Invasão de rede de camarote again…

Povo de Deus, Novamente temos uma máquina no ar, desde 18:40h, realizando a mesma tarefa descrita no post “Assistindo a uma invasão de rede de camarote…“. A diferença é que, desta vez, pretendo disponibilizar o dump de memória e já estou escrevendo um wiki que ensina preparar o mesmo ambiente que eu fiz. Agora é esperar os acontecimentos…

Dia 03 ago. 2010

18:40 h

Máquina no ar!!

Dia 04 ago. 2010

06:26 h

Até agora o samhain não enviou qualquer mensagem. Tudo calmo. Isso pode ocorrer pelo fato do meu range de IPs talvez não ter sido scaneado pelos robôs (bots) da Internet ainda. Daqui a pouco estarei junto à máquina e direi o que ocorreu em termos de tráfego de rede. Não quero entrar nela para olhar. Vai contaminar o ambiente. Mas é fato que algo vai ocorrer. Mesmo que demore dias. Vamos esperar como se fôssemos pescadores…

06:35 h

Opa! Nova análise. Entrei na máquina base, remotamente (isso não contamina a real) e vi, nas gravações tcpdump, que houve movimento ssh a partir das 22:35 h. Então, o samhain não acusou nada ou porque foi morto com kill -9 ou porque não houve alterações na máquina. Vou tentar colher agora o log /var/log/auth.log por scp para dar uma olhada sem contaminar muito a máquina.
Colhi o log. A senha ainda é a mesma. Vejam:

Aug  4 00:01:29 server sshd[1141]: Invalid user Benutzer from 98.173.22.178

Na linha anterior já houve uma tentativa de entrada a partir dos USA. Esse camarada fez tentativas até as 00:11 h mas não chegou a entrar. Foram 32 tentativas em cerca de 10 minutos. Depois veio:

Aug  4 02:29:12 server sshd[1511]: Failed password for root from 61.129.86.186 port 65487 ssh2

Agora veio da China. Foram 5 tentativas em 1 minuto mas também não entrou. Vamos aguardar. O que acontecerá durante o dia?

09:10 h

Já no local onde está a máquina. Acabo de fazer um dump de memória, externamente, via Xen. Analisei os logs (dentro da memória) e não há novidades. O samhain também permanece quieto. Sabemos que agora é noite no hemisfério oriental e daqui a pouco será madrugada. Talvez algo ocorra. Mas um fato marcante é que ainda não houve um ataque ssh de força bruta (do tipo tentativa em massa de logins) por nenhum bot. Temos que esperar…

09:40 h

Estou notando no Iptraf que está rodando na máquina real a ocorrência de alguns pings (ICMP Echo Request). Assim, acabo de fazer um levantamento disso no arquivo que está sendo gravado pelo tcpdump. O resultado (mostrando somente até o IP de origem):

2010-08-03 19:11:45.040983 IP 220.76.200.59
2010-08-03 19:11:45.365377 IP 220.76.200.59
2010-08-03 19:14:49.230188 IP 192.168.100.20
2010-08-03 19:22:17.485984 IP 200.252.13.18
2010-08-03 19:27:26.205297 IP 60.195.124.238
2010-08-03 19:27:26.601530 IP 60.195.124.238
2010-08-03 20:22:20.046507 IP 189.107.24.115
2010-08-03 21:31:46.417342 IP 200.252.61.5
2010-08-03 23:06:29.001721 IP 200.252.67.194
2010-08-03 23:39:52.022671 IP 200.252.59.194
2010-08-04 01:01:48.582544 IP 200.252.55.9
2010-08-04 01:06:26.379342 IP 200.252.16.180
2010-08-04 03:39:29.641986 IP 61.251.176.29
2010-08-04 03:39:30.015736 IP 61.251.176.29
2010-08-04 06:09:36.519864 IP 68.169.176.89
2010-08-04 06:09:36.683012 IP 68.169.176.89
2010-08-04 06:41:36.830823 IP 80.183.103.193
2010-08-04 06:41:37.136954 IP 80.183.103.193
2010-08-04 07:33:28.368651 IP 200.252.76.101
2010-08-04 08:31:13.581548 IP 119.175.16.243
2010-08-04 08:31:13.947929 IP 119.175.16.243
2010-08-04 09:21:37.754272 IP 63.81.251.30
2010-08-04 09:21:39.806937 IP 63.81.251.30
2010-08-04 09:31:37.037950 IP 200.252.130.65

10:20 h

Só para ter uma ideia de máquinas Windows com vírus ou coisas correlatas, decidi ver os TCP resets emitidos. Veja a listagem até agora:

2010-08-03 19:04:33.674752 IP 201.240.72.50.3126 > x.x.x.x.23: [S]
2010-08-03 19:04:33.674884 IP x.x.x.x.23 > 201.240.72.50.3126: [R.]
2010-08-03 19:04:48.592490 IP 41.145.25.77.4688 > x.x.x.x.23: [S]
2010-08-03 19:04:48.592607 IP x.x.x.x.23 > 41.145.25.77.4688: [R.]
2010-08-03 19:22:17.514418 IP 200.252.13.18.1070 > x.x.x.x.445: [S]
2010-08-03 19:22:17.514532 IP x.x.x.x.445 > 200.252.13.18.1070: [R.]
2010-08-03 19:22:17.514664 IP 200.252.13.18.63371 > x.x.x.x.139: [S]
2010-08-03 19:22:17.514775 IP x.x.x.x.139 > 200.252.13.18.1071: [R.]
2010-08-03 19:22:17.514800 IP x.x.x.x.139 > 200.252.13.18.63371: [R.]
2010-08-03 19:22:17.859811 IP 200.252.13.18.63371 > x.x.x.x.139: [S]
2010-08-03 19:22:17.859922 IP x.x.x.x.139 > 200.252.13.18.1071: [R.]
2010-08-03 19:22:17.859949 IP x.x.x.x.139 > 200.252.13.18.63371: [R.]
2010-08-03 19:22:17.875350 IP 200.252.13.18.1070 > x.x.x.x.445: [S]
2010-08-03 19:22:17.875465 IP x.x.x.x.445 > 200.252.13.18.1070: [R.]
2010-08-03 19:22:18.406396 IP 200.252.13.18.1071 > x.x.x.x.139: [S]
2010-08-03 19:22:18.406510 IP x.x.x.x.139 > 200.252.13.18.1071: [R.]
2010-08-03 19:22:18.422025 IP 200.252.13.18.63371 > x.x.x.x.139: [S]
2010-08-03 19:22:18.422162 IP x.x.x.x.139 > 200.252.13.18.63371: [R.]
2010-08-03 19:22:18.531637 IP 200.252.13.18.1070 > x.x.x.x.445: [S]
2010-08-03 19:22:18.531859 IP x.x.x.x.445 > 200.252.13.18.1070: [R.]
2010-08-03 19:27:26.990938 IP 60.195.124.238.53364 > x.x.x.x.139: [S]
2010-08-03 19:27:26.991057 IP x.x.x.x.139 > 60.195.124.238.53364: [R.]
2010-08-03 19:27:27.806026 IP 60.195.124.238.53364 > x.x.x.x.139: [S]
2010-08-03 19:27:27.806141 IP x.x.x.x.139 > 60.195.124.238.53364: [R.]
2010-08-03 19:27:28.607119 IP 60.195.124.238.53364 > x.x.x.x.139: [S]
2010-08-03 19:27:28.607214 IP x.x.x.x.139 > 60.195.124.238.53364: [R.]
2010-08-03 19:27:32.993421 IP 60.195.124.238.53995 > x.x.x.x.445: [S]
2010-08-03 19:27:32.993537 IP x.x.x.x.445 > 60.195.124.238.53995: [R.]
2010-08-03 19:27:35.917854 IP 60.195.124.238.53995 > x.x.x.x.445: [S]
2010-08-03 19:27:35.917967 IP x.x.x.x.445 > 60.195.124.238.53995: [R.]
2010-08-03 20:22:20.266544 IP 189.107.24.115.12602 > x.x.x.x.445: [S]
2010-08-03 20:22:20.266697 IP x.x.x.x.445 > 189.107.24.115.12602: [R.]
2010-08-03 20:22:20.731732 IP 189.107.24.115.12602 > x.x.x.x.445: [S]
2010-08-03 20:22:20.731973 IP x.x.x.x.445 > 189.107.24.115.12602: [R.]
2010-08-03 20:22:21.273379 IP 189.107.24.115.12602 > x.x.x.x.445: [S]
2010-08-03 20:22:21.273526 IP x.x.x.x.445 > 189.107.24.115.12602: [R.]
2010-08-03 23:18:00.219049 IP 58.215.79.84.6000 > x.x.x.x.9415: [S]
2010-08-03 23:18:00.219959 IP x.x.x.x.9415 > 58.215.79.84.6000: [R.]
2010-08-03 23:31:53.948650 IP 218.175.146.176.2089 > x.x.x.x.445: [S]
2010-08-03 23:31:53.952306 IP x.x.x.x.445 > 218.175.146.176.2089: [R.]
2010-08-03 23:31:55.869555 IP 218.175.146.176.2089 > x.x.x.x.445: [S]
2010-08-03 23:31:55.869645 IP x.x.x.x.445 > 218.175.146.176.2089: [R.]
2010-08-03 23:36:48.848734 IP 200.32.172.184.3883 > x.x.x.x.445: [S]
2010-08-03 23:36:48.848844 IP x.x.x.x.445 > 200.32.172.184.3883: [R.]
2010-08-03 23:36:51.707795 IP 200.32.172.184.3883 > x.x.x.x.445: [S]
2010-08-03 23:36:51.707886 IP x.x.x.x.445 > 200.32.172.184.3883: [R.]
2010-08-03 23:39:52.264355 IP 200.252.59.194.1609 > x.x.x.x.445: [S]
2010-08-03 23:39:52.264458 IP x.x.x.x.445 > 200.252.59.194.1609: [R.]
2010-08-03 23:39:52.267255 IP 200.252.59.194.1610 > x.x.x.x.139: [S]
2010-08-03 23:39:52.267345 IP x.x.x.x.139 > 200.252.59.194.1610: [R.]
2010-08-03 23:39:52.821223 IP 200.252.59.194.1610 > x.x.x.x.139: [S]
2010-08-03 23:39:52.821315 IP x.x.x.x.139 > 200.252.59.194.1610: [R.]
2010-08-03 23:39:52.825174 IP 200.252.59.194.1609 > x.x.x.x.445: [S]
2010-08-03 23:39:52.825264 IP x.x.x.x.445 > 200.252.59.194.1609: [R.]
2010-08-03 23:39:53.604568 IP 200.252.59.194.1610 > x.x.x.x.139: [S]
2010-08-03 23:39:53.604734 IP x.x.x.x.445 > 200.252.59.194.1609: [R.]
2010-08-03 23:39:53.604761 IP x.x.x.x.139 > 200.252.59.194.1610: [R.]
2010-08-03 23:53:27.337014 IP 41.250.160.206.4127 > x.x.x.x.23: [S]
2010-08-03 23:53:27.340306 IP x.x.x.x.23 > 41.250.160.206.4127: [R.]
2010-08-03 23:58:38.434406 IP 222.186.25.143.6000 > x.x.x.x.9415: [S]
2010-08-03 23:58:38.434513 IP x.x.x.x.9415 > 222.186.25.143.6000: [R.]
2010-08-04 00:06:00.316734 IP 58.215.79.202.6000 > x.x.x.x.9415: [S]
2010-08-04 00:06:00.316832 IP x.x.x.x.9415 > 58.215.79.202.6000: [R.]
2010-08-04 00:08:21.859852 IP 196.204.141.8.3970 > x.x.x.x.1433: [S]
2010-08-04 00:08:21.859959 IP x.x.x.x.1433 > 196.204.141.8.3970: [R.]
2010-08-04 00:08:22.510285 IP 196.204.141.8.3970 > x.x.x.x.1433: [S]
2010-08-04 00:08:22.510378 IP x.x.x.x.1433 > 196.204.141.8.3970: [R.]
2010-08-04 00:08:23.275186 IP 196.204.141.8.3970 > x.x.x.x.1433: [S]
2010-08-04 00:08:23.275353 IP x.x.x.x.1433 > 196.204.141.8.3970: [R.]
2010-08-04 00:11:35.799521 IP 217.219.23.166.3094 > x.x.x.x.445: [S]
2010-08-04 00:11:35.799617 IP x.x.x.x.445 > 217.219.23.166.3094: [R.]
2010-08-04 00:47:12.982595 IP 218.56.160.61.2477 > x.x.x.x.4899: [S]
2010-08-04 00:47:12.984326 IP x.x.x.x.4899 > 218.56.160.61.2477: [R.]
2010-08-04 00:47:13.836599 IP 218.56.160.61.2477 > x.x.x.x.4899: [S]
2010-08-04 00:47:13.836691 IP x.x.x.x.4899 > 218.56.160.61.2477: [R.]
2010-08-04 00:47:14.643027 IP 218.56.160.61.2477 > x.x.x.x.4899: [S]
2010-08-04 00:47:14.643184 IP x.x.x.x.4899 > 218.56.160.61.2477: [R.]
2010-08-04 01:01:48.713103 IP 200.252.55.9.62558 > x.x.x.x.445: [S]
2010-08-04 01:01:48.713197 IP x.x.x.x.445 > 200.252.55.9.62558: [R.]
2010-08-04 01:01:48.714286 IP 200.252.55.9.62559 > x.x.x.x.139: [S]
2010-08-04 01:01:48.714401 IP x.x.x.x.139 > 200.252.55.9.62559: [R.]
2010-08-04 01:01:48.715810 IP 200.252.55.9.62560 > x.x.x.x.139: [S]
2010-08-04 01:01:48.715897 IP x.x.x.x.139 > 200.252.55.9.62560: [R.]
2010-08-04 01:01:49.190492 IP 200.252.55.9.62560 > x.x.x.x.139: [S]
2010-08-04 01:01:49.190583 IP x.x.x.x.139 > 200.252.55.9.62560: [R.]
2010-08-04 01:01:49.192387 IP 200.252.55.9.62558 > x.x.x.x.445: [S]
2010-08-04 01:01:49.192476 IP x.x.x.x.445 > 200.252.55.9.62558: [R.]
2010-08-04 01:01:49.737738 IP 200.252.55.9.62560 > x.x.x.x.139: [S]
2010-08-04 01:01:49.737840 IP x.x.x.x.139 > 200.252.55.9.62560: [R.]
2010-08-04 01:01:49.738908 IP 200.252.55.9.62558 > x.x.x.x.445: [S]
2010-08-04 01:01:49.739025 IP x.x.x.x.445 > 200.252.55.9.62558: [R.]
2010-08-04 01:01:51.597553 IP 200.252.55.9.62559 > x.x.x.x.139: [S]
2010-08-04 01:01:51.597643 IP x.x.x.x.139 > 200.252.55.9.62559: [R.]
2010-08-04 01:01:57.617015 IP 200.252.55.9.62559 > x.x.x.x.139: [S]
2010-08-04 01:01:57.617148 IP x.x.x.x.139 > 200.252.55.9.62559: [R.]
2010-08-04 01:06:32.120233 IP 200.252.16.180.20029 > x.x.x.x.445: [S]
2010-08-04 01:06:32.120327 IP x.x.x.x.445 > 200.252.16.180.20029: [R.]
2010-08-04 01:06:32.120595 IP 200.252.16.180.20030 > x.x.x.x.139: [S]
2010-08-04 01:06:32.120683 IP x.x.x.x.139 > 200.252.16.180.20030: [R.]
2010-08-04 01:06:32.671419 IP 200.252.16.180.20030 > x.x.x.x.139: [S]
2010-08-04 01:06:32.671509 IP x.x.x.x.139 > 200.252.16.180.20030: [R.]
2010-08-04 01:06:32.671920 IP 200.252.16.180.20029 > x.x.x.x.445: [S]
2010-08-04 01:06:32.672008 IP x.x.x.x.445 > 200.252.16.180.20029: [R.]
2010-08-04 01:06:33.108411 IP 200.252.16.180.20030 > x.x.x.x.139: [S]
2010-08-04 01:06:33.108526 IP x.x.x.x.139 > 200.252.16.180.20030: [R.]
2010-08-04 01:06:33.109059 IP 200.252.16.180.20029 > x.x.x.x.445: [S]
2010-08-04 01:06:33.109168 IP x.x.x.x.445 > 200.252.16.180.20029: [R.]
2010-08-04 02:13:04.460384 IP 58.57.9.44.6000 > x.x.x.x.3389: [S]
2010-08-04 02:13:04.460596 IP x.x.x.x.3389 > 58.57.9.44.6000: [R.]
2010-08-04 02:36:32.697229 IP 220.226.18.10.6000 > x.x.x.x.1433: [S]
2010-08-04 02:36:32.704499 IP x.x.x.x.1433 > 220.226.18.10.6000: [R.]
2010-08-04 03:16:03.154845 IP 59.94.130.220.9989 > x.x.x.x.139: [S]
2010-08-04 03:16:03.156371 IP x.x.x.x.139 > 59.94.130.220.9989: [R.]
2010-08-04 03:16:10.370418 IP 59.94.130.220.9989 > x.x.x.x.139: [S]
2010-08-04 03:16:10.370508 IP x.x.x.x.139 > 59.94.130.220.9989: [R.]
2010-08-04 03:39:30.377836 IP 61.251.176.29.3040 > x.x.x.x.139: [S]
2010-08-04 03:39:30.377930 IP x.x.x.x.139 > 61.251.176.29.3040: [R.]
2010-08-04 03:39:31.129670 IP 61.251.176.29.3040 > x.x.x.x.139: [S]
2010-08-04 03:39:31.129762 IP x.x.x.x.139 > 61.251.176.29.3040: [R.]
2010-08-04 03:39:32.016606 IP 61.251.176.29.3040 > x.x.x.x.139: [S]
2010-08-04 03:39:32.016710 IP x.x.x.x.139 > 61.251.176.29.3040: [R.]
2010-08-04 03:51:01.001740 IP 124.172.159.228.6000 > x.x.x.x.9415: [S]
2010-08-04 03:51:01.003497 IP x.x.x.x.9415 > 124.172.159.228.6000: [R.]
2010-08-04 03:56:48.153734 IP 74.208.197.77.4763 > x.x.x.x.5900: [S]
2010-08-04 03:56:48.156272 IP x.x.x.x.5900 > 74.208.197.77.4763: [R.]
2010-08-04 03:56:48.843364 IP 74.208.197.77.4763 > x.x.x.x.5900: [S]
2010-08-04 03:56:48.843457 IP x.x.x.x.5900 > 74.208.197.77.4763: [R.]
2010-08-04 03:56:49.389654 IP 74.208.197.77.4763 > x.x.x.x.5900: [S]
2010-08-04 03:56:49.389789 IP x.x.x.x.5900 > 74.208.197.77.4763: [R.]
2010-08-04 04:45:46.099151 IP 78.183.144.144.2131 > x.x.x.x.23: [S]
2010-08-04 04:45:46.100313 IP x.x.x.x.23 > 78.183.144.144.2131: [R.]
2010-08-04 05:10:18.061284 IP 118.168.134.220.1082 > x.x.x.x.3128: [S]
2010-08-04 05:10:18.063497 IP x.x.x.x.3128 > 118.168.134.220.1082: [R.]
2010-08-04 05:10:18.860405 IP 118.168.134.220.1082 > x.x.x.x.3128: [S]
2010-08-04 05:10:18.860497 IP x.x.x.x.3128 > 118.168.134.220.1082: [R.]
2010-08-04 05:10:19.727480 IP 118.168.134.220.1082 > x.x.x.x.3128: [S]
2010-08-04 05:10:19.727568 IP x.x.x.x.3128 > 118.168.134.220.1082: [R.]
2010-08-04 06:09:36.842784 IP 68.169.176.89.29467 > x.x.x.x.139: [S]
2010-08-04 06:09:36.842943 IP x.x.x.x.139 > 68.169.176.89.29467: [R.]
2010-08-04 06:09:37.489436 IP 68.169.176.89.29467 > x.x.x.x.139: [S]
2010-08-04 06:09:37.489527 IP x.x.x.x.139 > 68.169.176.89.29467: [R.]
2010-08-04 06:09:38.091033 IP 68.169.176.89.29467 > x.x.x.x.139: [S]
2010-08-04 06:09:38.091125 IP x.x.x.x.139 > 68.169.176.89.29467: [R.]
2010-08-04 06:09:42.849257 IP 68.169.176.89.30144 > x.x.x.x.445: [S]
2010-08-04 06:09:42.849350 IP x.x.x.x.445 > 68.169.176.89.30144: [R.]
2010-08-04 06:09:43.498862 IP 68.169.176.89.30144 > x.x.x.x.445: [S]
2010-08-04 06:09:43.498952 IP x.x.x.x.445 > 68.169.176.89.30144: [R.]
2010-08-04 06:09:44.097595 IP 68.169.176.89.30144 > x.x.x.x.445: [S]
2010-08-04 06:09:44.097685 IP x.x.x.x.445 > 68.169.176.89.30144: [R.]
2010-08-04 06:41:37.440980 IP 80.183.103.193.41973 > x.x.x.x.139: [S]
2010-08-04 06:41:37.441075 IP x.x.x.x.139 > 80.183.103.193.41973: [R.]
2010-08-04 06:41:38.250208 IP 80.183.103.193.41973 > x.x.x.x.139: [S]
2010-08-04 06:41:38.250299 IP x.x.x.x.139 > 80.183.103.193.41973: [R.]
2010-08-04 06:41:38.947670 IP 80.183.103.193.41973 > x.x.x.x.139: [S]
2010-08-04 06:41:38.947761 IP x.x.x.x.139 > 80.183.103.193.41973: [R.]
2010-08-04 06:41:43.441575 IP 80.183.103.193.42716 > x.x.x.x.445: [S]
2010-08-04 06:41:43.441665 IP x.x.x.x.445 > 80.183.103.193.42716: [R.]
2010-08-04 06:41:44.169465 IP 80.183.103.193.42716 > x.x.x.x.445: [S]
2010-08-04 06:41:44.169552 IP x.x.x.x.445 > 80.183.103.193.42716: [R.]
2010-08-04 06:41:44.962688 IP 80.183.103.193.42716 > x.x.x.x.445: [S]
2010-08-04 06:41:44.962779 IP x.x.x.x.445 > 80.183.103.193.42716: [R.]
2010-08-04 07:33:49.605152 IP 200.252.76.101.62341 > x.x.x.x.445: [S]
2010-08-04 07:33:49.605250 IP x.x.x.x.445 > 200.252.76.101.62341: [R.]
2010-08-04 07:33:49.605824 IP 200.252.76.101.62342 > x.x.x.x.139: [S]
2010-08-04 07:33:49.605911 IP x.x.x.x.139 > 200.252.76.101.62342: [R.]
2010-08-04 07:33:49.606176 IP 200.252.76.101.62343 > x.x.x.x.139: [S]
2010-08-04 07:33:49.606261 IP x.x.x.x.139 > 200.252.76.101.62343: [R.]
2010-08-04 07:33:50.086681 IP 200.252.76.101.62342 > x.x.x.x.139: [S]
2010-08-04 07:33:50.086772 IP x.x.x.x.139 > 200.252.76.101.62342: [R.]
2010-08-04 07:33:50.087365 IP 200.252.76.101.62341 > x.x.x.x.445: [S]
2010-08-04 07:33:50.087452 IP x.x.x.x.445 > 200.252.76.101.62341: [R.]
2010-08-04 07:33:50.524591 IP 200.252.76.101.62342 > x.x.x.x.139: [S]
2010-08-04 07:33:50.524759 IP x.x.x.x.139 > 200.252.76.101.62342: [R.]
2010-08-04 07:33:50.524975 IP 200.252.76.101.62341 > x.x.x.x.445: [S]
2010-08-04 07:33:50.525062 IP x.x.x.x.445 > 200.252.76.101.62341: [R.]
2010-08-04 07:33:52.604693 IP 200.252.76.101.62343 > x.x.x.x.139: [S]
2010-08-04 07:33:52.604849 IP x.x.x.x.139 > 200.252.76.101.62343: [R.]
2010-08-04 07:33:58.727620 IP 200.252.76.101.62343 > x.x.x.x.139: [S]
2010-08-04 07:33:58.727711 IP x.x.x.x.139 > 200.252.76.101.62343: [R.]
2010-08-04 08:27:13.087499 IP 122.226.223.134.6000 > x.x.x.x.9415: [S]
2010-08-04 08:27:13.088122 IP x.x.x.x.9415 > 122.226.223.134.6000: [R.]

Ao analisar a listagem anterior, lembre-se de que na máquina só há as portas 22 e 80 abertas para fora.

Estou atento ao samhaim e ao Iptraf. Vamos esperar novidades mais concretas. Assim que tiver algo, posto aqui.

10:40 h

Novidades. Movimento intenso no Iptraf. É alguém do nosso querido Brasil atancando com vontade. IP 187.50.126.38. Tudo indica que vem de São Paulo (conclusão via traceroute interrompido pela metade e whois). Mas esse IP já apareceu antes. Assim que ele terminar, posto algo aqui. Acho que não demora.

10:53 h

Parece que terminou. Fiz dumps de memória seguidos para verificar os logs lá por dentro. Foram 18 minutos de tentativas. Isso rendeu 353 tentativas. Veja a primeira e a última linha:

Aug 4 10:30:02 server sshd[2359]: Failed password for root from 187.50.126.38 port 43061 ssh2

…

Aug 4 10:48:11 server sshd[3095]: Failed password for root from 187.50.126.38 port 60030 ssh2

11:07 h

Entrou! (num bom sentido)

No post das 10:53 h eu estava procurando apenas por logins com falha. Mas, olhando com mais cuidado agora, veja:

Aug  4 10:30:10 server sshd[2366]: Accepted password for root from 187.50.126.38 port 43338 ssh2

Ou seja: esse cara tem um bot e ainda não viu que o mesmo conseguiu coletar a senha de root correta. Com certeza, mais tarde, ele vai ver e atuar. Isso se não estiver acompanhando estes posts! 🙂
O pior é que é um robô burro, porque conseguiu a senha no primeiro minuto e continuou tentando. 😀

11:37 h

Perguntas? Vão fazendo que eu vou olhando tráfego, memória etc. e vou respondendo.

12:35 h

Tudo calmo…

14:06 h

Um scan agora há pouco.

Aug  4 14:03:01 server sshd[3383]: Did not receive identification string from 200.161.99.38

14:30 h

Para o Paulo (veja lá em baixo nos comentários): uma foto do Iptraf em ação.

17:55 h

Bem, foi uma tarde calma e serena. Podemos concluir algo até aqui: quartas-feiras são dias bem seguros. Ninguém nunca lhe atacará. Nem quem já tem a sua senha de root. Bom, de noite darei uma olhadinha na situação e, havendo novidades, informo aqui. T+

22:10 h

Nenhuma novidade. Vou dormir. Amanhã voltarei a monitorar a situação. Vamos ver se acontece algo na madrugada. []s a todos!

Dia 05 ago. 2010

06:25 h

Bom dia a todos! Há pouco o milagre da vida aconteceu novamente. Veio da China. Vejam:

Aug  5 05:36:29 server sshd[4743]: Failed password for root from 219.143.125.205 port 54497 ssh2

Aug  5 05:36:35 server sshd[4746]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=219.143.125.205  user=root

Aug  5 05:36:37 server sshd[4746]: Failed password for root from 219.143.125.205 port 54843 ssh2

Aug  5 05:36:42 server sshd[4748]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=219.143.125.205  user=root

Aug  5 05:36:45 server sshd[4748]: Failed password for root from 219.143.125.205 port 55161 ssh2

Aug  5 05:36:50 server sshd[4750]: Accepted password for root from 219.143.125.205 port 55493 ssh2

Bem, até agora o samhain está quieto. Isso quer dizer que ele entrou mas nada fez de relevante. Então, como ainda está anoitecendo na China, creio que mais tarde as coisas irão esquentar. Vamos esperar mais uma vez… Mas o samhain está funcionando. Vejam o último log dele na memória:

INFO   :  [2010-08-05T04:46:15-0300] msg=<Checking>, path=</etc/samhain>

Ele ainda não enviou nada porque a sua configuração default é enviar somente eventos do nível CRIT. Volto mais tarde com novas notícias.

11:05 h

Bem, ninguém entrou efetivamente ainda. Mas vários fizeram scaneamento com nmap e similares. O nmap, no modo normal de operação (TCP scan), envia uma flag TCP Syn para a porta. Se ela responder com Syn/Ack é porque está aberta. Então, para evitar ser logado, o nmap envia um Rst para a porta.
Até o presente momento, a nossa porta 22 recebeu 133 resets de 12 máquinas diferentes. A seguir, a lista das máquinas que fizeram isso (fora as máquinas que adotaram outros tipos de procedimentos):

61.129.86.186: CN, China

91.188.59.62: LV, Latvia

94.138.164.155: IT, Italy

95.0.85.118: TR, Turkey

98.173.22.178: US, United States

115.165.163.55: VN, Vietnam

123.150.196.38: CN, China

124.31.204.185: CN, China

187.50.126.38: BR, Brazil

200.161.99.38: BR, Brazil

202.201.14.252: CN, China

219.143.125.205: CN, China

20:45 h

Boa noite pessoal. Não tivemos grandes novidades hoje. No entanto, mais uma máquina da China conseguiu o acesso à máquina. No entanto, não houve atuação da mesma, o que nos leva a crer que era mais um bot com um dono (ser humano) desatento. Veja:

Aug  5 13:44:00 server sshd[5578]: Accepted password for root from 61.164.108.149 port 51914 ssh2

O bot scaneou a rede por 16 minutos, até obter êxito. Foram 115 tentativas até o sucesso.
Será que a noite será promissora? Bem, se for, saberemos amanhã.

Dia 06 ago. 2010

09:30 h

Bom dia a todos! Desculpem o atraso. As coisas estão meio complicadas. Muitos contratempos de vida… Mas vamos às notícias.

Ontem, depois das 23 h, mais duas máquinas conseguiram obter a senha do root. Vejam:

Aug  5 23:09:58 server sshd[6635]: Accepted password for root from 209.195.11.34 port 36680 ssh2
Aug  5 23:28:10 server sshd[6686]: Accepted password for root from 95.104.114.44 port 20370 ssh2

A máquina 209.195.11.34 (USA) fez 13 tentativas até chegar à senha. Foi cerca de 1 minuto de tentativas.
A máquina 95.104.114.44 (Geórgia) foi mais interessante. Ela entrou de primeira. Tudo leva a crer que alguém já colheu a senha em algum bot e a divulgou ou, se não, fez uma ponte pela Geórgia. Ou, ainda, tinha feito uma ponte partindo da Geórgia e passando por outro lugar anteriormente.
Bem, o fato é que podem até ter entrado e navegado lá dentro. Mas, até agora, ninguém modificou nada, pois o samhain acusaria. E ele ainda está no ar, operando normalmente. Vejam a última mensagem dele que colhi no dump de memória:

INFO   :  [2010-08-06T08:49:37-0300] msg=<Checking>, path=</var/run/utmp>

No mais, hoje é sexta-feira, dia internacional da invasão. Será que rola hoje?

11:55 h

Entraram! Estão conversando lá dentro conectados a IRC. Vou publicar a conversa já já.

12:03 h

Estão procurando portas 22 abertas na rede 86.0.0.0/8 a partir da máquina. A máquina virou um bot!!!

12:28 h

A conversa (da 11:42 h às 12:27): http://www.eriberto.pro.br/files/chat_06ago_1142_1227.gz
Daqui a pouco coloco mais novidades.

12:50 h

Desculpem o desaparecimento. Perdi um pouco do controle da rede. Começaram a usar toda a banda. Fiquei sem Internet para mim. 🙂
Para corrigir o problema, fiz um HTB para controlar o tráfego. Referências: http://www.eriberto.pro.br/palestras/controle_trafego.pdf .
Vou almoçar voando e já volto. Ah, estão scaneando portas 22 na rede 94.0.0.0/8!

13:25 h

De volta do almoço.

Finalmente um e-mail do samhain! Vejam:

[2010-08-06T12:50:08-0300] server.projirradiante.com.br
CRIT : [2010-08-06T12:49:55-0300] msg=<POLICY [ReadOnly] C–I—-T->, path=</etc/shadow>, inode_old=<13300>, inode_new=<17168>, dev_old=<202,1>, dev_new=<202,1>, ctime_old=<[2010-08-03T21:34:30]>, ctime_new=<[2010-08-06T14:51:17]>, mtime_old=<[2010-08-03T21:34:30]>, mtime_new=<[2010-08-06T14:51:17]>, chksum_old=<4E3A8F642C54E0ABD1310A03A7BEFA954DC4EBEBA6349BB5>, chksum_new=<A91AC2692A353AD96F399F994CAE602A575CA16149CDDC36>,

O arquivo /etc/shadow foi modificado. Ou seja: ou trocaram a a senha de algum usuário ou adicionaram um usuário. Mas se tivessem adicionado um usuário, o arquivo /etc/passwd também teria sido alterado. Vamos conferir se há algum log no dump de memória:

# strings memoria.dd |grep passwd|grep root

Aug  6 11:51:17 server passwd[17395]: pam_unix(passwd:chauthtok): password changed for root

Agora, realmente, não sei dizer se o horário interno da máquina foi modificado também. Os horários parecem ter uma defasagem de 1 hora.
Vamos ver tudo o que ocorreu entre 11:40 e 11:59 (exceto evntos corriqueiros de cron):

# strings memoria.dd |grep "Aug  6 11:[45]"|grep -v CRON|sort -n
Aug  6 11:42:42 server crontab[17311]: (root) REPLACE (root)
Aug  6 11:42:42 server crontab[17313]: (root) LIST (root)
Aug  6 11:42:51 server crontab[17331]: (root) REPLACE (root)
Aug  6 11:42:51 server crontab[17332]: (root) LIST (root)
Aug  6 11:51:17 server passwd[17395]: pam_unix(passwd:chauthtok): password changed for root

Ok! Bem, vamos em frente!

13:47 h

As coisas aqui estão lentas. Muito tráfego e uso de CPU.
Bem, eles já trocaram a senha de root, conectaram a chat, scanearam redes etc. Acho que está na hora de derrubar o server e disponibilizar a memória. O que acham? Respondam aqui…

14:52 h

Terminado pessoal. Estavam fazendo ataques pesados e grande parte da memória foi tomada por listas de nomes de usuários e senhas (dicionários). Vou preparar tudo para download. Daqui a pouco estará disponível.

16:07 h – DOWNLOAD DA IMAGEM DA MEMÓRIA!

Disponível o dump da memória RAM em http://www.eriberto.pro.br/forense/caso_03 (8.4 MBcomprimidos, 61 MB descomprimidos).

16:46

Vai ser liberada a imagem do disco…

18:31 – DOWNLOAD DA IMAGEM DA PARTIÇÃO!

Disponível a imagem da partição que continha a máquina virtual em http://www.eriberto.pro.br/forense/caso_03 (150 MBcomprimidos, 954 MB descomprimidos).
Notem que foi utilizado swap em arquivo. Como a memória era pequena, muita coisa foi pagina em swap… 😉

Dia 07 ago. 2010

08:10 h

Bom dia a todos! O nosso caso, mesmo encerrado, continua fazendo sucesso. Isso é ótimo.
O Dicas-L publicou hoje um artigo meu sobre segurança SSH com fail2ban e samhain. Está disponível em http://dicas-l.com.br/arquivo/dando_mais_seguranca_ao_servico_ssh_com_fail2ban_e_samhain.php ou http://bit.ly/dicasl_ssh_fail2ban_samhain.
Também esqueci de falar sobre o artigo no meu wiki ensinando a fazer a máquina isca, igual à que eu fiz. Não está pronto ainda. Mas pode ser visto em http://bit.ly/iscaforense. Já dá pra montar algo com o que já tem lá.
Este será mais um caso disponível no meu wiki sobre forense (http://bit.ly/forense).
Podem continuar tirando dúvidas. Acho que os comentários neste post vão longe… E obrigado pelo interesse de todos e pelas mensagens aqui e no meu Twitter.

10:45 h

Bem, esqueci de dizer outra coisinha importante. É muita coisa pra lembrar… Este caso foi montado, dentre outras coisas, para a minha oficina do Consegi 2010 aqui em Brasília. Quem quiser ter um minicurso de forense basta se inscrever. Na verdade, não sei se ainda tem vaga.
Também, já fui convidado mais uma vez para o Latinoware. Então, vou propor, dentre outras coisas, o mesmo minicurso para lá.
E, no FISL 2011 (FISL12), acho que vou fazer uma forense ao vivo para o pessoal ver também. Já dei uma palestra de forense no FISL 2009. Mas, desta vez, não será palestra. Será pura ação!

Dia 09 ago. 2010

Hoje um amigo me alertou sobre uma mensagem postada em um forum. Aqui está ela:

http://www.istf.com.br/vb/pericia-forense/14955-assistindo-uma-invasao-de-camarote-analise-forente.html

Bem, acho que o pessoal lá no fórum não leu o post antes de comentar algo. Então, vamos lá:
- Como eu disse no post, precisava montar um caso para os meus alunos. Então, não posso fazer uma perícia completa porque, se não, estarei dando a resposta do problema a quem deverá passar alguns dias fazendo o exercício.
- Narrei o que vi para tornar interessante para quem acompanhava ao vivo. Mas não tive a menor intenção de periciar o caso enquanto narrava, pelo motivo já citado. Por isso, as informações morreram no que foi publicado.
- Quanto ao scaneamento de uma rede /8, eu estava observando tudo. Eu fiz dump de memória e vi os acontecimentos no Iptraf. Pode ser estranho um scaneamento /8 mas é incontestável. Então, com todo o respeito, afirmaram coisas com base no achismo.
- Marketing? Não tenho empresa e não faço qualquer serviço de forense para fora do Governo Federal. E fui convidado pelo Serpro, na época, para dar a palestra que eles citaram. Mais um furo de quem resolveu falar sem base…
- Bem, escrevi isso aqui como esclarecimento, uma vez que as informações postadas no referido fórum estão públicas na Internet. []s a todos.

Marcações:cracker Debian forense Forense computacional hacker intrusão defacement invasão Linux Rede redes Segurança Squeeze ssh tcpdump

109 comentários em “Invasão de rede de camarote again…”

Laercio Motta sábado, 7 agosto 2010 em 10:34

Eriberto.. Teria algum tutorial de instalação do Samhain?
Não tive tempo ainda de ver o HD, pois estou empenhado num servidor de internet..
Nunca tinha feito servidor de internet sem liberar o acesso pelo MASQUERADE no iptables
Me pidiram um servidor bem bloqueado.. Então resolvi usar o SQUID com autenticação..
Até agora tudo (ou quase) funcionando.. Não estou conseguindo acessar um simples site que tem na máquina local(Somente para administração) como eu fiz um -P (INPUT,FORWARD,OUTPUT) DROP e estou liberando via iptables de acordo somente o que precisa não está abrindo.. Pelos logs ele mostra que conectou no squid(handshake) e pediu o GET / para o site.. Mais fica parado ali.. Vou pesquisar mais.. Coisa nova é sempre assim..
Eriberto sábado, 7 agosto 2010 em 10:39

Laercio, olhe isso aqui:

http://dicas-l.com.br/arquivo/dando_mais_seguranca_ao_servico_ssh_com_fail2ban_e_samhain.php
http://www.eriberto.pro.br/wiki/index.php?title=Proxy_reverso_HTTP_com_Squid_%28vers%C3%A3o_2.6_ou_superior%29

[]s
Laercio Motta sábado, 7 agosto 2010 em 10:53

o Erro é o TCP_MISS/504… no cache.log aparece TCP connection to 192.168.10.199 failed.

Isso aparece no servidor
Estou tentando via maquina cliente acessar o 192.168.10.199 que é o apache..
Apache rodando.. Tentei o proxy reverso e num deu mto certo.. Esse proxy reverso não seria somente para conexões da maquina servidor para fora por proxy??
Eriberto sábado, 7 agosto 2010 em 12:00

Laercio,

Proxy reverso é uma máquina que fica entre qualquer servidor de rede e os clientes para evitar o contato direto entre dois. O que você falou é um proxy de forward.

Na máquina servidora, rode um tcpdump para ver se as conexões estão chegando a ela:

# tcpdump -n -i any port 80

Você pode rodar um tcpdump na máquina proxy também para ver a situação.

[]s
Guilherme sábado, 7 agosto 2010 em 13:15

Eriberto, primeiramente parabéns pelo ótimo material, gostaria de fazer algumas perguntas:

1 . A senha de root você deixou somente numeros? E com quantos caracteres?

2 . Você fez algum procedimento para que o atacante não tivesse aceso a sua rede interna? Exemplo, vlan, Caso não faça isso, isso poderia comprometer a rede com um snifer, certo?

Na verdade foram 4 perguntas, rs…

Obrigado!, Abraços!!!
Eriberto sábado, 7 agosto 2010 em 13:37

Guilherme,

Inicialmente, obrigado.

A senha era 123456. A máquina estava totalmente isolada da rede interna. Sem nenhuma possibilidade de contato. Colocar dentro da rede interna, nem pensar.

[]s
jader domingo, 8 agosto 2010 em 20:36

Eriberto, para quem gosta de análise de (network forensic) http://www.forensicswiki.org/wiki/Network_forensics, você vai liberar o dump do tcpdump, tenho certeza que tem muito artefato por lá, além de dá uma noção estática dos protocolos envolvidos, etc.

Abs

Jáder Lima
Jacó Ramos domingo, 8 agosto 2010 em 22:16

Opa Eriberto parabéns pelo post ficou ótimo, parabéns mesmo.

Analisando o dump da memória ram

Achei interessante a execução de um script: ssh-scan

Não baixei ainda a imagem do disco, mas alguem tem mais detalhes sobre o script ?

Grato.
Jacó Ramos
Eriberto domingo, 8 agosto 2010 em 23:04

Ah, pensei que ninguém fosse ver o ssh-scan…
Willian Castro segunda-feira, 9 agosto 2010 em 10:11

Olá Eriberto!

Eu configurei meu sendmail da mesma forma q vc disse mas o mesmo não está enviando e-mail para minha conta no gmail, o que pode ser ????
Eriberto segunda-feira, 9 agosto 2010 em 11:06

Willian,

Fica um pouco difícil eu saber o que pode ser… Mas você tem que iniciar dando uma olhada no log.

# cat /var/log/mail.log

[]s
stefan segunda-feira, 9 agosto 2010 em 11:11

Cara.. Como eu não tinha pensando nisso antes! hehe Sensacional o que você fez!
To analisando a ram aqui.. Interessante d+!
Parabens
Eriberto segunda-feira, 9 agosto 2010 em 11:17

Valeu Stefan. []s
Eriberto segunda-feira, 9 agosto 2010 em 11:24

Olá Jader,

Não posso liberar o dump de rede. Como eu disse no post, este é um caso que estou montando para alunos resolverem. Se eu liberar o dump de rede, eles não terão quase o que fazer.

[]s
Laercio Motta segunda-feira, 9 agosto 2010 em 14:15

Comecei a mecher novamente no forense e me deparei com o seguinte:

# mount -o loop,ro particao_sda2.dd tmp/
mount: wrong fs type, bad option, bad superblock on /dev/loop0,
missing codepage or other error
In some cases useful info is found in syslog – try
dmesg | tail or so

Acredito que alguem vai ter esse problema.. Seria porque a partição é ext4?
Meu linux que ia usar (Debian Etch) não tem suporte a ext4… So pra confirmar mesmo!
Eriberto segunda-feira, 9 agosto 2010 em 14:17

Laercio,

É Ext4. É isso mesmo. Ou problema no download. Vc conferiu o hash depois de baixar?

[]s
Laercio Motta segunda-feira, 9 agosto 2010 em 16:12

Conferi sim.. É o meu Debian que esta desatualizado..
Estava querendo atualizar.. Mais ae meu VMWare vai por agua abaixo.. 🙁
Douglas terça-feira, 10 agosto 2010 em 07:48

Eriberto, parabens pelo artigo! muito interessante!!
Lucas Timm terça-feira, 10 agosto 2010 em 11:40

Interessantíssimo.
Robson terça-feira, 10 agosto 2010 em 12:54

Caro Eriberto sua experiencia foi demais gostaria de fazer na escola onde trabalho, sou professor de segurança e este tipo de experimento é muito importante e interessante para ensinar as pessoas como se defender e a importância que o administrador de rede nas organizações, poderia me orientar como realizar um experimento como esse.
Eriberto terça-feira, 10 agosto 2010 em 16:35

Obrigado Douglas, Humberto e Lucas! É assim que descobrimos como as coisas funcionam. 🙂

[]s
Eriberto terça-feira, 10 agosto 2010 em 16:36

Olá Robson,

Quase no fim do post há o endereço das orientações, no meu wiki, sobre como fazer algo parecido.

[]s
Robson terça-feira, 10 agosto 2010 em 22:35

Obrigado, encontrei vou começar a montar meus lab’s de forense
Robson terça-feira, 10 agosto 2010 em 22:38

Posso fazer o exemplo com duas máquinas virtuais sendo uma real e outra a isca
Eriberto quarta-feira, 11 agosto 2010 em 09:05

Robson: como???? A virtual é real????
elias quarta-feira, 11 agosto 2010 em 11:36

show de bola =)

eu acho que o robson quis dizer tres maquinas: uma real, outra intermediaria acompanhando a isca dentro dela

no caso do computador ser dedicado para o experimento isso n faz mto sentido
Jeferson quarta-feira, 11 agosto 2010 em 15:26

Nossa, muito massa isso que você fez. Eu estou fazendo minha monografia sobre Perícia Computacional Forense e utilizei material seu nas minhas citações, agora depois de ver este post fiquei ainda mais empolgado. Estou em dúvida de qual distro vou usar, na sua opinião qual dessas duas seria mais interessante, o FDTK Ubuntu BR ou BackTrack? T+
Willian Castro quinta-feira, 12 agosto 2010 em 09:35

Olá eriberto! conforme eu acompanhei os logs o problema e de RELAY… parece q o gmail nao esta aceitando eu enviar e-mail direto pelo sendmail. alguma ideia ?
Wellington quinta-feira, 12 agosto 2010 em 14:47

Olá, eu achei muito interessante a idéia, a abordagem e especialmente os resultados! Fiquei impressionado com a forma como os invasores agem (também mencionado no post http://www.eriberto.pro.br/blog/?p=376), que configuraram serviços de IRC, email, proxy e relógio!! Realmente uma audácia…

Parabéns pelo post!!
Eriberto quinta-feira, 12 agosto 2010 em 19:44

Willian, só vendo os logs. Se quiser, posta aqui.

[]s
Eriberto quinta-feira, 12 agosto 2010 em 19:44

Grato Wellington!

[]s
Eriberto quinta-feira, 12 agosto 2010 em 19:45

Jeferson, BackTrack é mais completo. Mas eu analiso imagens dentro de um Debian comum mesmo. Posso fazer apt-get e tudo mais.

[]s!
Willian Castro sexta-feira, 13 agosto 2010 em 13:42

Em um terminal fiz:

$ echo “TESTE” | mail -s “TESTE” esojep@yahoo.com.br

e em outro acompanhei com um

# tail -f /var/log/mail.log

Aug 13 13:38:24 squeeze sendmail[6492]: o7DGcNaI006492: from=jep, size=46, class=0, nrcpts=1, msgid=, relay=jep@localhost
Aug 13 13:38:24 squeeze sm-mta[6493]: o7DGcO1O006493: from=, size=331, class=0, nrcpts=1, msgid=, proto=ESMTP, daemon=MTA-v4, relay=localhost [127.0.0.1]
Aug 13 13:38:24 squeeze sendmail[6492]: o7DGcNaI006492: to=esojep@yahoo.com.br, ctladdr=jep (1000/1000), delay=00:00:01, xdelay=00:00:00, mailer=relay, pri=30046, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (o7DGcO1O006493 Message accepted for delivery)
Aug 13 13:38:33 squeeze sm-mta[6495]: o7DGcO1O006493: to=, delay=00:00:09, xdelay=00:00:09, mailer=esmtp, pri=120331, relay=d.mx.mail.yahoo.com. [209.191.88.254], dsn=5.0.0, stat=Service unavailable
Aug 13 13:38:33 squeeze sm-mta[6495]: o7DGcO1O006493: o7DGcX1O006495: DSN: Service unavailable
Aug 13 13:39:16 squeeze sm-mta[6495]: o7DGcX1O006495: to=, delay=00:00:43, xdelay=00:00:43, mailer=esmtp, pri=30000, relay=squeeze.lo.net. [67.215.65.132], dsn=4.0.0, stat=Deferred: Connection timed out with squeeze.lo.net.

Alguma ideia ?
Tímido visitante anônimo quarta-feira, 18 agosto 2010 em 10:12

Vc tbm pode fazer apt-get no BackTrack4 e subsequentes.
Fábio quarta-feira, 18 agosto 2010 em 16:03

Muito interessante os dois posts. Muita informação.
Me sugiram algumas curiosidades:
– A única “falha” nesses servidores foram a senha de root fraca?
– No trecho “eu estava procurando apenas por logins com falha…”, poderia ser proposital pra tentar confundir o administrador uma “olhada rápida” no log?
– Os IPs encontrados nesses logs provavelmente são dos verdadeiros atacantes, certo?
– Nos dois servidores atacados, os atacantes mudaram a senha? Com isso eles não deixam uma pista de o servidor invadido? Com isso o adm pode retirar a máquina do ar imediatamente e o atacante perderia o servidor.

Desculpe se alguma pergunta parecer muito óbvia.
paulo quinta-feira, 19 agosto 2010 em 16:36

Eriberto voce fez com ADSL esse lab, pois eu repliquei esse ambinte aqui como meu adsl(velox), e botei a maquina virtual para receber o ip(dhcp) na faixa 10.0.0.1/24 e a real com ip fixo nessa mesma faixa, ambos estão com o internet, e configurei o modem que está roteado na dmz com o ip da maquina virtual, mas quando eu escaneio o ip publico do modem, só mostra aberta as portas do modem.

Outra dúvida é em relação ao shamain, você algum teste que se possa fazer para ver se ele está mandando alertas para o email.

[]’s
Eriberto domingo, 22 agosto 2010 em 11:14

Paulo, você tem que olhar no manual do seu roteador como fazer. Quanto ao samhain, altere alguma configuração dentro de /etc que ele vai enviar um mail. Para ver se ele enviou, veja o log /var/log/mail.log.

[]s
Eriberto domingo, 22 agosto 2010 em 11:42

Fábio,

– A única “falha” nesses servidores foram a senha de root fraca?

R: Sim.

– No trecho “eu estava procurando apenas por logins com falha…”, poderia ser proposital pra tentar confundir o administrador uma “olhada rápida” no log?

R: Não é uma boa ideia. Isso, na verdade, pela quantidade de informações despejadas em log de uma só vez, tenderia a alertar o administrador que algo está ocorrendo.

– Os IPs encontrados nesses logs provavelmente são dos verdadeiros atacantes, certo?

R: Não se pode afirmar. Muitas vezes, estando na França, pode-se utilizar uma máquina vulnerável na Colômbia para invadir outra na Brasil. Então, veremos um IP da Colômbia.

– Nos dois servidores atacados, os atacantes mudaram a senha? Com isso eles não deixam uma pista de o servidor invadido? Com isso o adm pode retirar a máquina do ar imediatamente e o atacante perderia o servidor.

R: Sim. Mas atacantes profissionais, geralmente, preservam a máquina. Não deixam indícios da invasão e voltam outras vezes para usar a máquina.

Pergunte à vontade. O blog existe para isso.

[]s
Eriberto domingo, 22 agosto 2010 em 11:43

Willian,

stat=Deferred: Connection timed out with squeeze.lo.net

Isso quer dizer que você não tem conexão com a máquina que vai receber os seus mails. Problema de rede.

[]s
Fábio terça-feira, 24 agosto 2010 em 15:33

Eriberto, obrigado pelas respostas. Inclusive uma delas delas gerou outra curiosidade:

“R: Sim. Mas atacantes profissionais, geralmente, preservam a máquina. Não deixam indícios da invasão e voltam outras vezes para usar a máquina.”

Então quer dizer que o atacante que mudou a senha provavelmente era um amador ou só queria se divertir dando trabalho ao Admin, então?
Eriberto terça-feira, 24 agosto 2010 em 17:01

Oi Fábio,

Sim, provavelmente.

[]s
Robson terça-feira, 31 agosto 2010 em 09:17

Caro eriberto,

Nesse seu projeto você colocou a maquina direto na Internet sem nenhuma proteção?

Windows XP com as configurações de Firewall padrão Microsoft é facil ser invadido por alguém querendo brincar?
Eriberto terça-feira, 31 agosto 2010 em 09:55

Robson: sim e sim.

[]s
Macedo quarta-feira, 22 setembro 2010 em 19:08

olha um atrasado no assunto aqui….mais e o seguinte eu numca usei o Xen, e quando vc fala que se preocupou muito em nao contaminar a maquina virtual…..ai fala que fazia o dump da memoria nela….pra fazer isso vc nao tem q acessar a maquina virtual?? voce fazia isso por ssh ou acessando a maquina virtual mesmo? caso nao seja como vc fez isso?
Eriberto quinta-feira, 23 setembro 2010 em 18:07

Oi Macedo,

Seguinte, lá no post explica como fazer isso. O procedimento é na máquina real. Se não tiver neste tem no outro logo em seguida.

Abração!
andre sábado, 13 novembro 2010 em 17:15

olá Eriberto eu sou de brasilia estou quase me formando em analise de sistemas,estou querendo um conselho eu gosto muito de Segurança e por isso sou muito fá em investigaçao Digital olha amigo,eu quero muito entrar pra esse mundo tao bonito e o mesmo tempo pereigoso, estou querendo um conselho sobre os livros que devo começar a estudar sobre segurança…………………

prezado amigo eu te desejo tudo de bom

e que Deus sempre ilumini vc com esse seu maravilhoso Blog
Emersom sábado, 20 novembro 2010 em 08:22

Eriberto, parabéns pelo excelente blog!
Eu gostaria de reproduzir o honeypot
Onde encontro um passo a passo para leigo?
Eriberto segunda-feira, 22 novembro 2010 em 08:54

Olá Emersom,

Obrigado pelo elogio.

Não é bem um honeypot. Mas há algo em http://eriberto.pro.br/forense .

[]s
Eriberto segunda-feira, 22 novembro 2010 em 08:56

Olá Andre,

Você deve iniciar estudando redes de computadores profundamente. Sugiro o TCP/IP Illustrated do Richard Stevens.

[]s
Vitor Luiz terça-feira, 4 janeiro 2011 em 23:37

Olá Eriberto,

Parabéns pelos seus posts, são excelentes para quem deseja iniciar o estudo me perícia forense computacional.
Gostaria de compartilhar com os demais colegas os desafios do dfrws www,dfrws.org. O desafio de 2009, por exemplo, descreve um individuo utilizando um PS3 para espalhar imagens ilícitas para o mundo todo. Vale a pena ver!

Abraço a todos