Curiosity is insubordination in its purest form. -Vladimir Nabokov

lunes, 25 de octubre de 2010

La rutina diaria. Ya nos han vuelto a hacer un escaneo de puertos...

Examinando el correo enviado a traves de nullmailer, hey no hay necesidad de montar un Postfix solo para implementar un relay, aunque pase por inet. nullmailer se autentica, contra gmail en este caso.

Yo soy la 192.168.0.117 y soy escaneado por la 192.168.0.101, fwlogwatch nos alerta de ello y recibimos el correspondiente correo electronico.


fwlogwatch ALERT: 65 packet(s) from 192.168.0.101
Recibidos
X
Responder
de XXX.YYY@gmail.com
para ZZZ@vlan7.org
fecha 25 de octubre de 2010 15:16
asunto fwlogwatch ALERT: 65 packet(s) from 192.168.0.101
enviado por gmail.com
firmado por gmail.com
ocultar detalles 15:16 (1 hora antes)
fwlogwatch ALERT on sid7: 65 packet(s) from 192.168.0.101 to 192.168.0.117
65 paquetes enviados a nullmailer por el SW logcheck, que previamente habria recibido la alerta por fwlogwatch, una herramienta que a mi me funciona muy bien con Shorewall para examinar de un vistazo los logs importantes a nivel de seguridad.

No me gusta publicar MACs, asi que edito parte de los eventos syslog que nos llegan al correo, dejando solo una de las lineas, ya que despues las mostraremos con un log que nos explica a mas alto nivel, por asi decirlo, todos esos eventos de syslog a nivel kernel mediante el SW psad [port scan attack detector]

sid7.v7.XXX.es 2010-10-25 16:02 System Events
Recibidos
X
Responder
de XXX.YYY@gmail.com
para ZZZ@vlan7.org
fecha 25 de octubre de 2010 16:02
asunto sid7.v7.XXX.es 2010-10-25 16:02 System Events
enviado por gmail.com
firmado por gmail.com
ocultar detalles 16:02 (24 minutos antes)
This email is sent by logcheck. If you no longer wish to receive
such mail, you can either deinstall the logcheck package or modify
its configuration file (/etc/logcheck/logcheck.conf).

System Events
=-=-=-=-=-=-=
Oct 25 15:16:19 sid7 kernel: [104761.341511] Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=[CUT] SRC=192.168.0.101 DST=192.168.0.117 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=61700 PROTO=TCP SPT=63436 DPT=10 WINDOW=8190 RES=0x00 SYN URGP=0

[CUT]

Oct 25 15:16:20 sid7 fwlogwatch: ALERT: 65 attempts from 192.168.0.101
Oct 25 15:16:38 sid7 psad: src: 192.168.0.101 signature match: "POLICY HP JetDirect LCD commnication attempt" (sid: 568) tcp port: 9100
Oct 25 15:16:38 sid7 psad: src: 192.168.0.101 signature match: "MISC VNC communication attempt" (sid: 100202) tcp port: 5900
Oct 25 15:16:38 sid7 psad: src: 192.168.0.101 signature match: "MISC MS Terminal Server communication attempt" (sid: 100077) tcp port: 3389
Oct 25 15:16:38 sid7 psad: src: 192.168.0.101 signature match: "DOS MSDTC communication attempt" (sid: 1408) tcp port: 3372
Oct 25 15:16:38 sid7 psad: src: 192.168.0.101 signature match: "MISC Microsoft SQL Server communication attempt" (sid: 100205) tcp port: 1433
Oct 25 15:16:38 sid7 psad: scan detected: 192.168.0.101 -> 192.168.0.117 tcp: [10-10000] flags: SYN tcp pkts: 68 DL: 2
Todas las herramientas nombradas las he podido testear en un sistema corriendo Debian SID. Durante toda la entrada he enlazado las paginas oficiales de los proyectos, pero todos ellos se encuentran empaquetados en los repositorios oficiales de Debian, al menos en la rama sid. Para mas informacion siempre podremos acudir al buscador oficial de Debian.

Comentar que psad utiliza firmas del conocido IDS Snort y del venerable p0f. De vez en cuando puedo observar mensajes de syslog tal que asi:

Oct 25 21:29:44 sid7 psad: imported valid icmp types and codes
Oct 25 21:29:44 sid7 psad: imported p0f-based passive OS fingerprinting signatures
Oct 25 21:29:44 sid7 psad: imported TOS-based passive OS fingerprinting signatures
Oct 25 21:29:44 sid7 psad: imported original Snort rules in /etc/psad/snort_rules/ for reference info
Oct 25 21:29:44 sid7 psad: imported 205 psad Snort signatures from /etc/psad/signatures
A continuacion vemos un informe mas detallado en otro log similar recibido en mi correo y enviado por psad. Veremos que el FW descarta y loguea un total de 204 paquetes, que esta vez yo soy la IP 192.168.0.104 y el atacante es la 192.168.0.110 y que las caracteristicas de este log son muy similares a las del anterior, si no identicas, en las firmas detectadas por el IDS. Dos intentos de autenticacion, un intento de DoS y unos pocos sin catalogar. Todos ellos contra servicios inexistentes en mi maquina.
Este es el log recibido en el correo:

[psad-alert] DL3 src: 192.168.0.110 dst: 192.168.0.104
Recibidos X

Responder

XXX.YYY@gmail.com para usuario 
mostrar detalles 01:28 (1 hora antes)

=-=-=-=-=-=-=-=-=-=-=-= Sun Oct 31 01:28:40 2010 =-=-=-=-=-=-=-=-=-=-=-=


Danger level: [3] (out of 5)

Scanned TCP ports: [10-10000: 204 packets]
TCP flags: [SYN: 204 packets, Nmap: -sT or -sS]
iptables chain: INPUT (prefix "Shorewall:net2fw:DROP:"), 204 packets

Source: 192.168.0.110
DNS: [No reverse dns info available]

Destination: 192.168.0.104
DNS: [No reverse dns info available]

Overall scan start: Sun Oct 31 01:28:29 2010
Total email alerts: 1
Complete TCP range: [10-10000]
Syslog hostname: sid7

Global stats: chain: interface: TCP: UDP: ICMP:
INPUT eth0 204 0 0


[+] TCP scan signatures:

"POLICY HP JetDirect LCD commnication attempt"
dst port: 9100 (no server bound to local port)
flags: SYN
sid: 568
chain: INPUT
packets: 3
classtype: misc-activity

"MISC VNC communication attempt"
dst port: 5900 (no server bound to local port)
flags: SYN
psad_id: 100202
chain: INPUT
packets: 3
classtype: attempted-admin

"MISC MS Terminal Server communication attempt"
dst port: 3389 (no server bound to local port)
flags: SYN
psad_id: 100077 (derived from: 1447 1448 2418)
chain: INPUT
packets: 3
classtype: misc-activity

"DOS MSDTC communication attempt"
dst port: 3372 (no server bound to local port)
flags: SYN
sid: 1408
chain: INPUT
packets: 3
classtype: attempted-dos

"MISC Microsoft SQL Server communication attempt"
dst port: 1433 (no server bound to local port)
flags: SYN
psad_id: 100205
chain: INPUT
packets: 3
classtype: attempted-admin

[+] Whois Information (source IP):
[cut]
Recibo un total de 4 mails de este tipo, enviados los 4 de golpe en un flush de la cola de correo segun puedo comprobar en los logs de syslog, que son irrelevantes para esta entrada. Si que tengo pendiente analizar el siguiente log de /var/log/messages

Oct 31 02:01:29 sid7 kernel: [  174.732092] martian destination 0.0.0.0 from 192.168.0.110, dev eth0
Oct 31 02:01:29 sid7 kernel: [ 174.812241] martian destination 0.0.0.0 from 192.168.0.110, dev eth0
Oct 31 02:01:29 sid7 kernel: [ 174.892391] martian destination 0.0.0.0 from 192.168.0.110, dev eth0
Oct 31 02:01:29 sid7 kernel: [ 174.972541] martian destination 0.0.0.0 from 192.168.0.110, dev eth0
Oct 31 02:01:30 sid7 kernel: [ 176.068854] martian destination 0.0.0.0 from 192.168.0.110, dev eth0
Oct 31 02:01:30 sid7 kernel: [ 176.149009] martian destination 0.0.0.0 from 192.168.0.110, dev eth0
Oct 31 02:01:30 sid7 kernel: [ 176.229154] martian destination 0.0.0.0 from 192.168.0.110, dev eth0
Oct 31 02:01:30 sid7 kernel: [ 176.309299] martian destination 0.0.0.0 from 192.168.0.110, dev eth0
Si alguien conoce alguna alternativa a estos paquetes open source para detectar un escaneo de puertos se agradecen comentarios.

Suerte,

Related Posts by Categories



0 comentarios :