Firestarter- Evento sério

Iniciado por Ricardo Ferreira, 20 de Novembro de 2007, 18:52

tópico anterior - próximo tópico

Ricardo Ferreira

Csat. localizei no synaptic o tal fail2ban.

Conhece?

Alguém usa?
Vamos lutar sempre pelo software livre!

csat

Não conhecia mas pelo que consta no site o produto parece ser bom.  Veja:

http://www.fail2ban.org/wiki/index.php/Main_Page

Veja os "screenshots" e o FAQ

Csat (Ubuntu 8.04)

Linux User #205394 ** Ubuntu User #19086

Ricardo Ferreira

Csat, vc viu minha mensagem de 19:01?

O que acha?
E VB5 e Alarcon?

Vou ver o site do fail2ban.
Vamos lutar sempre pelo software livre!

csat

Vi sim.  Os IPs que começam por 10.xx.xx não me parecem de importãncia.  Quanto aos demais pode ter sido uma tentativa de ataque do tipo DDOS.

Procure no Google por:  "atack through port 42691"  que vai te informar muita coisa.  Pelo visto o teu firewall segurou o ataque.
Csat (Ubuntu 8.04)

Linux User #205394 ** Ubuntu User #19086

Ricardo Ferreira

DDOS não seria para atacar grandes redes?
Vamos lutar sempre pelo software livre!

csat

Ricardo

Até onde sei, quem ataca o faz de forma aleatória.  Os atacantes lançam mecanismos de escuta de portas.  Isso é a cultura geral.   Como é feito eu não sei.

Csat (Ubuntu 8.04)

Linux User #205394 ** Ubuntu User #19086

alarcon

#21
Ricardo Ferreira normalmente não me preocupo com estes avisos por que eles foram bloqueados. Se você usa ou usou o Windows com firewall ZoneAlarm, Outpost ou outro qualquer de boa qualidade terá observado que lá, quando se usava estes firewalls, eles enchiam o saco mostrando avisos de tentativa de invasão, portanto quando eu usava estes programas por lá desativava os avisos, só deixando eles bloquearem o que pensavam ser ataques ou algo do gênero, sem me avisar disso.

Estes supostos ataques podem nem ser um verdadeiro ataque, mas as regras do iptables que devem ser mais ou menos rigorosas bloqueiam algo suspeito, entretanto não significa necessariamente que seja um ataque real.

Para mim o que seria mais preocupante era um ataque ou suposto ataque não bloqueado ou que as regras do iptables impossibilitassem ou dificultassem a navegação e/ou uso do sistema e isso não acontece.

Acho que você vai entender melhor a aba eventos lendo este artigo aqui:
http://www.guiadohardware.net/artigos/firestarter/

Leia-o completamente, principalmente na parte que fala sobre a aba eventos.

Ricardo Ferreira

Alarcon, o artigo é bem esclarecedor.

Na verdade não observo nenhum comportamento estranho na máquina.

Esgotou o assunto.

Obrigado a todos.
Vamos lutar sempre pelo software livre!

Marcopolo

"Desenterrando" o assunto, já que aderi esse software por indicação de meu mestre Alarcon, gostaria de saber nessa parte "Eventos" , "conexões bloqueadas", oque quer dizer mais especificamente as marcadas em vermelho? As encontradas aqui ná máquina, são essas abaixo descritas:

Time:Dec  8 20:24:02 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:8.22.147.112 Destination:201.14.150.77 Length:387 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 20:25:36 Direction: Desconhecido In:ppp0 Out: Port:32771 Source:201.10.124.1 Destination:201.14.150.77 Length:160 TOS:0x00 Protocol:UDP Service:Sun-RPC portmap
Time:Dec  8 20:25:51 Direction: Desconhecido In:ppp0 Out: Port:32789 Source:201.10.124.1 Destination:201.14.150.77 Length:82 TOS:0x00 Protocol:UDP Service:Sun-RPC portmap
Time:Dec  8 20:26:01 Direction: Desconhecido In:ppp0 Out: Port:32791 Source:201.10.124.1 Destination:201.14.150.77 Length:160 TOS:0x00 Protocol:UDP Service:Sun-RPC portmap
Time:Dec  8 20:26:02 Direction: Desconhecido In:ppp0 Out: Port:32792 Source:201.10.124.1 Destination:201.14.150.77 Length:80 TOS:0x00 Protocol:UDP Service:Sun-RPC portmap
Time:Dec  8 20:37:49 Direction: Desconhecido In:ppp0 Out: Port:22 Source:69.60.121.63 Destination:201.14.150.77 Length:48 TOS:0x00 Protocol:TCP Service:SSH
Time:Dec  8 20:41:13 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:202.97.238.200 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 20:42:40 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:152.181.96.207 Destination:201.14.150.77 Length:374 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 20:50:23 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:124.192.194.157 Destination:201.14.150.77 Length:387 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 20:53:10 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:221.209.110.12 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 20:53:10 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:221.209.110.12 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 20:53:37 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:202.97.238.200 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 21:06:47 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:202.97.238.200 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 21:09:48 Direction: Desconhecido In:ppp0 Out: Port:5800 Source:201.14.211.66 Destination:201.14.150.77 Length:64 TOS:0x00 Protocol:TCP Service:VNC
Time:Dec  8 21:23:14 Direction: Desconhecido In:ppp0 Out: Port:5800 Source:201.14.171.243 Destination:201.14.150.77 Length:48 TOS:0x00 Protocol:TCP Service:VNC
Time:Dec  8 21:24:12 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:221.208.208.92 Destination:201.14.150.77 Length:486 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 21:32:02 Direction: Desconhecido In:ppp0 Out: Port:6588 Source:222.191.251.93 Destination:201.14.150.77 Length:40 TOS:0x00 Protocol:TCP Service:Desconhecido
Time:Dec  8 21:32:57 Direction: Desconhecido In:ppp0 Out: Port:22 Source:200.11.197.45 Destination:201.14.150.77 Length:60 TOS:0x00 Protocol:TCP Service:SSH
Time:Dec  8 21:35:43 Direction: Desconhecido In:ppp0 Out: Port:8080 Source:122.116.112.162 Destination:201.14.150.77 Length:40 TOS:0x00 Protocol:TCP Service:Webcache
Time:Dec  8 21:37:47 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:221.208.208.92 Destination:201.14.150.77 Length:486 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 21:42:16 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:221.209.110.12 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 21:42:16 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:221.209.110.12 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 21:43:01 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:53.155.212.182 Destination:201.14.150.77 Length:387 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 21:52:12 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:221.208.208.92 Destination:201.14.150.77 Length:486 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 21:52:45 Direction: Desconhecido In:ppp0 Out: Port:32803 Source:201.10.124.1 Destination:201.14.150.77 Length:91 TOS:0x00 Protocol:UDP Service:Sun-RPC portmap
Time:Dec  8 21:58:12 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:140.215.52.117 Destination:201.14.150.77 Length:374 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 22:05:51 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:221.208.208.92 Destination:201.14.150.77 Length:486 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 22:21:21 Direction: Desconhecido In:ppp0 Out: Port:5800 Source:201.14.211.41 Destination:201.14.150.77 Length:64 TOS:0x00 Protocol:TCP Service:VNC
Time:Dec  8 22:27:31 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:221.209.110.12 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 22:27:31 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:221.209.110.12 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 22:35:40 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:211.201.68.241 Destination:201.14.150.77 Length:387 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 22:35:41 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:202.97.238.200 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 22:43:35 Direction: Desconhecido In:ppp0 Out: Port:32815 Source:201.10.124.1 Destination:201.14.150.77 Length:122 TOS:0x00 Protocol:UDP Service:Sun-RPC portmap
Time:Dec  8 22:45:20 Direction: Desconhecido In:ppp0 Out: Port:1433 Source:125.127.205.194 Destination:201.14.150.77 Length:40 TOS:0x00 Protocol:TCP Service:Ms-sql-s
Time:Dec  8 22:47:04 Direction: Desconhecido In:ppp0 Out: Port:445 Source:189.12.27.38 Destination:201.14.150.77 Length:48 TOS:0x00 Protocol:TCP Service:Microsoft-ds
Time:Dec  8 23:01:12 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:202.97.238.200 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 23:01:12 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:202.97.238.200 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 23:01:59 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:61.250.88.75 Destination:201.14.150.77 Length:387 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 23:07:04 Direction: Desconhecido In:ppp0 Out: Port:6588 Source:222.191.251.93 Destination:201.14.150.77 Length:40 TOS:0x00 Protocol:TCP Service:Desconhecido
Time:Dec  8 23:12:42 Direction: Desconhecido In:ppp0 Out: Port:22 Source:203.172.235.250 Destination:201.14.150.77 Length:60 TOS:0x00 Protocol:TCP Service:SSH
Time:Dec  8 23:13:45 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:142.139.182.39 Destination:201.14.150.77 Length:374 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 23:15:09 Direction: Desconhecido In:ppp0 Out: Port: Source:58.13.155.11 Destination:201.14.150.77 Length:61 TOS:0x00 Protocol:ICMP Service:Desconhecido
Time:Dec  8 23:15:30 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:221.208.208.93 Destination:201.14.150.77 Length:486 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 23:15:30 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:221.208.208.93 Destination:201.14.150.77 Length:486 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 23:15:43 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:221.209.110.12 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 23:15:43 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:221.209.110.12 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 23:16:34 Direction: Desconhecido In:ppp0 Out: Port:1433 Source:201.40.208.207 Destination:201.14.150.77 Length:48 TOS:0x00 Protocol:TCP Service:Ms-sql-s
Time:Dec  8 23:18:23 Direction: Desconhecido In:ppp0 Out: Port:8080 Source:122.116.112.163 Destination:201.14.150.77 Length:40 TOS:0x00 Protocol:TCP Service:Webcache
Time:Dec  8 23:26:41 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:202.97.238.200 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec  8 23:29:55 Direction: Desconhecido In:ppp0 Out: Port:2967 Source:201.14.213.34 Destination:201.14.150.77 Length:48 TOS:0x00 Protocol:TCP Service:Desconhecido
Desktop, Intel Core i7, 64 bits, Win11 e Ubuntu 20.04 LTS, SSD 240 GB, 8 GB. s. Vaio 15S 8GB -SSD 240 GB,Ubuntu 20.04, LTS, Mint Cinnamon. Mini PC Blitz Woif com Ubuntu 22.04 LTS e Mint 20.1
Ubuntu 24.04 LTS em um SSD Sata III com 240GB.

agente100gelo

Sem stress pessoal.

Qualquer máquina com IP público é sujeito de tentativas pois existem máquinas procurando aleatoriamente por portas/serviços abertos.

É pra ver como o campo de batalha é. Ouvi um relato que um escritório tinha uma pasta do Windows compartilhada para a rede interna... só que configurada também com roteador de internet sem firewall. Ou seja, pasta compartilhada com o mundo. Não é toa que não conseguiam acabar com os vírus.

Segurança: Firewall + Sistema atualizado (de preferência Linux ;) )
Advogado e analista de sistema cearense.
Twitter: @glaydson

csat

Citação de: agente100gelo online 08 de Dezembro de 2007, 23:46
Sem stress pessoal.

Qualquer máquina com IP público é sujeito de tentativas pois existem máquinas procurando aleatoriamente por portas/serviços abertos.


A minha relação de "Eventos" do Firestarter só apresenta IP da minha rede interna em função de acessos do SAMBA ou mesmo de um comando de acesso por ssh/scp e mais nada.  Utilizo um MODEM SS4200 e um roteador.  Em testes feitos no site grc.com todas as portas apresentaram em "stealth".  Será que essa relação de tentativas de acesso apontadas na continuação dessa mensagem se deve a máquinas que estão usando somente o MODEM, sem o uso de um roteador com segurança de Firewall e NAT?
Csat (Ubuntu 8.04)

Linux User #205394 ** Ubuntu User #19086