[GTER] RES: RES: Bloco /20 - Milhares de tentativas de conexão porta 445 (smb)

Vinicius Trindade Gonzalez Dias vtgdias at gmail.com
Thu Apr 23 21:55:15 -03 2009


Olá kill,

Acho que um bom começo é o site que o Júlio Arruda passou ...

https://atlas.arbor.net

Uso como minha página inicial e assim estou sempre monitorando quais os top
scanned services.

-- 
Atenciosamente,
Vinicius T. G. Dias

"A password should be like a toothbrush. Use it every day; change it
regularly; and DON'T share it with friends" - USENET

"A: To be or not to be.
Q  What is the square root of 4b^2?"

"When mountains speak, wise men listen" - John Muir

2009/4/23 Kill ABC <killabc at gmail.com>

> Boa Trade Todos
>
> Eu hoje tenho uma serie de portas bloqueadas para evitar envio ou
> recebimento de porcarias (445,3127,3128,135,139, são no total 34 portas
> bloqueadas), queria saber quem mais utiliza esss bloqueios e quais portas
> estao bloqueando, pois faz tempo que nao atualizo minha lista de bloqueios
> e
> queria saber se alguma porta nova que esteja sendo utilizada por scans e
> trojans.
>
> Pois existem portas como a 445 tenho quase que constantemente requisições
> nela, ai ja bloqueio direto no router evitando de esses pacotes chegarem
> aos
> seus destinos.
>
> Como regra também tenho a porta 25 fechada, deixando liberada somente as
> minhas portas e também as portas de smtps que clientes utilizam.
>
> --
> T+_+ Kill ABC
> ICQ 36741022 - MAC OS X Leopard 10.5.6
> "O futuro tem varios nomes: para os fracos, ele é inatingível; para os
> temerosos, ele é desconhecido; para os corajosos, ele é a chance..."
>
> 2009/4/23 Filipe Thompson <listas.fthompson at live.com>
>
> > Sim, você tem razão, a questão era saber se, como os pacotes não vão
> chegar
> > ao destino, o número de tentativas pode cair gradativamente. Já passei
> por
> > problemas similares, e essa alternativa, que a princípio não resolve o
> > problema, fez com que meu atacante desistisse. Só que, no caso do amigo,
> > não
> > sabemos se é um atacante, se são vários e se de fato haveria queda de
> > tentativas em razão dos erros. Mas é uma opção.
> >
> > Então Maicon, o problema persiste? Só para garantir: você está com regras
> > de
> > firewall bem definidas e um bem configurado IDS rodando, correto? Não
> > descuide.
> >
> > --
> > Filipe Thompson
> > fthompson at live.com
> >
> > -----Mensagem original-----
> > De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]
> Em
> > nome de Edv
> > Enviada em: quinta-feira, 23 de abril de 2009 10:59
> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > Assunto: Re: [GTER] RES: Bloco /20 - Milhares de tentativas de conexão
> > porta
> > 445 (smb)
> >
> > Dependendo da origem, bloquear no destino pode simplesmente não
> funcionar,
> > pq afinal o recurso (link) já vai ter sido consumido, quando vc dropar o
> > pacote indesejado no seu roteador/firewall.
> >
> > Acho que o mais correto seria usar as communities de black-hole da sua
> > operadora...
> >
> > Julio Arruda, o que vc acha?
> >
> > até mais!
> >
> > Edv
> >
> >
> > 2009/4/23 Filipe Thompson <listas.fthompson at live.com>
> >
> > > Maicon,
> > >
> > > Certifique-se de que somente a porta 445 está recebendo essas
> > "tentativas".
> > > Faça uma análise criteriosa dos seus logs, pois se consome tanta banda,
> > não
> > > pode ser coisa boa. Caso seja somente a 445/SMB, acho que você pode
> > > considerar bloqueá-la, dropando todo o tráfego destinado a ela. E
> > continue
> > > monitorando, veja se o número de tentativas cai.
> > >
> > > --
> > > Filipe Thompson
> > > fthompson at live.com
> > >
> > > -----Mensagem original-----
> > > De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]
> > Em
> > > nome de Adailton Silva
> > > Enviada em: quarta-feira, 22 de abril de 2009 23:46
> > > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > > Assunto: Re: [GTER] Bloco /20 - Milhares de tentativas de conexão porta
> > 445
> > > (smb)
> > >
> > > Eu me preocuparia, já que se trata de um Port Scan em todos os IPs do
> seu
> > > bloco. Porta 445/TCP é o protocolo Microsoft SMB sobre TCP, usado pelo
> > > Windows para compartilhamento de rede. Ou seja, máquinas que têm porta
> > > 445/TCP abertas para a Internet têm alta probabilidade de serem
> Windows,
> > > tem
> > > boas chances de estarem vulneráveis e podem ser exploradas, etc, etc.
> > >
> > > Abs,
> > > Adailton
> > >
> > >
> > > 2009/4/22 Antonio Carlos Pina <antoniocarlospina at gmail.com>
> > >
> > > > Infelizmente pode ser normal sim.
> > > >
> > > > Existe um "ruído de fundo" na Internet devido a Scans, bots, etc que
> > > parece
> > > > muito com isso que você cita.
> > > >
> > > > Não se preocupe que muito provavelmente não é nenhum "concorrente" ou
> > > > "invasor" querendo "destruir" seu negócio, mas sim o resultado da
> > > > multiplicação dos "n" zumbis scaneando (com duplo sentido!) outros
> "n"
> > > > servidores.
> > > >
> > > > Abs
> > > >
> > > > 2009/4/22 Maicon Vinicius Nunes <nunesvn at gmail.com>
> > > >
> > > > > Boa noite, lista.
> > > > >
> > > > > Solicitamos o AS aqui na empresa (um pequeno, mas crescente ISP),
> fiz
> > > as
> > > > > configurações de BGP com a operadora, recebi as rotas, anunciei a
> > nossa
> > > e
> > > > > está tudo funcionando normalmente. O problema é o seguinte:
> > > > >
> > > > > Temos um bloco de IPS /20. Neste bloco há apenas um IP utilizado, o
> > do
> > > > > roteador. Percebi que o tráfego estava alto (em média 200kbps,
> > chegando
> > > a
> > > > > 1Mbps), mesmo sem nada conectado, e analisando, percebi que eram
> > > > tentativas
> > > > > de acesso à porta 445 (smb). Até aí tudo bem, vírus, port scan e
> > coisas
> > > > do
> > > > > gênero são normais. Ocorre que as tentativas se destinam a
> > praticamente
> > > > > todos os 4096 endereços do bloco, e são incessantes. Criei regras
> > > (usamos
> > > > > Mikrotik) para capturar todas as tentativas de acesso a qualquer IP
> > da
> > > > rede
> > > > > (menos ao roteador) e inserir o IP de origem em uma blacklist, para
> > >  que
> > > > > aquele IP não incomode mais, ao menos por um tempo. Entretanto, fiz
> > > isso
> > > > > hoje à tarde (por volta das 16hs), e agora, 21:40, a blacklist já
> tem
> > > > 48797
> > > > > endereços.
> > > > >
> > > > > Não estamos acostumados a monitorar uma faixa de IPs tão grande
> > quanto
> > > um
> > > > > /20, portanto eu pergunto aos senhores: é normal esse nível de
> > > atividade?
> > > > > Percebi que dois /25 que temos aqui não tem nenhum acesso desse
> > gênero.
> > > > > Nosso link instalado até agora é de 4MBps, e é meio preocupante
> > perder
> > > > 10%
> > > > > do link em lixo.
> > > > >
> > > > > Alguém tem alguma dica sobre o assunto?
> > > > >
> > > > > Um abraço!
> > > > >
> > > > > --
> > > > > Maicon Vinicius Nunes
> > > > > (51) 9355-1734
> > > > >
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Atenciosamente,
Vinicius T. G. Dias

"A password should be like a toothbrush. Use it every day; change it
regularly; and DON'T share it with friends" - USENET

"A: To be or not to be.
Q  What is the square root of 4b^2?"

"When mountains speak, wise men listen" - John Muir



More information about the gter mailing list