Tentativa de invasão ???/ Como agir ??
Quais a atitudes a ser tomadas quando se sofre tentativas de invasão ??
No meu caso eu venho sofrendo ataques de "2 redes" porem pelo que notei os as duas "redes" de mesmo IP´s (aparentemente uma pessoa de cada rede).
Meu server esta´ okey ja´ o sniffei e testei com meus amigos sua segurança.
As pessoas que atacam neste momento não me preocupam por que pelas tentativas delas elas não sabem definir nem que sistema é o server vejam alguns logs aqui.
--
200.242.49.4 - - [01/Jul/2002:21:22:11 -0300] "GET /scripts/..%c1%1c../winnt/sys
tem32/cmd.exe?/c+dir HTTP/1.0" 404 307
200.242.49.4 - - [01/Jul/2002:21:22:13 -0300] "GET /scripts/..%c0%2f../winnt/sys
tem32/cmd.exe?/c+dir HTTP/1.0" 404 307
200.242.49.4 - - [01/Jul/2002:21:22:16 -0300] "GET /scripts/..%c0%af../winnt/sys
tem32/cmd.exe?/c+dir HTTP/1.0" 404 307
200.242.49.4 - - [01/Jul/2002:21:22:16 -0300] "GET /scripts/..%c1%9c../winnt/sys
tem32/cmd.exe?/c+dir HTTP/1.0" 404 307
200.242.49.4 - - [01/Jul/2002:21:22:19 -0300] "GET /scripts/..%%35%63../winnt/sy
stem32/cmd.exe?/c+dir HTTP/1.0" 400 291
200.242.49.4 - - [01/Jul/2002:21:22:22 -0300] "GET /scripts/..%%35c../winnt/syst
em32/cmd.exe?/c+dir HTTP/1.0" 400 291
200.242.49.4 - - [01/Jul/2002:21:22:25 -0300] "GET /scripts/..%25%35%63../winnt/
system32/cmd.exe?/c+dir HTTP/1.0" 404 308
200.242.49.4 - - [01/Jul/2002:21:22:26 -0300] "GET /scripts/..%252f../winnt/syst
em32/cmd.exe?/c+dir HTTP/1.0" 404 308
----
OBS: tendo em vista que uso Linux isso nao causa efeito nenhum em mim ::o)
----
200.37.91.60 - - [07/Jul/2002:19:43:47 -0300] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 286
200.37.91.60 - - [07/Jul/2002:19:43:49 -0300] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 284
200.37.91.60 - - [07/Jul/2002:19:43:51 -0300] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
200.37.91.60 - - [07/Jul/2002:19:44:04 -0300] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
200.37.91.60 - - [07/Jul/2002:19:44:10 -0300] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
200.37.91.60 - - [07/Jul/2002:19:44:17 -0300] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
200.37.91.60 - - [07/Jul/2002:19:44:20 -0300] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
------------------------------------------
Bem não sei se fiz correto, pois sou novo nisso, mas chequei(snifei) a rede dele e notei que O QUE ELE QUERIAM ENCONTRAR EM MIM ESTA NELE O PROBLEMA, ou seja´ sua rede ambas estao nada bem ::P
Bem, meu objeto é, como devo agir principalemente para uma atitude futura em um caso mais sério, me recomendaram notificar as redes mandando um email de como root do meu server para o adm do server de ambas redes.
Agradeço dede já.
<IMG SRC="images/forum/smilies/icon_confused.gif"> ::o)
Tentativa de invasão ???/ Como agir ??
((
Estas tentativas de ataques foram para servidores NT com IIS.
Porém mesmo assim seria bom bloquear o acesso destes IPs.
1- um tipo de bloqueio é o de acesso a serviços:
indet -> /etc/hosts.deny
2-smtp/pop -> /etc/postfix/main.cf
3-firewall -> inclua o IP na arquivos de rules de bloqueio (acho que seu firewall provavelmente tenha um arquivo deste!.)
4->Notificar, por exemplo no site da www.snort.org, entre outros abuse.org, ... tem um monte deles.
5->Criar scripts de configuração, automatizando estas tarefas totalmente (pela análise do /var/log/message) ou manualmente (após sua verificação de ataque , vc roda o script).
...
))
Tentativa de invasão ???/ Como agir ??
O amigo paulogrifo passou boas dicas para você evitar novos problemas "vindo desses hosts", mas você pode ainda tentar descobrir de onde são essas máquinas (DNS reverso), identificar se isto está vindo de uma rede de provedor, estação de uma empresa, acesso discado etc...
Me parece que você possui algumas informações sobre as redes, pois bem, tente entrar em contato com o Administrador ou responsável técnico, reporte o problema.
Veja se consegue descobrir o domínio e identifique o responsável pela nic ou registro.br.
As máquinas podem estar infectadas com esses worms que ficam procurandos IIS´s e se uma dessas máquinas for um proxy , por exemplo, você estará bloqueando no seu firewall o acesso de alguns usuários dessas redes, a utilização de serviços da sua rede/empresa será comprometida.
Tente bloquear de inicio, entre em contato com o admin, após resolver ou identificar o que está ocorrendo e os scans pararem, libere novamente.
Tentativa de invasão ???/ Como agir ??
Deixa ver se explico melhor...
Eu quero saber é como agir em termos de leis em casos como esse. O Brasil possui alguma lei que proiba ivasão, quem eu devo notificar do outro lado (digo, maquina que fez a requisicao).
sobre quem é a rede o deixar de ser não e bem o quero saber(isso eu já tenho aruivado e guardado).
Tentativa de invasão ???/ Como agir ??
As leis e projetos de leis relacionados à crimes eletrônicos no Brasil estão em http://www.modulo.com.br/pt/page_i.jsp?page=2&tipoid=16&pagecounter=0
Veja o Projeto de Lei do Senado nº 76 , de 2000 , Art 1o. IV - a modificação, a supressão de dados ou adulteração de seu conteúdo;
Teoricamente um scan ou tentativa de execução indevida de softwares do seu servidor, legalmente, caracteriza a tentativa de a modificação, a supressão de dados ou adulteração de seu conteúdo.
Creio eu que seja isso, pelo menos é o que a lei diz.
Você deveria procurar um apoio jurídico para esclarecer-lhe melhor sobre o assunto.