Invasão - Resposta

[AndrewAmorimdaSilva]

Galera, boa tarde.
Andei meio sumido mas vortei!

Tenho uma duvida...

No meu server, chega por dia, umas 45 tentivas de invasão todas sem sucesso...é claro..hehe.

Mas é uma enchessão de saco. Ouvi falar de um programa, que, quando alguem tenta invadir, ele automaticamente, gera uma resposta ao ip que tentou.

Alguém tem alguma informação sobre isso??

Muito Obrigado a todos!!

<IMG SRC="images/forum/icons/icon_wink.gif">

[Danilo_Montagna]

Cara, quer uma dica de amigo...

é besteira de estressar com isso ae..

deixa quieto.. quanto mais anonimo e transparente à esse tipo de coisa vc ficar.. melhor..

e quanto mais vc intimidar os caras.. mais ainda eles vao tentam invadir vc..

[]&acute;s

[marcosmamorim]

E ai Andrew, to sossegado e vc?

Vc pode utilizar o Portsentry e configurar um pequeno aplicativo para rodar assim q o cara tentar ao menos te mapear. Um dica é contar quantas vezes o cara tentou, mais q duas pau!!!!

Concordo com o Danilo melhor ficar anonimo.


Marcos Amorim

[AndrewAmorimdaSilva]

Tipo eu não acho, tipo, ja enviei varios e-mail aos provedores, eles tem controle do usuários deles, asssim o provedor, pode tomar algumas providências.

MAs sei que tem, não sei se é script, ou software.

Bom esrtive pensando em fazer um script para isso, retirando as informações do log, e a cada 8 ou 10 minutos, manda o Ddos..pros caras.

Ássim não dá...hoje foi festa, foram mais de 100....

<IMG SRC="images/forum/icons/icon_wink.gif">

[pensador-ce]

ja q estamos falando de invasão, alguns dos colegas pode me dar umas dicas de como testar se o provedor esta seguro? trabalho com tres clientes q tem internet 24 horas com um servidor linux suse 8.0, como faço para saber se tem segurança? valeu <IMG SRC="images/forum/icons/icon_wink.gif">

[marcosmamorim]

Andrew,


Comente comigo se existe nos seu log´s tentativas de invasão na porta 139 (Samba).....

Continuo achando q deveria ficar quieto, mas.....


Marcos Amorim

[AndrewAmorimdaSilva]

Não nenhuma nessa porta.

Valeu pela dica do PortSentry, acho que é uma ótima solução...era isso mesmo....GRANDE MARCOS.

Obrigado pela dica....tem alguma incoveniência o PortSentry???Vc já usou?

Um abraço! <IMG SRC="images/forum/icons/icon_wink.gif">

[1c3m4n]

cara num kurto mto o portsentry naum.... ele simula portas abertas,etc... isso soh chama + atenção do cara... sem contar que varias pessoas tiveram problema com ele pois ele bloqueava coisas que num devia...
tipo eu uso o snort + guardian pra bloquear esses caras chatos....

[AndrewAmorimdaSilva]

Opa, dica importante ic3...td bem kra?

Você poderia me dizer o que o SNORT eo GUARDIAn faz ???


Muito obrigado,

Andrew <IMG SRC="images/forum/icons/icon_eek.gif">

[1c3m4n]

o snort fica escutando todo o trafego pelo servidor e vai logando tudo que bater com a tabela de assinaturas dele, inclusive portscan, o guardian le esses arquivos de portscan e bloqueia o cara! e vc pode definir qto tempo isso vai ficar bloqueado!

se vc quiser tem um script q eu fiz q jah instala ele:
www.linuxit.com.br/downloads/snort_guardian.sh

e tem esse texto que explica como melhorar a configuração do snort pra ele num gravar lixo nem bloquear oq num deve:
http://www.linuxit.com.br/modules.ph...icle&artid=149

[marcosmamorim]

Não citei o Snort+Guadian pq naum mexi com eles e pelo o que eu sei te da muito mais recursos do q o Portsentry.

Entre um e outro va no Snort, onde pode conseguir utilizar o MySql.


Marcos Amorim

[ Esta mensagem foi editada por: marcosmamorim em 18-03-2003 15:41 ]

[AndrewAmorimdaSilva]

Ic3 e demais, muito obrigado pelas ótimas soluções.

Vou pesquisar um pouco mais a respeito dos dois e dedpois posto os resultados.

Valeu mesmo galera!!! <IMG SRC="images/forum/icons/icon_wink.gif">

PS.: NAda como voltar a UnderLinux Depois de 23 dias fora!!!

Um abraço! <IMG SRC="images/forum/icons/icon_wink.gif"> <IMG SRC="images/forum/icons/icon_wink.gif">

[1c3m4n]

hehehe eu tb tava meio sumido...
entaum cara o snort vc pode gravar os logs no mysql ou postgre e usar várias ferramentas para analisar tudo

[AndrewAmorimdaSilva]

Beleza kra, boa ideia mesmo...
Ah, tipo, será que já tem algo em php proto para a análise?
Argh, se não, faço eu mesmo...ja to querendo muito....mas o problema é que não tenho tempo, preciso resolver isso agora, pois como disse, só hoje foram uns 103..ATÈ AGORA...HEHEHE..

Faleu kra!!! Ah, o tópico da Install Fest voltou..e não se esqueça, sua casa foi a escolhida para abrigar os mais desesperados...brincadeira...
<IMG SRC="images/forum/icons/icon_biggrin.gif">

[AndrewAmorimdaSilva]

Ah, seu script não está configurado para instalar com suporte a mysql né...terei que mudar para with--mysql

Estou certo?

[1c3m4n]

tem coisa pronta sim hehehehe!!!
www.snort.org

ai vc prokura lah nos contrib
se num me engano o ACID faz isso

eh o meu num ta com mysql

[ Esta mensagem foi editada por: 1c3_m4n em 18-03-2003 15:59 ]

[pensador-ce]

ja q estamos falando de invasão, alguns dos colegas pode me dar umas dicas de como testar se o provedor esta seguro? trabalho com tres clientes q tem internet 24 horas com um servidor linux suse 8.0, como faço para saber se tem segurança? valeu

[AndrewAmorimdaSilva]

ic3, para mim nao fazer besteiras, tipo, o que eu tenho que alterar no script?

E se tiver alguma versão nova do guardian e do snort? Tenho que alterar o script né...

Ah, outra coisa, este script foi testado em qual distro ???

Andrew <IMG SRC="images/forum/icons/icon_razz.gif">

[1c3m4n]

cara eu rodei ele no redhat e no slack sem problema!!! mas funciona em qq uma pq ele faz tudo do source!!! o unico problema q tive em redhat foram maquina q num tinham o flex e o yacc instalados do resto eh tranquilo....

vc soh precisa alterar as coisas q ele te mostrar na tela do fim do script mesmo, e leia akele segundo link q te mandei q num vai ter erro

[AndrewAmorimdaSilva]

Notei no site, que o snort já tem em rpm,

Você aconselha a usar tudo no fonte, com o script, ou posso usar o rpm do snort, e depois configurar o guardian na mão ??

Pq depois se der alhuma coisa de errado, é so remover o pacote e beleza...e o tar.gz já não é assim né....

<IMG SRC="images/forum/icons/icon_wink.gif"> <IMG SRC="images/forum/icons/icon_wink.gif">