-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2005-12-25 a las 20:47 -0300, Victor Hugo dos Santos escribió:
Por otro lado, en privado me has pasado otra cuenta, pero tampoco te
Hola Carlos,
No entiendo nada de lo que están hablando.
Uds son hacker, yo quisiera ser un buen hacker.
Saludos,
Luis
----- Original Message -----
From: "Carlos E. R."
enviar; dice:
host *.edu.cu[...10] said: 450
: Helo command rejected: Host not found (in reply to RCPT TO command)) ...
Pero hay más: esa máquina ha intentado "hackearme", según el snort:
que gran colega encontraste !!! intentas ayudarlo y asi retribuí (intentando crackearte) !!!! hhehehehe
No es él, es un servidor de la universidad.
Dec 23 21:33:19 nimrodel snort: [122:3:0] (portscan) TCP Portsweep {RAW} 81.?..?251 -> 200.?.?.10
Con un grep en el log del cortafuegos lo veo:
Dec 23 21:33:10 nimrodel kernel: SFW2-INext-DROP-DEFLT IN=ppp0 OUT= MAC= SRC=200.??.??.10 DST=81.??.??.251 LEN=40 TOS=0x00 PREC=0x00 TTL=44 ID=0 DF PROTO=TCP SPT=25 DPT=25455 WINDOW=0 RES=0x00 ACK RST URGP=0 Dec 23 21:33:12 ... SPT=25 DPT=25454 Dec 23 21:33:23 ... SPT=25 DPT=25456
Ha escaneado, aparentemente, mis puertos 25454 al 25456 (que yo vea), desde el puerto 25 que es del smtp. ¿Que rayos intentan?
[**] (portscan) TCP Portsweep [**] 12/23-21:33:19.431774 81.??.??.251 -> 200.??.??.10 RAW TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:165 DF 50 72 69 6F 72 69 74 79 20 43 6F 75 6E 74 3A 20 Priority Count: 35 0A 43 6F 6E 6E 65 63 74 69 6F 6E 20 43 6F 75 5.Connection Cou 6E 74 3A 20 31 30 0A 49 50 20 43 6F 75 6E 74 3A nt: 10.IP Count: 20 31 30 0A 53 63 61 6E 6E 65 64 20 49 50 20 52 10.Scanned IP R 61 6E 67 65 3A 20 32 30 30 2E 35 35 2E 31 34 33 ange: 200.??.?? 2E 31 30 3A 38 31 2E 34 31 2E 32 30 30 2E 32 35 .10:81.??.??.25 31 0A 50 6F 72 74 2F 50 72 6F 74 6F 20 43 6F 75 1.Port/Proto Cou 6E 74 3A 20 39 0A 50 6F 72 74 2F 50 72 6F 74 6F nt: 9.Port/Proto 20 52 61 6E 67 65 3A 20 32 35 3A 32 38 38 39 32 Range: 25:28892 0A .
De todas formas, el log del snort es raro. Mi IP local era 81.??.??.251, y el log del snort dice "81.??.??.251 -> 200.??.??.10", como si fuera mi IP la que estuviera haciendo el scan. Pero eso no coincide con lo que dice el del firewall, y del cual me fio más:
SRC=200.??.?.10 DST=81.??.??.251
claro que coinciden: se te fijas bien en el registro del cortafuegos veras que tambien hay los parámetros:
"PROTO=TCP SPT=25 DPT=25455 "
o sea... se juntamos todo, tendremos:
PROTO=TCP SRC=200.??.?.10 SPT=25 DST=81.??.??.251 DPT=25455
Claro, desde el puerto 25 de la maquina remota está intentando entrar a mi puerto 25455, y el cortafuegos lo bloquea; y lo intenta en tres puertos correlativos. En cambio el snort pone:
81.?..?251 -> 200.?.?.10
que parece significar que es mi IP la que está escaneando a la remota, según la dirección de la flecha, cuando es al revés.
fijando en los flags "ACK RST " que tiene el packete podria considerar que "talvez" este sea mas una respuesta de la maquina de el a la vuestra !!!!
Si, lo pensé.
o sea, el paquete se origino en vuestra maquina en los puertos 25455, llego a la maquina de destino en el puerto 25 y este estaba te contestando con un "ACK RST" (puerto cerrado/cortafuegos/servicio abajo)
Pero vamos a ver, si es una respuesta a un intento de conexión mia, mi cortafuegos lo sabe, y tiene abierto el puerto de entrada alto para ese intento de conexión. La máquina remota está respondiendo en un puerto distinto del que el que mi maquina le mantiene abierto.
Lo único que se me ocurre es que esté reseteando la conexión fuera de plazo.
Son dos piezas distintas de software las que reportan un problema, el cortafuegos y el snort.
además, caso no fuera lo que menciono arriba, tendrías malo configurado vuestro cortafuegos, ya que estaría dejando entrar paquetes a puertos que estan cerrados y estes están llegando hasta el IDS... la idea es que llegue al IDS, solamente los paquetes que son validos, los demás, deben de ser bloqueados por el cortafuegos (DROP, RESET) del contrario, estaria procesando mucha basura...
No, el cortafuegos está bien, el snort puede ver más allá, ya lo he comprobado otras veces. Se ve muy bien si intento hacerme un mapeo desde otra máquina, el cortafuegos lo detiene, pero el snort se da cuenta.
Y aparte, si fuera yo el que estuviera escaneando, se supone que el
snort
no diría nada, ¿no?
esto depende de como lo configuraste... existe unos parámetros $EXTERNAL_NET y $HOME_NET donde vosotros especifica cuales son vuestras redes... se lo hace la reversa o se dejas el $HOME_NET en blanco, se considera vuestra red interna como peligrosas. ;-(
var HOME_NET $ppp0_ADDRESS var EXTERNAL_NET $ppp0_ADDRESS
Si, hay un error. Y lo gracioso es que eso ya lo corregí en tiempos :-(
Pero no estoy seguro del efecto de ese error, probablemente ninguno. Lo he cambiado a:
var HOME_NET $eth0_ADDRESS
Porque eso me precuparía más todavía, que yo estuviera escaneando, significaría un agujero.
mmm.. tal vez lo que tengas es una configuracion de seguridad muy altas/paranoica !!!!
No... el snort está casi por defecto. Lo unico que le he cambiado es a donde manda los logs, que para experimentar lo puse al mysql, y es una lata para descifrar.
- -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFDr+JwtTMYHG2NR9URAmR/AJ9XIWTozMlY64bvuPhtLdjfyiXUmgCfYsMd epO4Etf+1d6I6tIQhOVyRbk= =4zbL -----END PGP SIGNATURE-----
---------------------------------------------------------------------------- ----
-- Para dar de baja la suscripcisn, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com