DIEGO SOUZA – IGOR ANTÔNIO

DISCIPLINA: SEGURANÇA DE REDES DE COMPUTADORES

UNIVERSIDADE ESTÁCIO DE SÁ

PÓS-GRADUAÇÃO

RIO DE JANEIRO 2011

DIEGO SOUZA – IGOR ANTÔNIO

TEMA: ANALISE DE LOGS

Trabalho apresentado à disciplina

Segurança de redes de computadores,

professor Sergio Franco

UNIVERSIDADE ESTÁCIO DE SÁ

PÓS-GRADUAÇÃO

RIO DE JANEIRO

2011

a)O que é CAIS ?

A Rede Nacional de Ensino e Pesquisa (RNP) atua na detecção, resolução e

prevenção de incidentes de segurança na rede RNP2 através de seu Centro de

Atendimento as Incidentes de Segurança (CAIS). Criado em 1997, o CAIS também divulga

informações e alertas de segurança e participa de organismos internacionais na área.

b)O que é Bot ?

Bot é um programa capaz de se propagar automaticamente, explorando

vulnerabilidades existentes ou falhas na configuração de softwares instalados em um

computador. Adicionalmente ao Worm, dispõe de mecanismos de comunicação com o

invasor, permitindo que o Bot seja controlado remotamente. Normalmente, o Bot se

conecta a um servidor de IRC (Internet Relay Chat) e entra em um canal (sala)

determinado. Então, ele aguarda por instruções do invasor, monitorando as mensagens

que estão sendo enviadas para este canal. O invasor, ao se conectar ao mesmo servidor de

IRC e entrar no mesmo canal, envia mensagens compostas por seqüencias especiais de

caracteres, que são interpretadas pelo Bot. Esta seqüencia de caracteres correspondem a

instruções que devem ser executadas pelo Bot.

c)O que é botnet ?

Botnet é um termo genérico para um conjunto de softwares “robotizados”,

apelidados por bots, que são executados automaticamente e de forma anônima. Este

termo também é utilizado quando um grupo de computadores, tipicamente vinte ou mais

são comprometidos (chamados computadores zombies) por um conjunto de software

maliciosos tais como: vírus, cavalo de troia , worms ou backdoors, os autores desses

ataques fazem isso de forma distribuída com intuito de burlar a identificação da origem

dos ataques bem como produzir ataques de negação de serviço distribuído (DDOS-

Distributed Deny of Service) desestabilizando serviços da internet tais como: Web e

serviços de correio(e-mail). Além disso o botnet também pode ser organizado com intuito

de distribuir spywares ou adwares e coletar as informações armazenadas, para o caso

específico dos spywares, e obter dados provativos do usuário .Ao serem obtidas estas

informações dos usuários, elas podem ser utilizadas com finalidades de mala direta,

conhecidos também como e-mail comerciais não solicitados ou SPAM.

O Conficker é um worm que utiliza técnicas de Botnet. No seu que de atuação

estima-se que mais de 10 milhões de computadores tenham feito parte de rede de

atuação deste worm com a geração de 10 bilhões de SPAM por dia.

d)Qual a maneira mais provável para que os sistemas em questão sejam analisados para

identificar o problema?(Metodologia)

Analisando trafego de rede de entrada e saída com o sotfware wireshark ou

outros analisadores.(http://www.securitytube.net/video/432)

e)Qual a maneira mais provável de solucionar o problema ? (Procedimentos)

Após analisar de onde está partindo o problema, verificando o trafego de rede, já

tendo o nome do bot, pesquisar melhores removedores para o determinado bot, atualizar

o sistema operacional, utilizar um antibot e antivírus, utilizar IPS.

2-a) O que são CBL e SPAMHAUS ?

CBL(composite blocking list) –

Lista de bloqueio composta em redes de computadores, o Composite Blocking Lista

(CBL) é uma lista de black hole de suspeita de spam enviando infecções ao computador.A

CBL tem seus dados de origem de spamtraps muito grande / infraestruturas de e-mail, e

apenas listas IPs apresentam características tais como:

• Proxies abertos de vários tipos (HTTP, socks, AnalogX, wingate, etc)

• Worms / vírus / botnets que faz o seu próprio correio de transmissão direta, ou estão

de outra maneira participando de uma botnet.

• Cavalo de Tróia ou "stealth" spamware.

Existem tentativas para evitar a CBL servidores listagem de e- mail, mas alguns erros de

configuração de servidores de correio pode tornar o sistema parece estar infectada (por

exemplo, os servidores que enviar HELO com 'localhost' ou de um domínio semelhante

incorreto). Entradas expiram automaticamente após um período de tempo. A CBL não

fornece acesso do público às provas recolhidas. CBL dados são usados em Spamhaus lista

XBL.

SPAMHAUS

O Projeto Spamhaus é uma organização internacional sem fins lucrativos cuja

missão é acompanhar as operações de spam da Internet e as fontes, para fornecer seguro

de proteção anti-spam em tempo real para redes de Internet, para trabalhar com as

autoridades policiais para identificar e perseguir gangues de spam em todo o mundo, e

para pressionar o governo para a legislação anti-spam eficaz.

Fundada em 1998, Spamhaus é baseada em Genebra, na Suíça e é executado por

uma equipe dedicada de 38 investigadores e especialistas forenses localizada em 10

países. A Spamhaus mantém uma série de bloqueio de spam em tempo real usando

bancos de dados ("DNSBLs ' ) responsável pela manutenção de volta a grande maioria do

spam enviado na internet. Estes incluem a Lista de Bloqueios Spamhaus (SBL), a Lista de

Bloqueios Exploits (XBL), a Lista de Bloqueios Política (PBL) e da Lista de Bloqueios de

Domínio (DBL). DNSBLs Spamhaus são hoje utilizados pela maioria dos provedores da

Internet E-mail Service, Empresas, Universidades, Governos e redes Militar.

B)Neste caso podemos usar o site http://www.spamhaus.org/query onde colocamos o IP

do servidor suspeito, e lá buscamos na blocklist se o servidor se encontra ou não nela.

Ex:

C) Caso o servidor esteja na blacklist por engano ,ou o problema de disparo de Spam já

esteja solucionado basta pedir a removação do IP no site:

3-O arquivo anexo, mostra o acess.log de um servidor web Apache de uma organização

que sofreu o cadastro de centenas de formulários contendo palavrões e ofensas nos

mais diversos campos.O nome do formulário preenchido pelo impostor era

"cadastro.php" e o endereço IP do Gateway é 200.100.50.65. Responda

a)Qual o dia e período do evento malicioso?

01/Nov/2011:15:51:40 até [01/Nov/2011:16:05:59]

b)Qual o nome do programa que cadastrava os dados deste formulário?

inserir.php

c)Qual ou quais, segundo sua análise, os possíveis endereços IP origem do ataque do

impostor

200.245.207.8

d)A qual provedor este impostor deve ser associado ?

corporativo.gvt.net.br [187.58.22.226]

e) Que providencias poderia ser tomada?

Após identificar o endereço IP do invasor, seria necessário negar tudo que vem do

IP dele, outra coisa é imediatamente fazer uma configuração para proteger os diretório do

web apache, instalar todos os patchs , deixar todo servidor atualizado e fazer um

hardening do servidor.

f)O que mais você pode acrescentar sobre o evento ?

O Evento foi uma invasão real, e freqüentemente acontece esse tipo de ataque, de

PHP injection , também é comum acontecer o SQL injection.

Questão 4 :

Esse passo é útil para utilização do (Debian) como servidor de Firewall, proxy

(Squid) e DHCP e recebe notificações de incidentes de segurança do CAIS da RNP.

O objetivo é a Identificação e eliminação da fonte da possível infecção.

1 – Acesse o firewall (servidor) com um usuário com permissão de root. No Linux isso pode

ser feito com o comando abaixo. Caso seja Windows pode-se utilizar o programa putty.

# ssh usuario@firewall.ifpi.edu.brEste endereço de e-mail está protegido contra spambots.

Você deve habilitar o JavaScript para visualizá-lo.

Ex: ssh nsaraiva@10.0.0.254Este endereço de e-mail está protegido contra spambots.

Você deve habilitar o JavaScript para visualizá-lo.

2 – Com o acesso ao firewall, a primeira coisa é localizar o computador que possivelmente

está infectado por algum malware ou pertence a alguma botnet. De início, verifique o log

enviado pela equipe do CAIS da RNP.

"Data e hora UTC+0","IP do bot","Porta

origem","ASN","Pais","Estado","Cidade","Hostname","IP_BlockList","UDP/TCP","Tipo de

infeccao","URL de conexao","Agente HTTP","IP CC","Porta CC","ASN CC","Pais CC","DNS

Reverso CC","Nro de conexoes do bot","Conexao por proxy"

"2011-05-03 03:46:29","200.100.50.34",55214,2715,"BR","-","-

",,"tcp","sinkhole",,,"74.208.164.166",80,8560,"US",,1,,,"Linux","2.4-2.6"

Nesse exemplo, o destino que o computador possivelmente está enviando ou trocando

informações é o IP 74.208.164.166. Grave esse IP pois vai ser utilizado na busca pelo

computador infectado.

3 – De posse do IP de destino, abra os arquivos de acesso HTTP do Squid:

# vi /var/log/squid/access.log

4 – Localize o ip de destino no arquivo aberto. Para isso use:

Aperte a tecla ESC e depois / . Coloque ou digite o ip de destino, no exemplo:

74.208.164.166

5 – Dessa forma será encontrada a possível fonte da infecção, como no exemplo abaixo:

1307712096.457 137562 149.20.56.33 TCP_MISS/502 1359 GET

http://bmakemegood24.com/?275b60=2579296&id=97878153210 -

DIRECT/74.208.164.166 text/html

Nesse exemplo, a fonte da infecção está no IP 149.20.56.33

Localize todas as fontes nesse arquivo do squid, para isso use a tecla N para localizar, no

editor vi, a próxima ocorrência do ip de destino.

6 – De posse de todas as fontes que possivelmente estão infectadas vamos tentar

identificar o nome dos computadores para facilitar a busca. Para isso, abra o arquivo do

dhcpd.leases.

# vi /var/lib/dhcp3/dhcpd.leases

Use o mesmo procedimento para localizar a fonte da infecção, ou seja, localize o ip

149.20.56.33 nesse arquivo. Veja o exemplo abaixo:

lease 149.20.56.33 {

starts 5 2011/06/10 12:59:07;

ends 6 2011/06/11 12:59:07;

cltt 5 2011/06/10 12:59:07;

binding state active;

next binding state free;

hardware ethernet 00:1b:11:0e:13:0b;

uid "\001\000\033\021\016\023\013";

client-hostname "ifpi-lab-c3-11";

}

Nesse exemplo, o host que teve o Ip 149.20.56.33 alocado é ifpi-lab-c3-11. Pronto,

localizado a fonte da infecção, no exemplo, seria um PC do laboratorio-c3-11. A partir daí,

vá em loco e retire o pc da rede e faça alguma busca por atividade maliciosas usando um

antivírus ou processos estranhos. Caso não identifique o problema, formate a máquina e

se for Windows atualize-o e coloque um bom antivírus.

Para os casos que não foram identificados os pcs infectados, o que pode ser feito é

bloqueá-los diretamente no firewall através do endereço MAC. Isso pode ser feito usando

o Shorewall ou próprio iptables. Segue abaixo um exemplo usando o shorewall.

Abra o arquivo /etc/shorewall/maclist e adicione uma linha:

#DISPOSITION INTERFACE MAC IP ADDRESSES (Optional)

REJECT eth1 00:03:0d:f9:a6:88 #10.0.9.228

Onde o primeiro campo é REJECT ou DROP para bloquear o acesso ao pc, o segundo é a

interface do firewall onde está ligado o pc, por último o mac do pc infectado. O endereço é

opcional.

REFERÊNCIAS

http://www.spamhaus.org/query - Ultimo acesso em 29/11/11

http://cbl.abuseat.org/advanced.html - Ultimo aceso em 29/11/11

http://www.ifpi.edu.br/dti/ - Ultimo acesso em 29/11/11