-
Fui invadido, o que fazer para nao acontecer?
Ola pessoal desde sexta feira estou notando muita lentidao no meu link, e descobrir junto com o pessoal da operadora que fui invadido e que os cara tava gerando trafego na porta 25 enviando spanner. uso o script de filtro de mac por ip como segue abaixo e Red Hat 8, o que posso fazer para fechar mais o meu script? posso tomar outra providencia para nao acontecer alem do firewall? como sou new user no linux vou formatar e instalar somente o nescesseario para o server trabalhar.
Obrigado a todos.
#/bin/bash
#Script de Firewall para bloqueio por MACaddress
#Criado por Carlos Eduardo Langoni
#23/01/2003
#
# Funcionamento: Crie um arquivo no formato (a,b);(mac);(IP Source);(nome)
# Aonde a é aceitar e b é bloquear que serve para o caso de haver necessidade de bloquear algum
# IP e MAC, caso b não será bloqueado o IP, apenas o MAC
#
IPT=/sbin/iptables
PROGRAMA=/etc/firewall/firewall
NET_IFACE=eth0
LAN_IFACE=eth1
MACLIST=/etc/firewall/maclist
#
### ATIVA E DESATIVA REGRAS ###
#
TRANS="S" #Transparent proxy (NAT)
NAPSTER="S" #Bloquear NapsteR
IMESH="S" #Bloquear IMesh
BEARSHARE="S" #Bloquear Bearshare
TOADNODE="S" #Bloquear ToadNode
WINMX="S" #Bloquear WinMX
NAPIGATOR="S" #Bloquear Napigator
MORPHEUS="S" #Bloquear Morpheus
KAZAA="S" #Bloquear KaZaA
LIMEWIRE="S" #Bloquear Limewire
MSN="N" #Bloquear MSN
SEGURANCA="S" #Habilitar regras de seguranca
BANDA="S" #Habilitar LIMITADOR DE BANDAa
echo 1 > /proc/sys/net/ipv4/ip_forward
case $1 in
start)
$IPT -F
$IPT -t nat -F
$IPT -t filter -P FORWARD DROP
if [ "$BANDA" = "S" ]; then
/bin/bandlimit start
fi
if [ "$MSN" = "S" ]; then
$IPT -A FORWARD -p tcp --dport 1863 -j DROP #MSN
$IPT -A FORWARD -d 64.4.13.0/24 -j DROP #MSN
$IPT -A FORWARD -d 207.46.110.0/25 -j DROP #MSN
$IPT -A FORWARD -d 207.46.104.20 -j DROP #MSN
$IPT -A FORWARD -j LOG --log-prefix "Pacotes descartados (FORWARD): "
$IPT -A FORWARD -j DROP
fi
if [ "$NAPSTER" = "S" ]; then
$IPT -A FORWARD -d 64.124.41.0/24 -j REJECT
fi
if [ "$IMESH" = "S" ]; then
$IPT -A FORWARD -d 216.35.208.0/24 -j REJECT
fi
if [ "$BEARSHARE" = "S" ]; then
$IPT -A FORWARD -p TCP --dport 6346 -j REJECT
fi
if [ "$TOADNODE" = "S" ]; then
$IPT -A FORWARD -p TCP --dport 6346 -j REJECT
fi
if [ "$WINMX" = "S" ]; then
$IPT -A FORWARD -d 209.61.186.0/24 -j REJECT
$IPT -A FORWARD -d 64.49.201.0/24 -j REJECT
fi
if [ "$NAPIGATOR" = "S" ]; then
$IPT -A FORWARD -d 209.25.178.0/24 -j REJECT
fi
if [ "$MORPHEUS" = "S" ]; then
$IPT -A FORWARD -d 206.142.53.0/24 -j REJECT
$IPT -A FORWARD -p TCP --dport 1214 -j REJECT
fi
if [ "$KAZAA" = "S" ]; then
$IPT -A FORWARD -d 213.248.112.0/24 -j REJECT
$IPT -A FORWARD -p TCP --dport 1214 -j REJECT
fi
if [ "$LIMEWIRE" = "S" ]; then
$IPT -A FORWARD -p TCP --dport 6346 -j REJECT
fi
if [ "$SEGURANCA" = "S" ]; then
# Evitando Spoofing
$IPT -A INPUT -i $NET_IFACE -s 10.0.0.0/8 -j DROP
$IPT -A INPUT -i $NET_IFACE -s 172.16.0.0/12 -j DROP
$IPT -A INPUT -i $NET_IFACE -s 192.168.0.0/16 -j DROP
$IPT -A INPUT -i $NET_IFACE -s 224.0.0.0/4 -j DROP
$IPT -A INPUT -i $NET_IFACE -s 240.0.0.0/5 -j DROP
# Proteção contra Syn-flood
$IPT -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Proteção contra port scanner
$IPT -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit \
--limit 1/s -j ACCEPT
# Proteção contra o ping da morte
$IPT -A INPUT -p icmp --icmp-type echo-request -m limit \
--limit 1/s -j ACCEPT
# Proteção contra pacotes danificados ou suspeitos
$IPT -A INPUT -m unclean -j DROP
fi
for i in `cat $MACLIST`; do
STATUS=`echo $i | cut -d ';' -f 1`
IPORIGEM=`echo $i | cut -d ';' -f 3`
MACORIGEM=`echo $i | cut -d ';' -f 2`
#Se status = a então eu libera a conexao
if [ $STATUS = "a" ]; then
$IPT -t filter -A FORWARD -d 0/0 -s $IPORIGEM -m mac --mac-source $MACORIGEM -j ACCEPT
$IPT -t filter -A FORWARD -d $IPORIGEM -s 0/0 -j ACCEPT
$IPT -t nat -A POSTROUTING -s $IPORIGEM -o $NET_IFACE -j MASQUERADE
$IPT -t filter -A INPUT -s $IPORIGEM -d 0/0 -m mac --mac-source $MACORIGEM -j ACCEPT
$IPT -t filter -A OUTPUT -s $IPORIGEM -d 0/0 -j ACCEPT
# Se for = b então bloqueia o MAC
else
$IPT -t filter -A FORWARD -m mac --mac-source $MACORIGEM -j DROP
$IPT -t filter -A INPUT -m mac --mac-source $MACORIGEM -j DROP
$IPT -t filter -A OUTPUT -m mac --mac-source $MACORIGEM -j DROP
fi
done
if [ "$TRANS" = "S" ]; then
$IPT -t nat -A PREROUTING -p tcp -m multiport -s 10.15.163.0/24 --dport 80 -j REDIRECT --to-ports 3128
fi
#Liberar MSN
$IPT -A FORWARD -p tcp --dport 1863 -j DROP #MSN
#ERRO ABAIXO
$IPT -t nat -A POSTROUTING -s 172.1.1.0/255.255.255.0 -j MASQUERADE
$IPT -t filter -A FORWARD -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
#$IPT -t filter -A FORWARD -d 172.1.1.0/255.255.255.0 -s 0/0 -j ACCEPT
#$IPT -t filter -A INPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
#$IPT -t filter -A OUTPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
echo "FIREWALL ATIVADO SISTEMA PREPARADO"
;;
stop)
$IPT -F
$IPT -Z
$IPT -t nat -F
$IPT -t filter -P FORWARD ACCEPT
echo "FIREWALL DESCARREGADO SISTEMA LIBERADO"
if [ "$BANDA" = "S" ]; then
/bin/bandlimit stop
fi
;;
restart)
$PROGRAMA stop
$PROGRAMA start
;;
esac
-
Fui invadido, o que fazer para nao acontecer?
Antes de tudo, muita calma.
O que exatamente eles invadiram? O teu servidor de e-mail? O seu servidor proxy? Passa mais informações. Creio eu que se você fechar o relay já ajuda e muito.
Abraços!
-
Fui invadido, o que fazer para nao acontecer?
O pessoal da operadora falou que o meu trafego na porta 25 estava a toda enviando email utilizando toda a banda, verifiquei depois que o sendmail estava rodando. eu utlizo aqui apenas squid, bandlimit e iptables com controle de mac, ssh. estou para instalar ainda webmail, apache e servidor pop3 e smtp com o postfix, formatei e desabilitei todos os servico que nao estou utilizando inclusive o sendmail que foi o primeiro. sera que so isto basta? tenho que botar o server em producao. troquei a senha do root tambem. vc tem msn :) o meu e [email protected]
-
Fui invadido, o que fazer para nao acontecer?
amigo, verifique qual deamon está enviando pacotes via porta 25, veja se é algum cliente da sua rede ou se é seu servidor que faz forward para todos. após identificar qual aplicação tá fazendo isso, verifique se esta aplicação foi instalada por vc ou por algun invasor. se for por vc vc deixou relay aberto e os spammers aproveitaram, se não foi por vc eles usaram alguma vulnerabilidade do seu sistema para invadí-lo e criar um spammer. boa sorte e poste os resultados.
-
Fui invadido, o que fazer para nao acontecer?
usa o tcpdump e verifique as conexoes... aqui tem um cliente que deixou a maquina dele virar zumbi... os caras tao regacando geral o link aqui... fui lah e arranquei o cabo do hub deles... o q peguei no tcpdump foi uma conexao pela porta 1025 no cliente fazendo tunelamento por dentro do meu server (porta 53) e minhas regras de fw nao surtiram nenhum efeito... estou ainda verificando que praga foi essa... 8O
-
Fui invadido, o que fazer para nao acontecer?
Galera não e os clientes wireless pois o link tava tao lento que parei minha rede restartei o server, alem do mais minha rede nao e tao grande assim, tenho apenas oito pontos(redes pequenas) compartinhando um link de 256k, isto esta vindo de fora ou pode ser alguma falha de seguranca no red hat 8, fiz um update dele coloque mais algumas regrinhas no fire e vou aguardar para o melhor.
eita, vou almocar agora. :)
-
Fui invadido, o que fazer para nao acontecer?
Se vc acredita que ataque externo, procure indícios por qual serviço vc foi invadido. Faça um teste com o nessus no host em questão que vc poderá ter alguma noção de qual sistema foi atacado...
Como vc disse que já formatou, não poderá fazer uma análise detalhada da possível invasão...
Lembre tb q o RH8 é versão descontinuada e não existe mais suporte, portanto as atualizações que efetuou (principalmente se o fez por up2date ou yum de qq repositório) com certeza estão desatualizadas... Pense com carinho em instalar uma distro atualizada dentro do "lifetime"
Para prevenir, é altamente recomendável que os pacotes que não são utilizados sejam REMOVIDOS para que não sejam utilizados no caso de uma nova invasão...
Para finalizar, não confie tanto nos usuários internos... mesmo q não tenham invadido a conduta deles pode ter sido o vetor da invasão...
QQ coisa escreva...
T+
-
Fui invadido, o que fazer para nao acontecer?
O problema continua, formatei inclui algumas regras a mais no firewall tentei outros exemplo de firewall e o link quando acesso pelo firewall fica muito lento e depois volta ao nomal, restarto o server e volta nomal e em questao de minutos fica lento novamente. tomei todo o cuidado de so colocar a maquina na rede depois que o fire estivesse rodando. rodei o tcpdump e assim que coloco o cabo do link comeca a gerar trafego . puts o que sera?
-
Fui invadido, o que fazer para nao acontecer?
Carra vc deve ter o relay aberdo do sendmail da um stop no sedmail pra ver se para o trafego...... /etc/rc.d/init.d/sendmail stop ai se for isso copia o arquivo relaydomains que ta dentro do diretorio /etc/mail/relaydomains e posta aqui pra ver como ele esta.
-
Fui invadido, o que fazer para nao acontecer?
Citação:
Postado originalmente por SerAntSou
usa o tcpdump e verifique as conexoes... aqui tem um cliente que deixou a maquina dele virar zumbi... os caras tao regacando geral o link aqui... fui lah e arranquei o cabo do hub deles... o q peguei no tcpdump foi uma conexao pela porta 1025 no cliente fazendo tunelamento por dentro do meu server (porta 53) e minhas regras de fw nao surtiram nenhum efeito... estou ainda verificando que praga foi essa... 8O
Manu, q loucura! dá uma olhada na versão do seu Bind e vê se ele tem alguma vulnerabilidade. pode ser q eles estejam usando. é uma boa também neste caso usar caching nameserver e deixar os clientes consultar dns da sua rede interna.
Abraços.
-
Fui invadido, o que fazer para nao acontecer?
Citação:
Postado originalmente por patrickcanton
Carra vc deve ter o relay aberdo do sendmail da um stop no sedmail pra ver se para o trafego...... /etc/rc.d/init.d/sendmail stop ai se for isso copia o arquivo relaydomains que ta dentro do diretorio /etc/mail/relaydomains e posta aqui pra ver como ele esta.
o sendmail foi o primeiro que foi pro espaco quando refiz a instalacao, quanto ao
relaydomains nao encontrei somentes estes:
/usr/sbin/pppoe-relay
/usr/share/doc/postfix-1.1.12/html/TLS/relaycert.html
/usr/share/doc/postfix-1.1.12/relaycert.html
/usr/share/man/man8/pppoe-relay.8.gz
/usr/src/linux-2.4.18-14/Documentation/networking/framerelay.txt
/sbin/pppoe-relay
-
Fui invadido, o que fazer para nao acontecer?
Citação:
Postado originalmente por infect
Citação:
Postado originalmente por SerAntSou
usa o tcpdump e verifique as conexoes... aqui tem um cliente que deixou a maquina dele virar zumbi... os caras tao regacando geral o link aqui... fui lah e arranquei o cabo do hub deles... o q peguei no tcpdump foi uma conexao pela porta 1025 no cliente fazendo tunelamento por dentro do meu server (porta 53) e minhas regras de fw nao surtiram nenhum efeito... estou ainda verificando que praga foi essa... 8O
Manu, q loucura! dá uma olhada na versão do seu Bind e vê se ele tem alguma vulnerabilidade. pode ser q eles estejam usando. é uma boa também neste caso usar caching nameserver e deixar os clientes consultar dns da sua rede interna.
Abraços.
Blz cara nao utilizo o bind, mais vou instalar aqui com isso vou economizar link e ganhar rapidez nas consultas atraves do server na rede loca. valeu pela dica. mais acredito que isso nao resolva meu problema.
-
Fui invadido, o que fazer para nao acontecer?
dica: tire o redhat8
eu andei testando a distro "trustix" para usar como gw e ela se saiu mto bem...
sobre o prob do sendmail..
se entendi bem, esse sendmail "apareceu" do nada... ou seja.. alguem startou o processo dele...
se realmente foi isso, algum programa q vc usa (apache, ssh ou qq outro servico que escute uma porta) está com problemas...
caso tenha paciencia, vá até www.languard.com baixe e instale esse programa.. ele nao soluciona o prob. mas te fala quais sao... precisa dee windows pra usa ele...
sabendo onde estao as falhas vc ja pode procurar as correcoes
outra dica..
NAO RODE SERVIDORES QUE VOCE NAO PRECISA!
se vc ta fazendo testes com servidores pra aprender a mexer com eles, faça-o em uma maquina separada... nao em uma de producao...
-
Fui invadido, o que fazer para nao acontecer?
Citação:
Postado originalmente por infect
Citação:
Postado originalmente por SerAntSou
usa o tcpdump e verifique as conexoes... aqui tem um cliente que deixou a maquina dele virar zumbi... os caras tao regacando geral o link aqui... fui lah e arranquei o cabo do hub deles... o q peguei no tcpdump foi uma conexao pela porta 1025 no cliente fazendo tunelamento por dentro do meu server (porta 53) e minhas regras de fw nao surtiram nenhum efeito... estou ainda verificando que praga foi essa... 8O
Manu, q loucura! dá uma olhada na versão do seu Bind e vê se ele tem alguma vulnerabilidade. pode ser q eles estejam usando. é uma boa também neste caso usar caching nameserver e deixar os clientes consultar dns da sua rede interna.
Abraços.
Nem me fale em versao do bind... isso aqui eh um server (lixo) que tah rodando tem 1 ano e q ateh hj nao foi atualizado... nem vou esquentar a kbca com ele nao, pois estou refazendo todos os servers aqui da empresa... mais uns dias e estah td pronto. Ae nois controla o trem!!! :D :D
D qq forma valeu.
-
Fui invadido, o que fazer para nao acontecer?
Cara, já falei, primeiro vc olha de onde está sendo originado o trafego na porta 25, se é diretamente do seu servidor ou se é de algum cliente seu q usa seu nat da porta 25. isso isola as possibilidades. eu vou proibir que exista servidores smtp nos hosts dos meus clientes. qualquer pc q for invadido infesta tudo com spam.
-
Invasão
Cara já tive um problema assim olha a configuração do teu SQUID os caras usam ele para mandar SPAM. Olha as tuas ACLS.
-
Re: Invasão
Citação:
Postado originalmente por wpetry
Cara já tive um problema assim olha a configuração do teu SQUID os caras usam ele para mandar SPAM. Olha as tuas ACLS.
Eu uso no padrao so alterei memoria, tamanho de cache e coloquei uma acl para acessar site direto sem usar o cache. nda mais que isso.
-
Fui invadido, o que fazer para nao acontecer?
Ae .. só uma dicazinha tmb ..
alem de tirar a merda do red hat e sendmail dai .. reveja seu firewall ... a politica correta seria "fechar tudo e abrir o que precisa"pelo que percebi apenas a police FORWARD ?? pq isso ?? e a input (po meu ?? ) e a output ??
se liga véiu .. reveja teu firewall .. logue serviços e ataques normalmente praticados e instale o minimo possivel no teu server ..
Eu rodaria um debian ou slack ai ,,, na boa !!
:lol:
-
Fui invadido, o que fazer para nao acontecer?
Citação:
Postado originalmente por Anonymous
Ae .. só uma dicazinha tmb ..
alem de tirar a merda do red hat e sendmail dai .. reveja seu firewall ... a politica correta seria "fechar tudo e abrir o que precisa"pelo que percebi apenas a police FORWARD ?? pq isso ?? e a input (po meu ?? ) e a output ??
se liga véiu .. reveja teu firewall .. logue serviços e ataques normalmente praticados e instale o minimo possivel no teu server ..
Eu rodaria um debian ou slack ai ,,, na boa !!
:lol:
Hehehe, nao fala assim nao, linux e sempre linux, vou colocar o Conectiva 10 sou iniciante e o conectiva tem farta documentacao em portugues, quanto ao sendmail foi o primeiro que foi pro espaco, o fire eu fiz isso que vc disse "dropei" tudo e estou abrindo aos poucos. meu fire comessa assim agora:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
-
Fui invadido, o que fazer para nao acontecer?
Cara, leve os seguintes fatos em consideração:
1 - Será que você foi realmente invadido? Às vezes foi algum problema que aconteceu no seu servidor ou uma configuração errônea. Talvez até um problema no teu link.
2 - Já que você tá começando agora, vai usar política DROP e vai arrumar mais pra tua cabeça.
3 - Fecha o relay do teu servidor proxy e do seu servidor de e-mail.
4 - Tira o Sendmail daí. Além de ser pesado, é inseguro. Instale Postfix.
Abraços!