Página 3 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. [quote="alanperes"]
    Citação Postado originalmente por SerAntSou
    hehehehehehe... garanto proce que eh virus em algum(s) cliente(s) seu... jah aconteceu aqui e tive que fechar a conexao do camarada ateh ele rancar o bicho da maquina dele...
    faz o seguinte:
    #iptraf -l ethX ( X = GW do wireless) e ve quem eh o fdp do MAC que tah gerando esse trafego... ou ainda rode o iptraf e escolha <IP Traffic Monitor> escolha em seguida a ethX (GW do wireless) e veja o ip do engracadinho... eh Porta 445 ou 135 que tah sendo explorada... manda ver ae e posta o resultado aqui

    pode ainda rodar:
    #tcpdump -ni ethX (GW wireless) | grep "445" > arquivo.log ou
    #tcpdump -ni ethX | grep "135" > arquivo.log
    Desculpe-me este é o correto,
    00:20:26.331795 192.168.1.165.3188 > 218.19.71.52.microsoft-ds: R 3203755528:3203755528(0) win 0
    00:20:26.362076 192.168.1.165.4430 > 82.254.231.47.microsoft-ds: S 3247985173:3247985173(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:26.363122 192.168.1.165.4477 > 61.228.81.147.microsoft-ds: S 3246221083:3246221083(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:26.363983 192.168.1.165.4475 > 61.228.187.74.microsoft-ds: S 3246181187:3246181187(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:26.364615 192.168.1.165.3178 > 218.19.86.46.microsoft-ds: . ack 4031485087 win 16944 (DF)
    00:20:26.462886 192.168.1.165.4800 > 83.30.150.104.microsoft-ds: S 3248259247:3248259247(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:26.562903 192.168.1.165.4593 > 218.14.66.157.microsoft-ds: S 3246677665:3246677665(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:26.662947 192.168.1.165.4195 > 218.23.150.193.microsoft-ds: S 3247463064:3247463064(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:26.866485 192.168.1.165.4197 > 201.135.146.16.microsoft-ds: S 3247175405:3247175405(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:26.867132 192.168.1.165.3782 > 81.42.208.216.microsoft-ds: . ack 2848590994 win 17520 (DF)
    00:20:27.064591 192.168.1.165.4430 > 82.254.231.47.microsoft-ds: S 3247985173:3247985173(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:27.065206 192.168.1.165.4519 > 61.223.163.108.microsoft-ds: S 3243073783:3243073783(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:27.065849 192.168.1.165.4233 > 39.75.55.221.microsoft-ds: S 3243128089:3243128089(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:27.066648 192.168.1.165.4237 > 186.87.93.210.microsoft-ds: S 3243170924:3243170924(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)


    []s
    Alan

  2. intaum homi... esse microsoft-ds eh nossa amiga 445... pra parar esse sacanagem:
    #iptables -A FORWARD -p udp --dport 445 -j DROP
    ou o melhor:
    #iptables -A FORWARD -p all -s 192.168.1.165 -j DROP
    #iptables -A INPUT-p all -s 192.168.1.165 -j DROP
    #iptables -A OUTPUT -p all -s 192.168.1.165 -j DROP
    (hehehehe vai trancar o ip safado que tah fazendo isso.. seu cliente nao vai gostar :twisted: :twisted: :twisted: )

    Depois do cliente ligar proce reclamando... fala pra ele rancar o virus da maquina dele... manda atualizar o win pra corrigir a falha do RPC e boa... se nao me engano eh o Sasser (virus).



  3. Olá,

    Era isso mesmo o ip é o 192.168.1.165 e o 1.69.

    []s
    Alan

  4. Citação Postado originalmente por SerAntSou
    intaum homi... esse microsoft-ds eh nossa amiga 445... pra parar esse sacanagem:
    #iptables -A FORWARD -p udp --dport 445 -j DROP
    ou o melhor:
    #iptables -A FORWARD -p all -s 192.168.1.165 -j DROP
    #iptables -A INPUT-p all -s 192.168.1.165 -j DROP
    #iptables -A OUTPUT -p all -s 192.168.1.165 -j DROP
    (hehehehe vai trancar o ip safado que tah fazendo isso.. seu cliente nao vai gostar :twisted: :twisted: :twisted: )

    Depois do cliente ligar proce reclamando... fala pra ele rancar o virus da maquina dele... manda atualizar o win pra corrigir a falha do RPC e boa... se nao me engano eh o Sasser (virus).
    Olá,

    Logo que descobri fiz um bloqueio, só que estava liberado hoje pela manhã. Fiz a inclusão das suas linhas de códigos e parei o camarada. Vou bloquear o MAC no AP. Tentei fazer isto com o script mas não funcionou. Sem querer ser incômodo, segue o meu script para uma rápida análise.



    #!/bin/sh
    MACIPEND=/etc/macipend

    /sbin/modprobe ip_tables
    /sbin/modprobe iptable_filter
    /sbin/modprobe ip_conntrack
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_conntrack hashsize=1023
    /sbin/modprobe iptable_nat
    /sbin/modprobe ip_nat_ftp
    /sbin/modprobe ipt_unclean
    /sbin/modprobe ipt_limit
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_state
    /sbin/modprobe ipt_REJECT
    /sbin/modprobe ipt_mac

    /sbin/iptables -F
    /sbin/iptables -Z
    /sbin/iptables -X


    #while read linha; do
    # set $linha
    # mac=$1;endip=$2
    # /sbin/iptables -A INPUT -m mac --mac-source $mac -s ! $endip -j DROP
    #done <$MACIPEND
    #/sbin/iptables -A INPUT -m mac --mac-source 00:50:eb:05:37:51 -s ! 192.168.34.5 -j DROP
    /sbin/iptables -A INPUT -i eth1 -m mac --mac-source 00:30:4F:30:AE:74 -j DROP
    #/sbin/iptables -A INPUT -s 192.168.1.69 -j DROP
    ##
    /sbin/iptables -t nat -F
    # Bloqueando o 1.165
    /sbin/iptables -A FORWARD -p all -s 192.168.1.165 -j DROP
    /sbin/iptables -A INPUT -p all -s 192.168.1.165 -j DROP
    /sbin/iptables -A OUTPUT -p all -s 192.168.1.165 -j DROP

    #Protecao contra syn flood
    /sbin/iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    # Port scanners oculto

    /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m --limit 1/s -j ACCEPT
    # Ping da morte
    /sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    # Bloqueando traceroute
    /sbin/iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j DROP
    /sbin/iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP

    # Protecao contra ip spoofing
    /sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j DROP
    /sbin/iptables -A INPUT -s 172.16.0.0/16 -i eth0 -j DROP
    /sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
    /sbin/iptables -A INPUT -s 172.16.0.0/16 -i eth1 -j DROP


    #/sbin/iptables -A FORWARD -p udp -s 0.0.0.0 --dport 53 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/16 --dport 25 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/16 --dport 110 -j ACCEPT


    # Redireciona para a porta 3128
    #/sbin/iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp --destination-port 80 -j REDIRECT --to-ports 3128
    /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to-source 200.164.225.89
    /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
    /bin/echo "1" > /proc/sys/net/ipv4/ip_forward
    #/sbin/service iptables save


    Quando rodo aparece isto,
    iptables v1.2.7a: Couldn't load match `--limit':/lib/iptables/libipt_--limit.so: cannot open shared object file: No such file or directory

    []s
    Alan



  5. Alan, o que parece o modulo "limit" do iptables nao tah instalado... pra acabar com essas encrencas instale o patch-o-matic do iptables... olha esse artigo meu aqui (mamao com acucar ):
    https://under-linux.org/modules.php?...icle&artid=286






Tópicos Similares

  1. Revidando uma tentativa de ataque !!!
    Por peen-gween no fórum Servidores de Rede
    Respostas: 1
    Último Post: 16-07-2003, 11:25
  2. Respostas: 2
    Último Post: 12-06-2003, 21:21
  3. inserir o mesmo ip na rede - ataque interno
    Por darthv no fórum Segurança
    Respostas: 8
    Último Post: 16-03-2003, 12:26
  4. inserir o mesmo ip na rede - ataque interno
    Por darthv no fórum Segurança
    Respostas: 1
    Último Post: 05-03-2003, 02:31
  5. detecção de ataques
    Por 1c3m4n no fórum Segurança
    Respostas: 0
    Último Post: 27-09-2002, 08:24

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L