Fórum Ubuntu Linux - PT
Suporte Técnico => Internet, Redes e Segurança => Tópico iniciado por: Ricardo Ferreira em 20 de Novembro de 2007, 18:52
-
O que significa quando o Firestarter acusa um " evento sério"?
Como saber que evento foi esse?
Ele bloqueia esse evento? Seria algum tipo de invasão?
-
Todo alerta de firewall é bom ver. Provavelmente a mensagem foi gravada em algum log. Verifique se tem alguma coisa a esse respeito em:
/var/log/kern.log
/var/log/auth.log
São as pistas iniciais.
-
Tem sim.
A maioria textos imensos em .gz .
Isso tem importância?
A pasta /var armazena o que?
???
-
Ricardo
Me parece que o conteúdo da pasta /var é auto-explicativo bastando ler o nome dos arquivos. Vai numa console e digite:
ls -al /var <enter>
Irão aparecer arquivos de log, bibliotecas (Lib), spool, mail, etc. Mais detalhes aí eu teria que procurar em alguma apostila básica de Linux.
Você pode editar os arquivos de log usando o sudo gedit e dentro deles procurar algum registro parecido com aquele que te foi mostrado.
Se não me engano existem ferramentas prontas para análise de log.
-
A pasta /var armazena o que?
ela contém a maior parte dos arquivos que são gravados com freqüência pelos programas do sistema, e-mails, spool de impressora, cache, etc.
alem disso, se tu instalar um Servidor LAMP, tanto o teu Cms qto o PhpMyAdmin estarão em /var/www
espero ter ajudado em algo ;)
[ ]s
-
Tente abrir o Firestarter e vá no menu Eventos>Recarregar: pode ser que ele ainda lhe mostre os últimos eventos e você possa localizar esse em particular. Se conseguir, poste o resultado aqui pra gente dar uma olhada...
VB5
-
Recarreguei. Apareceram 33 eventos sérios.
Pessoal, meu tempo é meio curto.
Agradeço muito a ajuda, mas será que isso tem importância mesmo?
O que eu queria entender, dentro da filosofia do Firestater, é o que ele considera evento sério, e como atua partindo daí.
Isto é, quando detecta algo que considera sério, ele bloqueia, protege, põe em quarentena?
Em outras palavras, para que serve o Firestarter para um usuário doméstico, com uma única máquina, como eu?
Valeu.
-
Recarreguei. Apareceram 33 eventos sérios.
Pessoal, meu tempo é meio curto.
Agradeço muito a ajuda, mas será que isso tem importância mesmo?
O que eu queria entender, dentro da filosofia do Firestater, é o que ele considera evento sério, e como atua partindo daí.
Isto é, quando detecta algo que considera sério, ele bloqueia, protege, põe em quarentena?
Em outras palavras, para que serve o Firestarter para um usuário doméstico, com uma única máquina, como eu?
Valeu.
Bom aqui no meu Firestarter nesta aba Eventos tem o texto: Conexões Bloqueadas acima dos logs de eventos, então é o que ele bloqueou.
Veja este artigo sobre o Firestarter:
http://www.guiadohardware.net/artigos/firestarter/
-
Alarcon, na minha aba Eventos não existe essa opção Conexões Bloqueadas.
???
-
Alarcon, na minha aba Eventos não existe essa opção Conexões Bloqueadas.
???
quando falei em conexões bloqueadas quis dizer exatamente isso que mostra esta imagem:
(https://ubuntuforum-br.org/proxy.php?request=http%3A%2F%2Fimg132.imageshack.us%2Fimg132%2F2013%2Ffirewalleventoszc6.th.png&hash=5cacbc7e29cef02d8097764ebc8a5de56edf4700) (http://img132.imageshack.us/my.php?image=firewalleventoszc6.png)
Veja em Negrito o texto que me referi.
-
quando falei em conexões bloqueadas quis dizer exatamente isso que mostra esta imagem:
(https://ubuntuforum-br.org/proxy.php?request=http%3A%2F%2Fimg132.imageshack.us%2Fimg132%2F2013%2Ffirewalleventoszc6.th.png&hash=5cacbc7e29cef02d8097764ebc8a5de56edf4700) (http://img132.imageshack.us/my.php?image=firewalleventoszc6.png)
Veja em Negrito o texto que me referi.
off topic: fui olhar a janela e vi teu tema, muito bonito: qual é ele, amigo alarcon?
obrigado. [ ]s
-
off topic: fui olhar a janela e vi teu tema, muito bonito: qual é ele, amigo alarcon?
obrigado. [ ]s
Na verdade é um tema que tenho trazido do Archlinux chamado de nimbus e ele é bem completo, veja:
- Gtk engine
- Gtk theme
- Metacity theme
- Icons
o link do tema:
http://www.gnome-look.org/content/show.php/Nimbus+%28Archlinux%29?content=54893
===Editado===
Se quiser ver outras screenshots deste meu tema veja aqui:
http://ubuntuforum-pt.org/index.php/topic,23125.0.html
Foi feito para o Feisty, mas continuo usando no Gutsy.
-
continuando off topic: eu uso um muitissimo parecido, veja:
(https://ubuntuforum-br.org/proxy.php?request=http%3A%2F%2Fimg215.imageshack.us%2Fimg215%2F3005%2Fmoldeue6.th.png&hash=2153adc7c23134718d67f3d50e99ad66f4388904) (http://img215.imageshack.us/my.php?image=moldeue6.png)
vlw pela dica, e desculpe atrapalhar o raciocinio do topico, amigos
[ ]s
-
Ricardo
Já foi no Google e pesquisou? Eu fui e rodei a query "firestartarter serious events". Achei um monte de coisas mas o que me chamou a atenção foi uma "thread" do site do Ubuntu, em Ingles, que trata sobre esse assunto. Um dos participantes aponta, inclusive, uma solução.
Ver em:
http://ubuntuforums.org/showthread.php?t=438838
Pronto... viva o Google.
-
Alarcon, localizei a aba. Foi desatenção minha. ;D
A maioria das conexões bloqueadas são essas ( ocorrem muitas vezes):
Porta 68 Origem 10.13.0.1 Protocolo UDP Serviço DHCP
" 10.83.0.1 " "
Uma vez apareceram estas:
Porta 42691 Origem 124.244.88.233 Protocolo UDP Serviço Desconhecido
5800 201.53.165.182 TCP VNC
1433 201.53.152.61 TCP Ms-sql-s
Tudo nesse momento, aberto só o navegador Galeon, no fórum.
Descobri que ele bloqueia o tempo todo!
O que é tudo isso aí em cima??!!
Estarei sendo espionado? :o
-
Csat. localizei no synaptic o tal fail2ban.
Conhece?
Alguém usa?
-
Não conhecia mas pelo que consta no site o produto parece ser bom. Veja:
http://www.fail2ban.org/wiki/index.php/Main_Page
Veja os "screenshots" e o FAQ
-
Csat, vc viu minha mensagem de 19:01?
O que acha?
E VB5 e Alarcon?
Vou ver o site do fail2ban.
-
Vi sim. Os IPs que começam por 10.xx.xx não me parecem de importãncia. Quanto aos demais pode ter sido uma tentativa de ataque do tipo DDOS.
Procure no Google por: "atack through port 42691" que vai te informar muita coisa. Pelo visto o teu firewall segurou o ataque.
-
DDOS não seria para atacar grandes redes?
-
Ricardo
Até onde sei, quem ataca o faz de forma aleatória. Os atacantes lançam mecanismos de escuta de portas. Isso é a cultura geral. Como é feito eu não sei.
-
Ricardo Ferreira normalmente não me preocupo com estes avisos por que eles foram bloqueados. Se você usa ou usou o Windows com firewall ZoneAlarm, Outpost ou outro qualquer de boa qualidade terá observado que lá, quando se usava estes firewalls, eles enchiam o saco mostrando avisos de tentativa de invasão, portanto quando eu usava estes programas por lá desativava os avisos, só deixando eles bloquearem o que pensavam ser ataques ou algo do gênero, sem me avisar disso.
Estes supostos ataques podem nem ser um verdadeiro ataque, mas as regras do iptables que devem ser mais ou menos rigorosas bloqueiam algo suspeito, entretanto não significa necessariamente que seja um ataque real.
Para mim o que seria mais preocupante era um ataque ou suposto ataque não bloqueado ou que as regras do iptables impossibilitassem ou dificultassem a navegação e/ou uso do sistema e isso não acontece.
Acho que você vai entender melhor a aba eventos lendo este artigo aqui:
http://www.guiadohardware.net/artigos/firestarter/
Leia-o completamente, principalmente na parte que fala sobre a aba eventos.
-
Alarcon, o artigo é bem esclarecedor.
Na verdade não observo nenhum comportamento estranho na máquina.
Esgotou o assunto.
Obrigado a todos.
-
"Desenterrando" o assunto, já que aderi esse software por indicação de meu mestre Alarcon, gostaria de saber nessa parte "Eventos" , "conexões bloqueadas", oque quer dizer mais especificamente as marcadas em vermelho? As encontradas aqui ná máquina, são essas abaixo descritas:
Time:Dec 8 20:24:02 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:8.22.147.112 Destination:201.14.150.77 Length:387 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 20:25:36 Direction: Desconhecido In:ppp0 Out: Port:32771 Source:201.10.124.1 Destination:201.14.150.77 Length:160 TOS:0x00 Protocol:UDP Service:Sun-RPC portmap
Time:Dec 8 20:25:51 Direction: Desconhecido In:ppp0 Out: Port:32789 Source:201.10.124.1 Destination:201.14.150.77 Length:82 TOS:0x00 Protocol:UDP Service:Sun-RPC portmap
Time:Dec 8 20:26:01 Direction: Desconhecido In:ppp0 Out: Port:32791 Source:201.10.124.1 Destination:201.14.150.77 Length:160 TOS:0x00 Protocol:UDP Service:Sun-RPC portmap
Time:Dec 8 20:26:02 Direction: Desconhecido In:ppp0 Out: Port:32792 Source:201.10.124.1 Destination:201.14.150.77 Length:80 TOS:0x00 Protocol:UDP Service:Sun-RPC portmap
Time:Dec 8 20:37:49 Direction: Desconhecido In:ppp0 Out: Port:22 Source:69.60.121.63 Destination:201.14.150.77 Length:48 TOS:0x00 Protocol:TCP Service:SSH
Time:Dec 8 20:41:13 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:202.97.238.200 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 20:42:40 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:152.181.96.207 Destination:201.14.150.77 Length:374 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 20:50:23 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:124.192.194.157 Destination:201.14.150.77 Length:387 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 20:53:10 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:221.209.110.12 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 20:53:10 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:221.209.110.12 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 20:53:37 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:202.97.238.200 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 21:06:47 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:202.97.238.200 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 21:09:48 Direction: Desconhecido In:ppp0 Out: Port:5800 Source:201.14.211.66 Destination:201.14.150.77 Length:64 TOS:0x00 Protocol:TCP Service:VNC
Time:Dec 8 21:23:14 Direction: Desconhecido In:ppp0 Out: Port:5800 Source:201.14.171.243 Destination:201.14.150.77 Length:48 TOS:0x00 Protocol:TCP Service:VNC
Time:Dec 8 21:24:12 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:221.208.208.92 Destination:201.14.150.77 Length:486 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 21:32:02 Direction: Desconhecido In:ppp0 Out: Port:6588 Source:222.191.251.93 Destination:201.14.150.77 Length:40 TOS:0x00 Protocol:TCP Service:Desconhecido
Time:Dec 8 21:32:57 Direction: Desconhecido In:ppp0 Out: Port:22 Source:200.11.197.45 Destination:201.14.150.77 Length:60 TOS:0x00 Protocol:TCP Service:SSH
Time:Dec 8 21:35:43 Direction: Desconhecido In:ppp0 Out: Port:8080 Source:122.116.112.162 Destination:201.14.150.77 Length:40 TOS:0x00 Protocol:TCP Service:Webcache
Time:Dec 8 21:37:47 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:221.208.208.92 Destination:201.14.150.77 Length:486 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 21:42:16 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:221.209.110.12 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 21:42:16 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:221.209.110.12 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 21:43:01 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:53.155.212.182 Destination:201.14.150.77 Length:387 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 21:52:12 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:221.208.208.92 Destination:201.14.150.77 Length:486 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 21:52:45 Direction: Desconhecido In:ppp0 Out: Port:32803 Source:201.10.124.1 Destination:201.14.150.77 Length:91 TOS:0x00 Protocol:UDP Service:Sun-RPC portmap
Time:Dec 8 21:58:12 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:140.215.52.117 Destination:201.14.150.77 Length:374 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 22:05:51 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:221.208.208.92 Destination:201.14.150.77 Length:486 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 22:21:21 Direction: Desconhecido In:ppp0 Out: Port:5800 Source:201.14.211.41 Destination:201.14.150.77 Length:64 TOS:0x00 Protocol:TCP Service:VNC
Time:Dec 8 22:27:31 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:221.209.110.12 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 22:27:31 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:221.209.110.12 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 22:35:40 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:211.201.68.241 Destination:201.14.150.77 Length:387 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 22:35:41 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:202.97.238.200 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 22:43:35 Direction: Desconhecido In:ppp0 Out: Port:32815 Source:201.10.124.1 Destination:201.14.150.77 Length:122 TOS:0x00 Protocol:UDP Service:Sun-RPC portmap
Time:Dec 8 22:45:20 Direction: Desconhecido In:ppp0 Out: Port:1433 Source:125.127.205.194 Destination:201.14.150.77 Length:40 TOS:0x00 Protocol:TCP Service:Ms-sql-s
Time:Dec 8 22:47:04 Direction: Desconhecido In:ppp0 Out: Port:445 Source:189.12.27.38 Destination:201.14.150.77 Length:48 TOS:0x00 Protocol:TCP Service:Microsoft-ds
Time:Dec 8 23:01:12 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:202.97.238.200 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 23:01:12 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:202.97.238.200 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 23:01:59 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:61.250.88.75 Destination:201.14.150.77 Length:387 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 23:07:04 Direction: Desconhecido In:ppp0 Out: Port:6588 Source:222.191.251.93 Destination:201.14.150.77 Length:40 TOS:0x00 Protocol:TCP Service:Desconhecido
Time:Dec 8 23:12:42 Direction: Desconhecido In:ppp0 Out: Port:22 Source:203.172.235.250 Destination:201.14.150.77 Length:60 TOS:0x00 Protocol:TCP Service:SSH
Time:Dec 8 23:13:45 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:142.139.182.39 Destination:201.14.150.77 Length:374 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 23:15:09 Direction: Desconhecido In:ppp0 Out: Port: Source:58.13.155.11 Destination:201.14.150.77 Length:61 TOS:0x00 Protocol:ICMP Service:Desconhecido
Time:Dec 8 23:15:30 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:221.208.208.93 Destination:201.14.150.77 Length:486 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 23:15:30 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:221.208.208.93 Destination:201.14.150.77 Length:486 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 23:15:43 Direction: Desconhecido In:ppp0 Out: Port:1026 Source:221.209.110.12 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 23:15:43 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:221.209.110.12 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 23:16:34 Direction: Desconhecido In:ppp0 Out: Port:1433 Source:201.40.208.207 Destination:201.14.150.77 Length:48 TOS:0x00 Protocol:TCP Service:Ms-sql-s
Time:Dec 8 23:18:23 Direction: Desconhecido In:ppp0 Out: Port:8080 Source:122.116.112.163 Destination:201.14.150.77 Length:40 TOS:0x00 Protocol:TCP Service:Webcache
Time:Dec 8 23:26:41 Direction: Desconhecido In:ppp0 Out: Port:1027 Source:202.97.238.200 Destination:201.14.150.77 Length:485 TOS:0x00 Protocol:UDP Service:Desconhecido
Time:Dec 8 23:29:55 Direction: Desconhecido In:ppp0 Out: Port:2967 Source:201.14.213.34 Destination:201.14.150.77 Length:48 TOS:0x00 Protocol:TCP Service:Desconhecido
-
Sem stress pessoal.
Qualquer máquina com IP público é sujeito de tentativas pois existem máquinas procurando aleatoriamente por portas/serviços abertos.
É pra ver como o campo de batalha é. Ouvi um relato que um escritório tinha uma pasta do Windows compartilhada para a rede interna... só que configurada também com roteador de internet sem firewall. Ou seja, pasta compartilhada com o mundo. Não é toa que não conseguiam acabar com os vírus.
Segurança: Firewall + Sistema atualizado (de preferência Linux ;) )
-
Sem stress pessoal.
Qualquer máquina com IP público é sujeito de tentativas pois existem máquinas procurando aleatoriamente por portas/serviços abertos.
A minha relação de "Eventos" do Firestarter só apresenta IP da minha rede interna em função de acessos do SAMBA ou mesmo de um comando de acesso por ssh/scp e mais nada. Utilizo um MODEM SS4200 e um roteador. Em testes feitos no site grc.com todas as portas apresentaram em "stealth". Será que essa relação de tentativas de acesso apontadas na continuação dessa mensagem se deve a máquinas que estão usando somente o MODEM, sem o uso de um roteador com segurança de Firewall e NAT?