+ Responder ao Tópico



  1. #1

    Padrão atake desconhecido...

    olá pessoal, Bom , eu vim aqui com instensão de compartilhar o atake que to sofrendo em um dos meus firewalls.

    log:

    Dec 19 12:54:06 localhost kernel: FIREWALL:SSH70IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=64300 PROTO=TCP SPT=48939 DPT=70 WINDOW=3072 RES=0x00 SYN URGP=0

    ai você deve me perguntar:

    como pode um atake vim com ip 127. para 127?

    infelizmente não sei responder, essa máquina ta sem ids , e só vou por hj a de madrugada, mas te garanto que ninguém teve acesso a ela indevidamente, pq?

    pq era redhat e eu coloquei debian na sexta, e logo em seguinda apareceu no log o mesmo atake, então o atake ta vindo de fora. se alguém puder da alguma dika para bloquiar esse atakar fico grato.
    abraço a todos

  2. #2

    Padrão atake desconhecido...

    Cara tenta bloquear na interface externa a entrada de ip 127 e tals, e ve se resolve.

    falows

    PS: não sei se pode travar a rede pois nunca tentei, mas acho que não tem problema



  3. #3

    Padrão atake desconhecido...

    Citação Postado originalmente por ruyneto
    Cara tenta bloquear na interface externa a entrada de ip 127 e tals, e ve se resolve.

    falows

    PS: não sei se pode travar a rede pois nunca tentei, mas acho que não tem problema
    eu vou tentar, mas acho que não irar funcionar, pq se vc reparar a interface IN no log eh a lo

    mas mesmo assim vou tentar fazer isso que vc me disse

    se alguem tiver alguma outra dika fico grato

  4. #4

    Padrão atake desconhecido...

    Eh eu vi, mas é estranho um ataque vir pela lo, pq na verdade a lo geralmente so é local, mas sei la. é so uma ideia. Tava vendo tb pode tentar bloquear a porta 70, pois é do protocolo gopher e ninguem mais usa isso.

    falows



  5. #5

    Padrão atake desconhecido...

    Outro dia li o livro Contra Ataque de John Markoff; Tsutomu Shimomura (não encontrei em nenhuma loja para indicar) e lá o hacker faz um tipo de ataque interessante...
    Ele ataca uma máquina dentro da rede, e, a partir dela o firewall...
    será que não fizeram algo semelhante contigo ???

  6. #6

    Padrão atake desconhecido...

    Citação Postado originalmente por Marcio68Almeida
    Outro dia li o livro Contra Ataque de John Markoff; Tsutomu Shimomura (não encontrei em nenhuma loja para indicar) e lá o hacker faz um tipo de ataque interessante...
    Ele ataca uma máquina dentro da rede, e, a partir dela o firewall...
    será que não fizeram algo semelhante contigo ???

    mesmo se foce dentro da rede, n teria como ele pinga a minha interface lo

    muito sinistro esse atake



  7. #7

    Padrão atake desconhecido...

    Putz, esta eu ainda não tinha visto.

    Eu sei que com o nmap eu consigo informar um ip falso para ser o source.

    Bem, vc disse que trocou a distro e o problema continua, que serviço roda na 70?

    Por acaso não poderia ser algum script, ou algum programa de vocês tentando acessa-la, né?!

  8. #8

    Padrão atake desconhecido...

    Citação Postado originalmente por edmafer
    Putz, esta eu ainda não tinha visto.

    Eu sei que com o nmap eu consigo informar um ip falso para ser o source.

    Bem, vc disse que trocou a distro e o problema continua, que serviço roda na 70?

    Por acaso não poderia ser algum script, ou algum programa de vocês tentando acessa-la, né?!
    na 70 roda um serviço, mas o atake ta vindo em porta aleatorias que não estao ativas

    22
    23
    etc



  9. #9

    Padrão olha só:

    Isso parece trafego gerado internamente pela maquina para disfarçar trafego entrante:

    Aparentemente quem gerou o trefego foi a propria maquina certo ?

    Vamos lá vc trocou recentemente o RH por um DEBIAN
    usou senha padrão ?

    Alguma outra maquina da rede esta conectada fora ?
    Alguma maquina suspeita rootkit,backdoor ou ssh rodando como root em porta padrão ?
    Algum esquipamento switch router modem pool de modens com conexao externa?

    Tira o cabo de rede da maquina e veja se ela continua gerando trafego.
    Gera uma vlan no switch somente com o firewall e veja se os logs comecam a aparecer.

    Vc tem um belo abacaxi na mão mas manda ai que nois ajuda a descascar !

  10. #10

    Padrão atake desconhecido...

    Citação Postado originalmente por Brenno
    Citação Postado originalmente por edmafer
    ...
    na 70 roda um serviço, mas o atake ta vindo em porta aleatorias que não estao ativas

    22
    23
    etc
    Ok, mas eu não conheço nenhum serviço padrão que rode na 70, então... deduzo eu (claro que desconheço muitas coisas) que seja lá o que for conhece este teu "serviço".

    netstat -nla vai te mostrar quem está conectado em qual porta dá uma analisada, e veja se não é algum programa "esquecido".



  11. #11

    Padrão atake desconhecido...

    Vamos lá vc trocou recentemente o RH por um DEBIAN
    usou senha padrão ?
    não, minhas senhas são bem complexas, como toda pessoa que trabalhar com segurança eh meio "noiado" eheheh


    Alguma outra maquina da rede esta conectada fora ?
    sim
    Alguma maquina suspeita rootkit,backdoor ou ssh rodando como root em porta padrão ?
    nunca deixo nem um serviço rodando em porta default
    e sempre tiro /bin/bash dos usuarios default
    Algum esquipamento switch router modem pool de modens com conexao externa?
    não tenho certeza.



    Tira o cabo de rede da maquina e veja se ela continua gerando trafego.
    Gera uma vlan no switch somente com o firewall e veja se os logs comecam a aparecer.
    imposível, essa maquina não pode parar, e to a horas distante dela


    vlw pela ajuda

  12. #12

    Padrão atake desconhecido...

    Citação Postado originalmente por edmafer
    Citação Postado originalmente por Brenno
    Citação Postado originalmente por edmafer
    ...
    na 70 roda um serviço, mas o atake ta vindo em porta aleatorias que não estao ativas

    22
    23
    etc
    Ok, mas eu não conheço nenhum serviço padrão que rode na 70, então... deduzo eu (claro que desconheço muitas coisas) que seja lá o que for conhece este teu "serviço".

    netstat -nla vai te mostrar quem está conectado em qual porta dá uma analisada, e veja se não é algum programa "esquecido".

    na 70 eu rodo ssh



  13. #13

    Padrão atake desconhecido...

    bem... então um nmap poderia informar isto.

    Dá uma olhada neste meu post (fiquei com preguiça de escrever de novo), é o último da pagina:
    https://under-linux.org/modules.php?...r=asc&start=45

    Ná pagina seguinte eu continuo.

    Veja se há algo novo que pode ser implementado em suas regras de segurança.

    O diferente no seu é o source, mas varredura no ssh eu tenho de quilo por dia.

  14. #14

    Padrão atake desconhecido...

    Citação Postado originalmente por edmafer
    bem... então um nmap poderia informar isto.

    Dá uma olhada neste meu post (fiquei com preguiça de escrever de novo), é o último da pagina:
    https://under-linux.org/modules.php?...r=asc&start=45

    Ná pagina seguinte eu continuo.

    Veja se há algo novo que pode ser implementado em suas regras de segurança.

    O diferente no seu é o source, mas varredura no ssh eu tenho de quilo por dia.
    acabei de ler o post, mas tudo que ele fez eu sempre faço por default, e aquela regra nunca usei, bom eu tenho mais 4 firewall ativos sem lugares diferente, nunca recebi esse atake, fods



  15. #15

    Padrão atake desconhecido...

    Será que tu num tá é impressionado? :P Tem muito programa que usa a 127.0.0.1 pra funcionar.... o X é um :P

  16. #16

    Padrão atake desconhecido...

    Citação Postado originalmente por DropALL
    Será que tu num tá é impressionado? :P Tem muito programa que usa a 127.0.0.1 pra funcionar.... o X é um :P
    com certeza, tanto eh se vc barra a interface lo no firewall, nada funciona, mas resolvi o problema, colocando ids e implementando a lista de ips q eu tenho no firewall, acabou-se os atakes