Tentativa de invasão ???/ Como agir ??

[adcorp]

Quais a atitudes a ser tomadas quando se sofre tentativas de invasão ??
No meu caso eu venho sofrendo ataques de "2 redes" porem pelo que notei os as duas "redes" de mesmo IP´s (aparentemente uma pessoa de cada rede).
Meu server esta´ okey ja´ o sniffei e testei com meus amigos sua segurança.
As pessoas que atacam neste momento não me preocupam por que pelas tentativas delas elas não sabem definir nem que sistema é o server vejam alguns logs aqui.
--
200.242.49.4 - - [01/Jul/2002:21:22:11 -0300] "GET /scripts/..%c1%1c../winnt/sys
tem32/cmd.exe?/c+dir HTTP/1.0" 404 307
200.242.49.4 - - [01/Jul/2002:21:22:13 -0300] "GET /scripts/..%c0%2f../winnt/sys
tem32/cmd.exe?/c+dir HTTP/1.0" 404 307
200.242.49.4 - - [01/Jul/2002:21:22:16 -0300] "GET /scripts/..%c0%af../winnt/sys
tem32/cmd.exe?/c+dir HTTP/1.0" 404 307
200.242.49.4 - - [01/Jul/2002:21:22:16 -0300] "GET /scripts/..%c1%9c../winnt/sys
tem32/cmd.exe?/c+dir HTTP/1.0" 404 307
200.242.49.4 - - [01/Jul/2002:21:22:19 -0300] "GET /scripts/..%%35%63../winnt/sy
stem32/cmd.exe?/c+dir HTTP/1.0" 400 291
200.242.49.4 - - [01/Jul/2002:21:22:22 -0300] "GET /scripts/..%%35c../winnt/syst
em32/cmd.exe?/c+dir HTTP/1.0" 400 291
200.242.49.4 - - [01/Jul/2002:21:22:25 -0300] "GET /scripts/..%25%35%63../winnt/
system32/cmd.exe?/c+dir HTTP/1.0" 404 308
200.242.49.4 - - [01/Jul/2002:21:22:26 -0300] "GET /scripts/..%252f../winnt/syst
em32/cmd.exe?/c+dir HTTP/1.0" 404 308
----
OBS: tendo em vista que uso Linux isso nao causa efeito nenhum em mim :)
----
200.37.91.60 - - [07/Jul/2002:19:43:47 -0300] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 286
200.37.91.60 - - [07/Jul/2002:19:43:49 -0300] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 284
200.37.91.60 - - [07/Jul/2002:19:43:51 -0300] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
200.37.91.60 - - [07/Jul/2002:19:44:04 -0300] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294
200.37.91.60 - - [07/Jul/2002:19:44:10 -0300] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
200.37.91.60 - - [07/Jul/2002:19:44:17 -0300] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
200.37.91.60 - - [07/Jul/2002:19:44:20 -0300] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
------------------------------------------
Bem não sei se fiz correto, pois sou novo nisso, mas chequei(snifei) a rede dele e notei que O QUE ELE QUERIAM ENCONTRAR EM MIM ESTA NELE O PROBLEMA, ou seja´ sua rede ambas estao nada bem ::P
Bem, meu objeto é, como devo agir principalemente para uma atitude futura em um caso mais sério, me recomendaram notificar as redes mandando um email de como root do meu server para o adm do server de ambas redes.

Agradeço dede já.
<IMG SRC="images/forum/smilies/icon_confused.gif"> :)

[paulogrifo]

((
Estas tentativas de ataques foram para servidores NT com IIS.

Porém mesmo assim seria bom bloquear o acesso destes IPs.
1- um tipo de bloqueio é o de acesso a serviços:
indet -> /etc/hosts.deny
2-smtp/pop -> /etc/postfix/main.cf
3-firewall -> inclua o IP na arquivos de rules de bloqueio (acho que seu firewall provavelmente tenha um arquivo deste!.)
4->Notificar, por exemplo no site da www.snort.org, entre outros abuse.org, ... tem um monte deles.
5->Criar scripts de configuração, automatizando estas tarefas totalmente (pela análise do /var/log/message) ou manualmente (após sua verificação de ataque , vc roda o script).

...

))

[_r00tz]

O amigo paulogrifo passou boas dicas para você evitar novos problemas "vindo desses hosts", mas você pode ainda tentar descobrir de onde são essas máquinas (DNS reverso), identificar se isto está vindo de uma rede de provedor, estação de uma empresa, acesso discado etc...

Me parece que você possui algumas informações sobre as redes, pois bem, tente entrar em contato com o Administrador ou responsável técnico, reporte o problema.

Veja se consegue descobrir o domínio e identifique o responsável pela nic ou registro.br.

As máquinas podem estar infectadas com esses worms que ficam procurandos IIS´s e se uma dessas máquinas for um proxy , por exemplo, você estará bloqueando no seu firewall o acesso de alguns usuários dessas redes, a utilização de serviços da sua rede/empresa será comprometida.

Tente bloquear de inicio, entre em contato com o admin, após resolver ou identificar o que está ocorrendo e os scans pararem, libere novamente.

[adcorp]

Deixa ver se explico melhor...
Eu quero saber é como agir em termos de leis em casos como esse. O Brasil possui alguma lei que proiba ivasão, quem eu devo notificar do outro lado (digo, maquina que fez a requisicao).
sobre quem é a rede o deixar de ser não e bem o quero saber(isso eu já tenho aruivado e guardado).

[_r00tz]

As leis e projetos de leis relacionados à crimes eletrônicos no Brasil estão em http://www.modulo.com.br/pt/page_i.jsp?page=2&tipoid=16&pagecounter=0

Veja o Projeto de Lei do Senado nº 76 , de 2000 , Art 1o. IV - a modificação, a supressão de dados ou adulteração de seu conteúdo;

Teoricamente um scan ou tentativa de execução indevida de softwares do seu servidor, legalmente, caracteriza a tentativa de a modificação, a supressão de dados ou adulteração de seu conteúdo.

Creio eu que seja isso, pelo menos é o que a lei diz.

Você deveria procurar um apoio jurídico para esclarecer-lhe melhor sobre o assunto.

[Mr_Mind]

Como foi dito em cima, isso são ataques a um servidor Web IIS da Microsoft. Pois bem, como e&acute; certo e sabido o worm Code Red e outros, tentam explorar essas falha, portanto qualquer pessoa que esteja infectada pode estar a "atacar-te". Eu chego a registar milhares de ataques identicos por dia nos meus web servers!!!

Eu não sei como é a Lei/Justiça e sua aplicação no Brasil .. mas cá em Portugal demoraaaaaaaaaaaaaa muitoooooooooo e fica extremamente caro! Por isso, tenho de me safar com o que posso e tenho de aguentar os ataques! <IMG SRC="images/forum/smilies/icon_biggrin.gif">

[Valhalla]

Deixa eu ver se consigo explicar.
ESte ataque ou tentativa que vc disse que sofreu, é um problema com um trojan que se espalha automaticamente, mas como vc pode ver ele foi desenvolvido somente para servidores windows, e server para capturar a senha do root, lembra que o APACHE recentemente divulgou uma atualização de segurança? Então é p/ corrigir este problema.
No caso, se vc souber de quem são estes IPs avise pois com certeza eles não sabem que estão infectados.

Desculpe minha intromissão no assunto.
Se quiserem mais detalhes vcs podem dar uma olhada no forum da conectiva, pois vi muita gente reportando este problema lá tambem.

[MAJOR]

I...

isso me cheira a Slapper..

Manow , tu ta infectado pelo slapper..

da uma olhada la no seu /tmp .

esse virus (trojan) é um saco ..

da uma olhada no seu directorio cache do http ele se esconde la tambem!

não esquece de atualizar o Apache , isso é realmente importante!

[]os


MAJOR

[1c3m4n]

Acho que vc num leu direito o post do Paulogrifo.... isso não eh Slapper de jeito nenhum!!!
o Slapper explora vulnerabilidades do SSL... esse ai eh com toda certeza um worm que tenta explorar o IIS!!!!!!!

Tambem tive este problema, verificando os logs do apache notei que aconteciam esses erros sempre em sequencia e sempre os mesmos ips, como na companhia em que eu trabalho ja foi hackeada, tive que instalar uma ferramenta que barrasse esses espertinhos

Utilizei o tão badalado Snort e realmente fiquei surpreso com a quantidade de alertas recebidos. Mas o Snort apenas loga os alertas, ai então que entrou em cena o Guardian uma ferramenta escrita em perl que esta no propio diretorio contrib do codigo fonte do Snort, ele simplismente trabalha junto com o Snort lendo os seus logs em tempo real, na medida que um alerta é emitido pelo Snort o Guardian automaticamente barra o ip pelo firewall (no meu caso o ipchains).

[Mr_Mind]

nunca gostei desse tipo de acçoes automaticas .. mas e&acute; uma solução inteligente