Firestarter insiste em apresentar eventos tidos como "sérios" (em vermelho)

lsmribeiro · 19 de Agosto de 2009, 16:45

Saudações.

Mais uma vez pesquisei bastante, e não só neste forum, antes de postar.

Algo no Firestarter tem me deixado curioso. Mais curioso que até preocupado, eu acho.

Pois, bem, como diz o tópico, o Firestarter insiste em apresentar eventos tidos como "sérios" (em vermelho)... e eu não sei mais o que fazer.

Quero deixar claro que uso o meu computador para uso pessoal, cliente de redes apenas, mas deixo, em nível de testes para conhecimento próprio e possíveis aplicações futuras, alguns serviços de rede, como ssh e samba, por exemplo.

Configurei tudo corretamente, mais ou menos como manda no ends.: http://www.gdhpress.com.br/redes/leia/index.php?p=cap5-12 , exceto pela filtragem de ICMP, que eu não tinha habilitado.

-----------------------------------------------------------------------------------------------------------------------------------
O serviço que, pelo que li, é referente ao samba (DCOM-SCM), incomodou muito pela porta 135, sendo que o firewall registrava isso como "sério", mesmo depois de eu bloquear (em Políticas > Tráfego de saída) o serviço DCOM-SCM na porta 135. Entretanto, parece que diminuíram as ocorrências (em vermelho) para esses eventos após eu habilitar a opção de filtragem dos pacotes ICMP.

Acontece que, depois disso, outros eventos "sérios" tem aparecido, mas referentes ao protocolo ICMP.

Algo tem em comum em praticamente 99% dessas ocorrências que citei, tanto com relação ao DCOM-SCM quanto ao ICMP: as duas primeiras sequências do IP tido como bloqueado (afinal, é bloqueado, não?) são sempre os mesmos do meu próprio IP.

OBS.: Eu utulizo a conexão 3G da Claro pelo modem MD300 da Sony Ericsson e, quando dou um whois em qualquer um desses IP's mostrados, retorna algo como isso:

Citar% Joint Whois - whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries

% Brazilian resource: whois.registro.br

% Copyright (c) Nic.br
% The use of the data below is only permitted as described in
% full by the terms of use (http://registro.br/termo/en.html),
% being prohibited its distribution, comercialization or
% reproduction, in particular, to use it for advertising or
% any similar purpose.
% 2009-08-19 16:18:51 (BRT -03:00)

inetnum: 189.92/14
aut-num: AS22085
abuse-c: CLV199
owner: Claro S/A
ownerid: 040.432.544/0001-47
responsible: BCP SA
country: BR
owner-c: CLV199
tech-c: CLV199
inetrev: 189.93/16
nserver: ns01.3g.claro.net.br
nsstat: 20090817 a
nslastaa: 20090817
nserver: ns02.3g.claro.net.br
nsstat: 20090817 a
nslastaa: 20090817
nserver: ns03.3g.claro.net.br
nsstat: 20090817 a
nslastaa: 20090817
nserver: ns04.3g.claro.net.br
nsstat: 20090817 a
nslastaa: 20090817
created: 20080215
changed: 20080930

nic-hdl-br: CLV199
person: CLaro - Voz/Dados
e-mail: ContatoRegistro@claro.com.br
created: 20060321
changed: 20080714

% Security and mail abuse issues should also be addressed to
% cert.br, http://www.cert.br/, respectivelly to cert@cert.br
% and mail-abuse@cert.br
%
% whois.registro.br accepts only direct match queries. Types
% of queries are: domain (.br), ticket, provider, ID, CIDR
% block, IP and ASN.

Então... como faço para corrigir essa situação. A negação de serviço pela aba "Política" (estou com a opção "aplicar política imediatamente) em "Política de Trafego de Saída" parece NÃO funcionar!

No que puderem ajudar, fico grato!

Quero entender!!

Valeu
Leandro

lsmribeiro · 21 de Agosto de 2009, 01:12

meus caros

usei um site que já vi vcs orientando aqui e minhas portas deram tudo "stealth", invisiveis, ok?

mas dentre esse "inofensivos" eventos em vermelho, descobri há pouco um outro, evidentemente diferente.... issso chegou a de fato me preocupar.

pois bem:

várias tentativas de conexão (na certa um portscanner)de um mesmo ip... o 4.79.142.206

dei um whois e veio isso:

CitarOrgName: Level 3 Communications, Inc.
OrgID: LVLT
Address: 1025 Eldorado Blvd.
City: Broomfield
StateProv: CO
PostalCode: 80021
Country: US

NetRange: 4.0.0.0 - 4.255.255.255
CIDR: 4.0.0.0/8
NetName: LVLT-ORG-4-8
NetHandle: NET-4-0-0-0-1
Parent:
NetType: Direct Allocation
NameServer: NS1.LEVEL3.NET
NameServer: NS2.LEVEL3.NET
Comment:
RegDate: 1992-12-01
Updated: 2009-06-19

OrgAbuseHandle: APL8-ARIN
OrgAbuseName: Abuse POC LVLT
OrgAbusePhone: +1-877-453-8353
OrgAbuseEmail: abuse@level3.com

OrgTechHandle: ARINC4-ARIN
OrgTechName: ARIN Contact
OrgTechPhone: +1-800-436-8489
OrgTechEmail: arin-contact@genuity.com

OrgTechHandle: TPL1-ARIN
OrgTechName: Tech POC LVLT
OrgTechPhone: +1-877-453-8353
OrgTechEmail: ipaddressing@level3.com

dei um netstat -an e, a principio, so vi isso relacionado:

Citartcp 0 1 187.24.12.34:41883 4.79.142.206:4 SYN_ENVIADO

alem dum finger que ele deu, aparecer tcpmux, kerberos, pawserv, inumeros desconhecidos e *PC BACKDOOR*! foi realmente um simples portscanner ou algo que eu deva me preocupar mais?

abs

VB5 · 22 de Agosto de 2009, 23:33

Ao que parece, um usuário desse provedor ( Level 3) tentou acesso; mas se suas portas estão ocultas, não encontrou nada além ( talvez) da resposta ao ping.
É possível que ele estivesse varrendo uma faixa de IPs, e ao obter resposta ao ping, tentou... Não parece haver motivo de preocupação, mas fique atento. Sugiro rodar o rkhunter, só por segurança, e deixar o Firestarter visível para perceber logo qualquer nova tentativa; aí você pode ver se é mesmo um portscan.

VB5

lsmribeiro · 24 de Agosto de 2009, 14:10

VB5,

desde já agradeço a presteza. Vejo que vc é um dos mais participativos, um dos usuarios que mais aqui colaboram.

Como vc recomendou, instalei o rootkit hunter. Posto aí o resultado completo do log, é um pouquinho grande, se puder ler e me traduzir os alguns "warning" encontrados... trojan não tem... talvez, creio eu, vulnerabilidades na própria rede... como disse, quero usar este comp. para também "testes pessoais"... mas nem por isso preciso deixá-lo (facilmente) vulnerável... é isso aí, valeu pela dica... fico aguardando...

Citar]
leandro@pegasus:~/HK/rkhunter-1.3.4$ sudo rkhunter -c
[ Rootkit Hunter version 1.3.4 ]

Checking system commands...

Performing 'strings' command checks
Checking 'strings' command [ OK ]

Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preload file [ Not found ]
Checking LD_LIBRARY_PATH variable [ Not found ]

Performing file properties checks
Checking for prerequisites [ Warning ]
/bin/bash [ OK ]
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/cp [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
/bin/dmesg [ OK ]
/bin/echo [ OK ]
/bin/ed [ OK ]
/bin/egrep [ OK ]
/bin/fgrep [ OK ]
/bin/fuser [ OK ]
/bin/grep [ OK ]
/bin/ip [ OK ]
/bin/kill [ OK ]
/bin/login [ OK ]
/bin/ls [ OK ]
/bin/lsmod [ OK ]
/bin/mktemp [ OK ]
/bin/more [ OK ]
/bin/mount [ OK ]
/bin/mv [ OK ]
/bin/netstat [ OK ]
/bin/ps [ OK ]
/bin/pwd [ OK ]
/bin/readlink [ OK ]
/bin/sed [ OK ]
/bin/sh [ OK ]
/bin/su [ OK ]
/bin/touch [ OK ]
/bin/uname [ OK ]
/bin/which [ Warning ]
/bin/dash [ OK ]
/usr/bin/awk [ OK ]
/usr/bin/basename [ OK ]
/usr/bin/chattr [ OK ]
/usr/bin/cut [ OK ]
/usr/bin/diff [ OK ]
/usr/bin/dirname [ OK ]
/usr/bin/dpkg [ OK ]
/usr/bin/dpkg-query [ OK ]
/usr/bin/du [ OK ]
/usr/bin/env [ OK ]
/usr/bin/file [ OK ]
/usr/bin/find [ OK ]
/usr/bin/GET [ OK ]
/usr/bin/groups [ Warning ]
/usr/bin/head [ OK ]
/usr/bin/id [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/last [ OK ]
/usr/bin/lastlog [ OK ]
/usr/bin/ldd [ Warning ]
/usr/bin/less [ OK ]
/usr/bin/locate [ OK ]
/usr/bin/logger [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/lsof [ OK ]
/usr/bin/md5sum [ OK ]
/usr/bin/mlocate [ OK ]
/usr/bin/newgrp [ OK ]
/usr/bin/passwd [ OK ]
/usr/bin/perl [ OK ]
/usr/bin/pstree [ OK ]
/usr/bin/rpm [ OK ]
/usr/bin/runcon [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/size [ OK ]
/usr/bin/sort [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/strace [ OK ]
/usr/bin/strings [ OK ]
/usr/bin/sudo [ OK ]
/usr/bin/tail [ OK ]
/usr/bin/test [ OK ]
/usr/bin/top [ OK ]
/usr/bin/touch [ OK ]
/usr/bin/tr [ OK ]
/usr/bin/uniq [ OK ]
/usr/bin/users [ OK ]
/usr/bin/vmstat [ OK ]
/usr/bin/w [ OK ]
/usr/bin/watch [ OK ]
/usr/bin/wc [ OK ]
/usr/bin/wget [ OK ]
/usr/bin/whatis [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
/usr/bin/mawk [ OK ]
/usr/bin/lwp-request [ Warning ]
/usr/bin/w.procps [ OK ]
/sbin/depmod [ OK ]
/sbin/ifconfig [ OK ]
/sbin/ifdown [ OK ]
/sbin/ifup [ OK ]
/sbin/init [ OK ]
/sbin/insmod [ OK ]
/sbin/ip [ OK ]
/sbin/lsmod [ OK ]
/sbin/modinfo [ OK ]
/sbin/modprobe [ OK ]
/sbin/rmmod [ OK ]
/sbin/runlevel [ OK ]
/sbin/sulogin [ OK ]
/sbin/sysctl [ OK ]
/sbin/syslogd [ OK ]
/usr/sbin/adduser [ Warning ]
/usr/sbin/chroot [ OK ]
/usr/sbin/cron [ OK ]
/usr/sbin/groupadd [ OK ]
/usr/sbin/groupdel [ OK ]
/usr/sbin/groupmod [ OK ]
/usr/sbin/grpck [ OK ]
/usr/sbin/inetd [ OK ]
/usr/sbin/nologin [ OK ]
/usr/sbin/pwck [ OK ]
/usr/sbin/tcpd [ OK ]
/usr/sbin/useradd [ OK ]
/usr/sbin/userdel [ OK ]
/usr/sbin/usermod [ OK ]
/usr/sbin/vipw [ OK ]
/usr/local/bin/rkhunter [ OK ]

[Press <ENTER> to continue]

Checking for rootkits...

Performing check of known rootkit files and directories
55808 Trojan - Variant A [ Not found ]
ADM Worm [ Not found ]
AjaKit Rootkit [ Not found ]
aPa Kit [ Not found ]
Apache Worm [ Not found ]
Ambient (ark) Rootkit [ Not found ]
Balaur Rootkit [ Not found ]
BeastKit Rootkit [ Not found ]
beX2 Rootkit [ Not found ]
BOBKit Rootkit [ Not found ]
CiNIK Worm (Slapper.B variant) [ Not found ]
Danny-Boy's Abuse Kit [ Not found ]
Devil RootKit [ Not found ]
Dica-Kit Rootkit [ Not found ]
Dreams Rootkit [ Not found ]
Duarawkz Rootkit [ Not found ]
Enye LKM [ Not found ]
Flea Linux Rootkit [ Not found ]
FreeBSD Rootkit [ Not found ]
Fuck`it Rootkit [ Not found ]
GasKit Rootkit [ Not found ]
Heroin LKM [ Not found ]
HjC Kit [ Not found ]
ignoKit Rootkit [ Not found ]
ImperalsS-FBRK Rootkit [ Not found ]
IntoXonia-NG Rootkit [ Not found ]
Irix Rootkit [ Not found ]
Kitko Rootkit [ Not found ]
Knark Rootkit [ Not found ]
Li0n Worm [ Not found ]
Lockit / LJK2 Rootkit [ Not found ]
Mood-NT Rootkit [ Not found ]
MRK Rootkit [ Not found ]
Ni0 Rootkit [ Not found ]
Ohhara Rootkit [ Not found ]
Optic Kit (Tux) Worm [ Not found ]
Oz Rootkit [ Not found ]
Phalanx Rootkit [ Not found ]
Phalanx Rootkit (strings) [ Not found ]
Phalanx2 Rootkit [ Not found ]
Phalanx2 Rootkit (extended tests) [ Not found ]
Portacelo Rootkit [ Not found ]
R3dstorm Toolkit [ Not found ]
RH-Sharpe's Rootkit [ Not found ]
RSHA's Rootkit [ Not found ]
Scalper Worm [ Not found ]
Sebek LKM [ Not found ]
Shutdown Rootkit [ Not found ]
SHV4 Rootkit [ Not found ]
SHV5 Rootkit [ Not found ]
Sin Rootkit [ Not found ]
Slapper Worm [ Not found ]
Sneakin Rootkit [ Not found ]
Suckit Rootkit [ Not found ]
SunOS Rootkit [ Not found ]
SunOS / NSDAP Rootkit [ Not found ]
Superkit Rootkit [ Not found ]
TBD (Telnet BackDoor) [ Not found ]
TeLeKiT Rootkit [ Not found ]
T0rn Rootkit [ Not found ]
Trojanit Kit [ Not found ]
Tuxtendo Rootkit [ Not found ]
URK Rootkit [ Not found ]
Vampire Rootkit [ Not found ]
VcKit Rootkit [ Not found ]
Volc Rootkit [ Not found ]
X-Org SunOS Rootkit [ Not found ]
zaRwT.KiT Rootkit [ Not found ]

Performing additional rootkit checks
Suckit Rookit additional checks [ OK ]
Checking for possible rootkit files and directories [ None found ]
Checking for possible rootkit strings [ None found ]

Performing malware checks
Checking running processes for suspicious files [ None found ]
Checking for login backdoors [ None found ]
Checking for suspicious directories [ None found ]
Checking for sniffer log files [ None found ]

Performing trojan specific checks
Checking for enabled inetd services [ Warning ]

Performing Linux specific checks
Checking loaded kernel modules [ OK ]
Checking kernel module names [ OK ]

[Press <ENTER> to continue]

Checking the network...

Performing check for backdoor ports
Checking for UDP port 2001 [ Not found ]
Checking for TCP port 2006 [ Not found ]
Checking for TCP port 2128 [ Not found ]
Checking for TCP port 14856 [ Not found ]
Checking for TCP port 47107 [ Not found ]
Checking for TCP port 60922 [ Not found ]

Performing checks on the network interfaces
Checking for promiscuous interfaces [ None found ]

[Press <ENTER> to continue]

Checking the local host...

Performing system boot checks
Checking for local host name [ Found ]
Checking for system startup files [ Found ]
Checking system startup files for malware [ None found ]

Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ OK ]

Performing system configuration file checks
Checking for SSH configuration file [ Found ]
Checking if SSH root access is allowed [ Warning ]
Checking if SSH protocol v1 is allowed [ Not allowed ]
Checking for running syslog daemon [ Found ]
Checking for syslog configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]

Performing filesystem checks
Checking /dev for suspicious file types [ None found ]
Checking for hidden files and directories [ Warning ]

[Press <ENTER> to continue]

Checking application versions...

Checking version of GnuPG [ OK ]
Checking version of OpenSSL [ OK ]
Checking version of OpenSSH [ OK ]

System checks summary
=====================

File properties checks...
Required commands check failed
Files checked: 125
Suspect files: 5

Rootkit checks...
Rootkits checked : 114
Possible rootkits: 0

Applications checks...
Applications checked: 3
Suspect applications: 0

The system checks took: 4 minutes and 8 seconds

All results have been written to the logfile (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

VB5 · 24 de Agosto de 2009, 23:34

Citar
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Neste log você vai ter melhores informações (Sem vê⁻lo, não é possível dizer muito). Do listado, porém, seu sistema parece estar livre de rootkits: muito do que o rkhunter acusa como "aviso" não é sério, mas prefiro assim...

.

VB5

docetrago · 25 de Agosto de 2009, 21:09

Citação de: lsmribeiro online 21 de Agosto de 2009, 01:12
meus caros

usei um site que já vi vcs orientando aqui e minhas portas deram tudo "stealth", invisiveis, ok?

mas dentre esse "inofensivos" eventos em vermelho, descobri há pouco um outro, evidentemente diferente.... issso chegou a de fato me preocupar.

pois bem:

várias tentativas de conexão (na certa um portscanner)de um mesmo ip... o 4.79.142.206

Os IP's da faixa 4.79.142.192 a 4.79.142.207 são do Shields Up!

Isso ja vem explicado na primeira página do site, antes de você autorizar o teste.

docetrago · 25 de Agosto de 2009, 21:18

Citação de: VB5 online 24 de Agosto de 2009, 23:34
Citar
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Neste log você vai ter melhores informações (Sem vê⁻lo, não é possível dizer muito). Do listado, porém, seu sistema parece estar livre de rootkits: muito do que o rkhunter acusa como "aviso" não é sério, mas prefiro assim... .

VB5

Eu estava com a mesma dúvida. O tópico está sem resposta.

http://ubuntuforum-br.org/index.php/topic,54803.0.html

Pelo que pesquisei até agora, não é nada grave.

Firestarter insiste em apresentar eventos tidos como "sérios" (em vermelho)

lsmribeiro

lsmribeiro

VB5

lsmribeiro

VB5

docetrago

docetrago