Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Fui invadido, o que fazer para nao acontecer?

    Ola pessoal desde sexta feira estou notando muita lentidao no meu link, e descobrir junto com o pessoal da operadora que fui invadido e que os cara tava gerando trafego na porta 25 enviando spanner. uso o script de filtro de mac por ip como segue abaixo e Red Hat 8, o que posso fazer para fechar mais o meu script? posso tomar outra providencia para nao acontecer alem do firewall? como sou new user no linux vou formatar e instalar somente o nescesseario para o server trabalhar.

    Obrigado a todos.


    #/bin/bash
    #Script de Firewall para bloqueio por MACaddress
    #Criado por Carlos Eduardo Langoni
    #23/01/2003
    #
    # Funcionamento: Crie um arquivo no formato (a,b);(mac);(IP Source);(nome)
    # Aonde a é aceitar e b é bloquear que serve para o caso de haver necessidade de bloquear algum
    # IP e MAC, caso b não será bloqueado o IP, apenas o MAC
    #
    IPT=/sbin/iptables
    PROGRAMA=/etc/firewall/firewall
    NET_IFACE=eth0
    LAN_IFACE=eth1
    MACLIST=/etc/firewall/maclist

    #
    ### ATIVA E DESATIVA REGRAS ###
    #
    TRANS="S" #Transparent proxy (NAT)
    NAPSTER="S" #Bloquear NapsteR
    IMESH="S" #Bloquear IMesh
    BEARSHARE="S" #Bloquear Bearshare
    TOADNODE="S" #Bloquear ToadNode
    WINMX="S" #Bloquear WinMX
    NAPIGATOR="S" #Bloquear Napigator
    MORPHEUS="S" #Bloquear Morpheus
    KAZAA="S" #Bloquear KaZaA
    LIMEWIRE="S" #Bloquear Limewire
    MSN="N" #Bloquear MSN
    SEGURANCA="S" #Habilitar regras de seguranca
    BANDA="S" #Habilitar LIMITADOR DE BANDAa



    echo 1 > /proc/sys/net/ipv4/ip_forward
    case $1 in
    start)
    $IPT -F
    $IPT -t nat -F
    $IPT -t filter -P FORWARD DROP

    if [ "$BANDA" = "S" ]; then
    /bin/bandlimit start
    fi


    if [ "$MSN" = "S" ]; then
    $IPT -A FORWARD -p tcp --dport 1863 -j DROP #MSN
    $IPT -A FORWARD -d 64.4.13.0/24 -j DROP #MSN
    $IPT -A FORWARD -d 207.46.110.0/25 -j DROP #MSN
    $IPT -A FORWARD -d 207.46.104.20 -j DROP #MSN
    $IPT -A FORWARD -j LOG --log-prefix "Pacotes descartados (FORWARD): "
    $IPT -A FORWARD -j DROP
    fi

    if [ "$NAPSTER" = "S" ]; then
    $IPT -A FORWARD -d 64.124.41.0/24 -j REJECT
    fi

    if [ "$IMESH" = "S" ]; then
    $IPT -A FORWARD -d 216.35.208.0/24 -j REJECT
    fi

    if [ "$BEARSHARE" = "S" ]; then
    $IPT -A FORWARD -p TCP --dport 6346 -j REJECT
    fi

    if [ "$TOADNODE" = "S" ]; then
    $IPT -A FORWARD -p TCP --dport 6346 -j REJECT
    fi

    if [ "$WINMX" = "S" ]; then
    $IPT -A FORWARD -d 209.61.186.0/24 -j REJECT
    $IPT -A FORWARD -d 64.49.201.0/24 -j REJECT
    fi

    if [ "$NAPIGATOR" = "S" ]; then
    $IPT -A FORWARD -d 209.25.178.0/24 -j REJECT
    fi


    if [ "$MORPHEUS" = "S" ]; then
    $IPT -A FORWARD -d 206.142.53.0/24 -j REJECT
    $IPT -A FORWARD -p TCP --dport 1214 -j REJECT
    fi

    if [ "$KAZAA" = "S" ]; then
    $IPT -A FORWARD -d 213.248.112.0/24 -j REJECT
    $IPT -A FORWARD -p TCP --dport 1214 -j REJECT
    fi

    if [ "$LIMEWIRE" = "S" ]; then
    $IPT -A FORWARD -p TCP --dport 6346 -j REJECT
    fi

    if [ "$SEGURANCA" = "S" ]; then

    # Evitando Spoofing
    $IPT -A INPUT -i $NET_IFACE -s 10.0.0.0/8 -j DROP
    $IPT -A INPUT -i $NET_IFACE -s 172.16.0.0/12 -j DROP
    $IPT -A INPUT -i $NET_IFACE -s 192.168.0.0/16 -j DROP
    $IPT -A INPUT -i $NET_IFACE -s 224.0.0.0/4 -j DROP
    $IPT -A INPUT -i $NET_IFACE -s 240.0.0.0/5 -j DROP

    # Proteção contra Syn-flood
    $IPT -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

    # Proteção contra port scanner
    $IPT -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit \
    --limit 1/s -j ACCEPT

    # Proteção contra o ping da morte
    $IPT -A INPUT -p icmp --icmp-type echo-request -m limit \
    --limit 1/s -j ACCEPT

    # Proteção contra pacotes danificados ou suspeitos
    $IPT -A INPUT -m unclean -j DROP

    fi
    for i in `cat $MACLIST`; do
    STATUS=`echo $i | cut -d ';' -f 1`
    IPORIGEM=`echo $i | cut -d ';' -f 3`
    MACORIGEM=`echo $i | cut -d ';' -f 2`
    #Se status = a então eu libera a conexao
    if [ $STATUS = "a" ]; then
    $IPT -t filter -A FORWARD -d 0/0 -s $IPORIGEM -m mac --mac-source $MACORIGEM -j ACCEPT
    $IPT -t filter -A FORWARD -d $IPORIGEM -s 0/0 -j ACCEPT
    $IPT -t nat -A POSTROUTING -s $IPORIGEM -o $NET_IFACE -j MASQUERADE
    $IPT -t filter -A INPUT -s $IPORIGEM -d 0/0 -m mac --mac-source $MACORIGEM -j ACCEPT
    $IPT -t filter -A OUTPUT -s $IPORIGEM -d 0/0 -j ACCEPT
    # Se for = b então bloqueia o MAC
    else
    $IPT -t filter -A FORWARD -m mac --mac-source $MACORIGEM -j DROP
    $IPT -t filter -A INPUT -m mac --mac-source $MACORIGEM -j DROP
    $IPT -t filter -A OUTPUT -m mac --mac-source $MACORIGEM -j DROP
    fi
    done
    if [ "$TRANS" = "S" ]; then
    $IPT -t nat -A PREROUTING -p tcp -m multiport -s 10.15.163.0/24 --dport 80 -j REDIRECT --to-ports 3128
    fi
    #Liberar MSN
    $IPT -A FORWARD -p tcp --dport 1863 -j DROP #MSN
    #ERRO ABAIXO
    $IPT -t nat -A POSTROUTING -s 172.1.1.0/255.255.255.0 -j MASQUERADE
    $IPT -t filter -A FORWARD -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    #$IPT -t filter -A FORWARD -d 172.1.1.0/255.255.255.0 -s 0/0 -j ACCEPT
    #$IPT -t filter -A INPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    #$IPT -t filter -A OUTPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT

    echo "FIREWALL ATIVADO SISTEMA PREPARADO"
    ;;
    stop)
    $IPT -F
    $IPT -Z
    $IPT -t nat -F
    $IPT -t filter -P FORWARD ACCEPT
    echo "FIREWALL DESCARREGADO SISTEMA LIBERADO"
    if [ "$BANDA" = "S" ]; then
    /bin/bandlimit stop
    fi
    ;;
    restart)
    $PROGRAMA stop
    $PROGRAMA start
    ;;
    esac

  2. #2

    Padrão Fui invadido, o que fazer para nao acontecer?

    Antes de tudo, muita calma.

    O que exatamente eles invadiram? O teu servidor de e-mail? O seu servidor proxy? Passa mais informações. Creio eu que se você fechar o relay já ajuda e muito.


    Abraços!

  3. #3

    Padrão Fui invadido, o que fazer para nao acontecer?

    O pessoal da operadora falou que o meu trafego na porta 25 estava a toda enviando email utilizando toda a banda, verifiquei depois que o sendmail estava rodando. eu utlizo aqui apenas squid, bandlimit e iptables com controle de mac, ssh. estou para instalar ainda webmail, apache e servidor pop3 e smtp com o postfix, formatei e desabilitei todos os servico que nao estou utilizando inclusive o sendmail que foi o primeiro. sera que so isto basta? tenho que botar o server em producao. troquei a senha do root tambem. vc tem msn o meu e [email protected]

  4. #4
    infect
    Visitante

    Padrão Fui invadido, o que fazer para nao acontecer?

    amigo, verifique qual deamon está enviando pacotes via porta 25, veja se é algum cliente da sua rede ou se é seu servidor que faz forward para todos. após identificar qual aplicação tá fazendo isso, verifique se esta aplicação foi instalada por vc ou por algun invasor. se for por vc vc deixou relay aberto e os spammers aproveitaram, se não foi por vc eles usaram alguma vulnerabilidade do seu sistema para invadí-lo e criar um spammer. boa sorte e poste os resultados.

  5. #5
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão Fui invadido, o que fazer para nao acontecer?

    usa o tcpdump e verifique as conexoes... aqui tem um cliente que deixou a maquina dele virar zumbi... os caras tao regacando geral o link aqui... fui lah e arranquei o cabo do hub deles... o q peguei no tcpdump foi uma conexao pela porta 1025 no cliente fazendo tunelamento por dentro do meu server (porta 53) e minhas regras de fw nao surtiram nenhum efeito... estou ainda verificando que praga foi essa... 8O

  6. #6

    Padrão Fui invadido, o que fazer para nao acontecer?

    Galera não e os clientes wireless pois o link tava tao lento que parei minha rede restartei o server, alem do mais minha rede nao e tao grande assim, tenho apenas oito pontos(redes pequenas) compartinhando um link de 256k, isto esta vindo de fora ou pode ser alguma falha de seguranca no red hat 8, fiz um update dele coloque mais algumas regrinhas no fire e vou aguardar para o melhor.

    eita, vou almocar agora.

  7. #7
    Aquini
    Visitante

    Padrão Fui invadido, o que fazer para nao acontecer?

    Se vc acredita que ataque externo, procure indícios por qual serviço vc foi invadido. Faça um teste com o nessus no host em questão que vc poderá ter alguma noção de qual sistema foi atacado...

    Como vc disse que já formatou, não poderá fazer uma análise detalhada da possível invasão...

    Lembre tb q o RH8 é versão descontinuada e não existe mais suporte, portanto as atualizações que efetuou (principalmente se o fez por up2date ou yum de qq repositório) com certeza estão desatualizadas... Pense com carinho em instalar uma distro atualizada dentro do "lifetime"

    Para prevenir, é altamente recomendável que os pacotes que não são utilizados sejam REMOVIDOS para que não sejam utilizados no caso de uma nova invasão...

    Para finalizar, não confie tanto nos usuários internos... mesmo q não tenham invadido a conduta deles pode ter sido o vetor da invasão...

    QQ coisa escreva...

    T+

  8. #8

    Padrão Fui invadido, o que fazer para nao acontecer?

    O problema continua, formatei inclui algumas regras a mais no firewall tentei outros exemplo de firewall e o link quando acesso pelo firewall fica muito lento e depois volta ao nomal, restarto o server e volta nomal e em questao de minutos fica lento novamente. tomei todo o cuidado de so colocar a maquina na rede depois que o fire estivesse rodando. rodei o tcpdump e assim que coloco o cabo do link comeca a gerar trafego . puts o que sera?

  9. #9

    Padrão Fui invadido, o que fazer para nao acontecer?

    Carra vc deve ter o relay aberdo do sendmail da um stop no sedmail pra ver se para o trafego...... /etc/rc.d/init.d/sendmail stop ai se for isso copia o arquivo relaydomains que ta dentro do diretorio /etc/mail/relaydomains e posta aqui pra ver como ele esta.

  10. #10
    infect
    Visitante

    Padrão Fui invadido, o que fazer para nao acontecer?

    Citação Postado originalmente por SerAntSou
    usa o tcpdump e verifique as conexoes... aqui tem um cliente que deixou a maquina dele virar zumbi... os caras tao regacando geral o link aqui... fui lah e arranquei o cabo do hub deles... o q peguei no tcpdump foi uma conexao pela porta 1025 no cliente fazendo tunelamento por dentro do meu server (porta 53) e minhas regras de fw nao surtiram nenhum efeito... estou ainda verificando que praga foi essa... 8O
    Manu, q loucura! dá uma olhada na versão do seu Bind e vê se ele tem alguma vulnerabilidade. pode ser q eles estejam usando. é uma boa também neste caso usar caching nameserver e deixar os clientes consultar dns da sua rede interna.
    Abraços.

  11. #11

    Padrão Fui invadido, o que fazer para nao acontecer?

    Citação Postado originalmente por patrickcanton
    Carra vc deve ter o relay aberdo do sendmail da um stop no sedmail pra ver se para o trafego...... /etc/rc.d/init.d/sendmail stop ai se for isso copia o arquivo relaydomains que ta dentro do diretorio /etc/mail/relaydomains e posta aqui pra ver como ele esta.
    o sendmail foi o primeiro que foi pro espaco quando refiz a instalacao, quanto ao
    relaydomains nao encontrei somentes estes:
    /usr/sbin/pppoe-relay
    /usr/share/doc/postfix-1.1.12/html/TLS/relaycert.html
    /usr/share/doc/postfix-1.1.12/relaycert.html
    /usr/share/man/man8/pppoe-relay.8.gz
    /usr/src/linux-2.4.18-14/Documentation/networking/framerelay.txt
    /sbin/pppoe-relay

  12. #12

    Padrão Fui invadido, o que fazer para nao acontecer?

    Citação Postado originalmente por infect
    Citação Postado originalmente por SerAntSou
    usa o tcpdump e verifique as conexoes... aqui tem um cliente que deixou a maquina dele virar zumbi... os caras tao regacando geral o link aqui... fui lah e arranquei o cabo do hub deles... o q peguei no tcpdump foi uma conexao pela porta 1025 no cliente fazendo tunelamento por dentro do meu server (porta 53) e minhas regras de fw nao surtiram nenhum efeito... estou ainda verificando que praga foi essa... 8O
    Manu, q loucura! dá uma olhada na versão do seu Bind e vê se ele tem alguma vulnerabilidade. pode ser q eles estejam usando. é uma boa também neste caso usar caching nameserver e deixar os clientes consultar dns da sua rede interna.
    Abraços.
    Blz cara nao utilizo o bind, mais vou instalar aqui com isso vou economizar link e ganhar rapidez nas consultas atraves do server na rede loca. valeu pela dica. mais acredito que isso nao resolva meu problema.

  13. #13
    Visitante

    Padrão Fui invadido, o que fazer para nao acontecer?

    dica: tire o redhat8

    eu andei testando a distro "trustix" para usar como gw e ela se saiu mto bem...

    sobre o prob do sendmail..

    se entendi bem, esse sendmail "apareceu" do nada... ou seja.. alguem startou o processo dele...

    se realmente foi isso, algum programa q vc usa (apache, ssh ou qq outro servico que escute uma porta) está com problemas...

    caso tenha paciencia, vá até www.languard.com baixe e instale esse programa.. ele nao soluciona o prob. mas te fala quais sao... precisa dee windows pra usa ele...

    sabendo onde estao as falhas vc ja pode procurar as correcoes

    outra dica..

    NAO RODE SERVIDORES QUE VOCE NAO PRECISA!
    se vc ta fazendo testes com servidores pra aprender a mexer com eles, faça-o em uma maquina separada... nao em uma de producao...

  14. #14
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão Fui invadido, o que fazer para nao acontecer?

    Citação Postado originalmente por infect
    Citação Postado originalmente por SerAntSou
    usa o tcpdump e verifique as conexoes... aqui tem um cliente que deixou a maquina dele virar zumbi... os caras tao regacando geral o link aqui... fui lah e arranquei o cabo do hub deles... o q peguei no tcpdump foi uma conexao pela porta 1025 no cliente fazendo tunelamento por dentro do meu server (porta 53) e minhas regras de fw nao surtiram nenhum efeito... estou ainda verificando que praga foi essa... 8O
    Manu, q loucura! dá uma olhada na versão do seu Bind e vê se ele tem alguma vulnerabilidade. pode ser q eles estejam usando. é uma boa também neste caso usar caching nameserver e deixar os clientes consultar dns da sua rede interna.
    Abraços.
    Nem me fale em versao do bind... isso aqui eh um server (lixo) que tah rodando tem 1 ano e q ateh hj nao foi atualizado... nem vou esquentar a kbca com ele nao, pois estou refazendo todos os servers aqui da empresa... mais uns dias e estah td pronto. Ae nois controla o trem!!!
    D qq forma valeu.

  15. #15
    infect
    Visitante

    Padrão Fui invadido, o que fazer para nao acontecer?

    Cara, já falei, primeiro vc olha de onde está sendo originado o trafego na porta 25, se é diretamente do seu servidor ou se é de algum cliente seu q usa seu nat da porta 25. isso isola as possibilidades. eu vou proibir que exista servidores smtp nos hosts dos meus clientes. qualquer pc q for invadido infesta tudo com spam.

  16. #16
    wpetry
    Visitante

    Padrão Invasão

    Cara já tive um problema assim olha a configuração do teu SQUID os caras usam ele para mandar SPAM. Olha as tuas ACLS.

  17. #17
    Visitante

    Padrão Re: Invasão

    Citação Postado originalmente por wpetry
    Cara já tive um problema assim olha a configuração do teu SQUID os caras usam ele para mandar SPAM. Olha as tuas ACLS.
    Eu uso no padrao so alterei memoria, tamanho de cache e coloquei uma acl para acessar site direto sem usar o cache. nda mais que isso.

  18. #18
    Visitante

    Padrão Fui invadido, o que fazer para nao acontecer?

    Ae .. só uma dicazinha tmb ..

    alem de tirar a merda do red hat e sendmail dai .. reveja seu firewall ... a politica correta seria "fechar tudo e abrir o que precisa"pelo que percebi apenas a police FORWARD ?? pq isso ?? e a input (po meu ?? ) e a output ??

    se liga véiu .. reveja teu firewall .. logue serviços e ataques normalmente praticados e instale o minimo possivel no teu server ..

    Eu rodaria um debian ou slack ai ,,, na boa !!
    :lol:

  19. #19

    Padrão Fui invadido, o que fazer para nao acontecer?

    Citação Postado originalmente por Anonymous
    Ae .. só uma dicazinha tmb ..

    alem de tirar a merda do red hat e sendmail dai .. reveja seu firewall ... a politica correta seria "fechar tudo e abrir o que precisa"pelo que percebi apenas a police FORWARD ?? pq isso ?? e a input (po meu ?? ) e a output ??

    se liga véiu .. reveja teu firewall .. logue serviços e ataques normalmente praticados e instale o minimo possivel no teu server ..

    Eu rodaria um debian ou slack ai ,,, na boa !!
    :lol:
    Hehehe, nao fala assim nao, linux e sempre linux, vou colocar o Conectiva 10 sou iniciante e o conectiva tem farta documentacao em portugues, quanto ao sendmail foi o primeiro que foi pro espaco, o fire eu fiz isso que vc disse "dropei" tudo e estou abrindo aos poucos. meu fire comessa assim agora:

    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

  20. #20

    Padrão Fui invadido, o que fazer para nao acontecer?

    Cara, leve os seguintes fatos em consideração:

    1 - Será que você foi realmente invadido? Às vezes foi algum problema que aconteceu no seu servidor ou uma configuração errônea. Talvez até um problema no teu link.
    2 - Já que você tá começando agora, vai usar política DROP e vai arrumar mais pra tua cabeça.
    3 - Fecha o relay do teu servidor proxy e do seu servidor de e-mail.
    4 - Tira o Sendmail daí. Além de ser pesado, é inseguro. Instale Postfix.


    Abraços!