalla
    Visitante

    Padrão Tentativa de invasão ???/ Como agir ??

    Deixa eu ver se consigo explicar.
    ESte ataque ou tentativa que vc disse que sofreu, é um problema com um trojan que se espalha automaticamente, mas como vc pode ver ele foi desenvolvido somente para servidores windows, e server para capturar a senha do root, lembra que o APACHE recentemente divulgou uma atualização de segurança? Então é p/ corrigir este problema.
    No caso, se vc souber de quem são estes IPs avise pois com certeza eles não sabem que estão infectados.

    Desculpe minha intromissão no assunto.
    Se quiserem mais detalhes vcs podem dar uma olhada no forum da conectiva, pois vi muita gente reportando este problema lá tambem.

  8. #8

    Padrão Tentativa de invasão ???/ Como agir ??

    I...

    isso me cheira a Slapper..

    Manow , tu ta infectado pelo slapper..

    da uma olhada la no seu /tmp .

    esse virus (trojan) é um saco ..

    da uma olhada no seu directorio cache do http ele se esconde la tambem!

    não esquece de atualizar o Apache , isso é realmente importante!

    []os


    MAJOR










  9. #9

    Padrão Tentativa de invasão ???/ Como agir ??

    Acho que vc num leu direito o post do Paulogrifo.... isso não eh Slapper de jeito nenhum!!!
    o Slapper explora vulnerabilidades do SSL... esse ai eh com toda certeza um worm que tenta explorar o IIS!!!!!!!

  10. #10
    Visitante

    Padrão Tentativa de invasão ???/ Como agir ??

    Tambem tive este problema, verificando os logs do apache notei que aconteciam esses erros sempre em sequencia e sempre os mesmos ips, como na companhia em que eu trabalho ja foi hackeada, tive que instalar uma ferramenta que barrasse esses espertinhos

    Utilizei o tão badalado Snort e realmente fiquei surpreso com a quantidade de alertas recebidos. Mas o Snort apenas loga os alertas, ai então que entrou em cena o Guardian uma ferramenta escrita em perl que esta no propio diretorio contrib do codigo fonte do Snort, ele simplismente trabalha junto com o Snort lendo os seus logs em tempo real, na medida que um alerta é emitido pelo Snort o Guardian automaticamente barra o ip pelo firewall (no meu caso o ipchains).



  11. #11
    Mr_Mind
    Visitante

    Padrão Tentativa de invasão ???/ Como agir ??

    nunca gostei desse tipo de acçoes automaticas .. mas e&acute; uma solução inteligente