[Risolto]snort mi rileva un attacco al minuto

[maveloth]

scusate ma oggi per mia curiosita ho installato snort secondo la guida della comunità dopodichè ho configpraticamente ogni  minuto:

Codice: Seleziona tutto

[**] [1:1384:8] MISC UPnP malformed advertisement [**]
[Classification: Misc Attack] [Priority: 2] 
08/20-13:59:16.832443 192.168.***.***:**** -> 239.255.***.***:****
UDP TTL:4 TOS:0x0 ID:1 IpLen:20 DgmLen:385 DF
Len: 357
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0877][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0876][Xref => http://www.securityfocus.com/bid/3723]

io una mezza idea me la sono fatta ma prima di dire cavolate volevo un opinione di chi ne sa di più.

Grazie a Tutti!

Maveloth

P.S.premetto che questo Pc l'ho acquistato da un mese, e non ho installato io windows, ma c'era già io mi sono limitato ad un primo avvio di win per verificare il funzionamento della macchina.

[maveloth]

Può darsi che chi ha installto Windows non abbia fatto proprio un bel lavoro, e dato che si trattava di un negoziante che esplicitamente mi ha detto "Guarda che c'è anche la licenza", giusto per evidenziare quanto fosse economic, al che, sapendo da altri come lavorano, l'ho guardato e gli ho detto che a me non interessava e poi gli ho chiesto se mi avrebbe dato anche il cd ed è rimasto muto.... come il cliente che era accanto a me.....

vorre sapere se secondo voi è questo il problema o sto solo dicendo delle c***ate

Maveloth

[danilo.rossini]

Domanda: ma Ubuntu come l'hai installato?? Su una virtual machine?

[maveloth]

no installato su hd su due partizioni (/ in ext3 i /home sempre ext3 ed ho assegnato ad una partizione /media/data formattata in fat) in una partizione estesa può dipendere da questo?


Maveloth

P.S la partizione con win non la monto nemmeno tanto non mi serve a nulla. e come ho detto mi sono limitato ad avviarlo ed ho fatto una scansione che tra l'altro ha rilevato un paio di tracking cookies che il negoziante si era dimenticato di cancellare....

[danilo.rossini]

Cavoli allora non credo sia un problema della copia presumibilmente piratata di windows...non dovrebbe centrare niente...

[maveloth]

ok allora perchè ce l'hanno con me ???
sapresti indicarmi una guida alla lettura di questo log magari mi informo meglio?
comunque grazie dell'interessamento

Maveloth

[meglioilmarco]

(ot)

Pialla Windows e chiuditi in casa abbassando le tapparelle...    (rotfl)

[maveloth]

non ho finestre in casa  :P sto al Polo Nord, al limite lo do in pasto agli orsi polari  mentre io gioco con i pinguini! (good)

comunque non lo volevo piallare perchè non so nemmeno se lo terrò a lungo sto pc dato chè na ciofeca acer Aspire T310... ma oggi ho una tentazione mi sa che mi provo una Debian sulla partizione di win.

Maveloth

[danilo.rossini]

Io comunque non mi preoccuperei di eventuali attacchi, basta che sul tuo pc ci siano attivati solo i servizi necessari e utilizzando una password decente non dovrebbero riuscire a entrare neppure con ssh aperto...

Fai un:

Codice: Seleziona tutto

nmap localhost

Se non ce l'hai installato:

Codice: Seleziona tutto

sudo apt-get install nmap

[maveloth]

appena installato. serve a verificare quante macchine sono connesse? giusto?

Maveloth

Codice: Seleziona tutto

Starting Nmap 4.53 ( http://insecure.org ) at 2008-08-21 12:26 CEST
Interesting ports on localhost (127.0.0.1):
Not shown: 1709 closed ports
PORT     STATE SERVICE
111/tcp  open  rpcbind
2049/tcp open  nfs
8118/tcp open  privoxy
9050/tcp open  tor-socksport
9051/tcp open  tor-controlport

Nmap done: 1 IP address (1 host up) scanned in 0.194 seconds

EDIT mi rispondo: non solo le machine ma i sevizi e le relative porte...

[danilo.rossini]

111/tcp  open  rpcbind

RPC, acronimo di Remote procedure call, è un meccanismo generale per la gestione di applicazioni cliente-servente. Il sistema si basa su un demone, il Portmapper, e un file che elenca i servizi disponibili associati al demone relativo. Il Portmapper funziona in modo autonomo dal supervisore dei servizi di rete.

Questa porta è aperta perchè probabilmente utilizzi il servizio nfs (vedi più avanti)
edit - Sto leggendo documentazione su tor e anche lui utilizza il servizio rpc

2049/tcp open  nfs

Un Network File System (NFS) consente di montare delle partizioni su un sistema remoto e utilizzarle come se fossero filesystem locali. Ciò permette l'amministratore del sistema di immagazzinare le risorse in una posizione centrale sulla rete, garantendo agli utenti autorizzati la possibilità di accedervi costantemente

8118/tcp open  privoxy
9050/tcp open  tor-socksport
9051/tcp open  tor-controlport

Tor è un progetto software per difendersi dall'analisi del traffico, una forma di sorveglianza della rete che minaccia le libertà personali e la privacy, le attività e le relazioni riservate d'impresa, e la sicurezza di stato. Tor funziona deviando le tue comunicazioni attraverso una rete distribuita di relay, gestiti da volontari in tutto il mondo: impedisce a qualcuno che osservi la tua connesione Internet di sapere quali siti stai visitando, ed impedisce ai siti che visiti di venire a sapere dove sei realmente. Tor funziona con molti programmi, come i browser web, i client per la chat, i programmi di login remoto e tante altre applicazioni basate sul protocollo TCP.

Naturale, che se non utilizzi questi servizi potrebbe essere effettivamente che ti siano entrati nel pc (soprattutto per quanto riguarda i primi due) e puoi disabilitarli..

[maveloth]

il primo servizio nfs l'ho installato (qui lato server) per la condivisione di un paio di cartelle quindi è ok.
tor l'ho installato e forse ha reso firefox un po meno stabile, e non intendo la velocità ma per quanto riguarda il renderig video ho avuto problemi, così ho vuotato a mano la cache di FF (3.01) ed ora è ok, poi come scritto su un altro topic a volte il comando elimina i dati personali non mi svuotava la cronologia ma credo dipenda dal fatto che attivo e disattivo tor senza chiudere FF.

controllando le path delle configurrazioni di  firefox ho notato questa cartella che sinceramente non ricordavo esistesse:

Codice: Seleziona tutto

/home/nomeutente/.mozilla/firefox/297drwhws.defaults

mi chiedo dunque se sia il browser il problema?

Maveloth

P.S. intanto mi installo un altro browser

P.P.S. ma se li disabilito poi per rabilitarli basta dare il comando

Codice: Seleziona tutto

 sudo /etc/init.d/nomeservizio start

o come ad esempio se io voglio fare un trasferimento su un altra macchina e ho i servizio nfs disattivati devo riattivarli tutti con quel comando e successivamente disattivarli con lo stop?

[danilo.rossini]

il comando elimina i dati personali non mi svuotava la cronologia ma credo dipenda dal fatto che attivo e disattivo tor senza chiudere FF.

Credo che sia proprio così

controllando le path delle configurrazioni di  firefox ho notato questa cartella che sinceramente non ricordavo esistesse

mi chiedo dunque se sia il browser il problema?

P.S. intanto mi installo un altro browser

No, non dovrebbe essere il browser, in ogni caso puoi eliminare la configurazione di firefox senza per forza dover installare un altro browser, per fare questo basta cancellare la directory ~/.mozilla all'avvio di firefox, non trovando le impostazioni, le riicreerà automaticamente.

P.P.S. ma se li disabilito poi per rabilitarli basta dare il comando

Codice: Seleziona tutto

 sudo /etc/init.d/nomeservizio start

o come ad esempio se io voglio fare un trasferimento su un altra macchina e ho i servizio nfs disattivati devo riattivarli tutti con quel comando e successivamente disattivarli con lo stop?

In linea di massima sì, tutti i servizi di rete sono in /etc/init.d
Graficamente puoi trovare/abilitare/disabilitare i servizi attivi in Sistema->Amministrazione->Servizi
In ogni caso ti basta avere una buona password e non dovresti avere preoccupazioni..

Danilo

[danilo.rossini]

Dimenticavo di dire che potresti crearti anche un semplicissimo script che ti attiva/disattiva più di un servizio contemporaneamente, se ti può interessare ti ilustro le operazioni da effettuare.. 

[maveloth]

Intanto grazie infinite per la pazienza e per le spiegazioni perfette! ti offro una birra vituale  (b2b)
adesso proerò a cancellare al cartella di FF anche se intanto ho intallato Opera (non mi ci trovo poi malissimo anche se preferisco FF) per la password adesso vedo cosa posso inventarmi dato che poi sarà bene ricordarla, ed ho una pessima memoria!  :-[

ricontrollando ancora il log ho notato che "l'attacco" avviane su diverse porte ma e noto diversi indirizzi (id non gli indirizzi www. di cui sopra ma quelli numerici, per intenderci) e credo che uno di questi sia il mio router uno dei possibili problemi, a questo punto proverò a resettarlo ricarico il firmware e reimposto la configurazione password ed utente admin(del router) in modo più serio.


Maveloth

P.S. più che altro gli indirizzi del log io li ho interpretati così il primo è il mittente ed il secondo i destinatario giusto?

P.P.S. adesso devo assentarmi e non so se riuscirò a tornare presto al pc grazie di nuovo, appena ho sistemato i router ti faccio sapere se è cambiato qualcosa.

[danilo.rossini]

Intanto grazie infinite per la pazienza e per le spiegazioni perfette! ti offro una birra vituale  (b2b)

hihi...buona la birraaa....  (b2b) (b2b)

per la password adesso vedo cosa posso inventarmi dato che poi sarà bene ricordarla, ed ho una pessima memoria!  :-[

Non ti serve una una cosa complicata da ricordare comunque.
esempio:
maveloth|123  => è già un'ottima password perchè contiente oltre a lettere anche numeri e caratteri alfanumerici
macheCaldoFa@@1 => può essere un altro esempio di buona password

ricontrollando ancora il log ho notato che "l'attacco" avviane su diverse porte ma e noto diversi indirizzi (id non gli indirizzi www. di cui sopra ma quelli numerici, per intenderci) e credo che uno di questi sia il mio router uno dei possibili problemi, a questo punto proverò a resettarlo ricarico il firmware e reimposto la configurazione password ed utente admin(del router) in modo più serio.

è normale che gli indirizzi siano in formato numerico, solitamente nei router è consigliabile cancellare le impostazioni di default poichè le password dei vari modelli sono per così dire "statiche" e si riescono a rintracciare facilmente anche solo da una ricerca su motore di ricerca.

P.S. più che altro gli indirizzi del log io li ho interpretati così il primo è il mittente ed il secondo i destinatario giusto?

Di solito se sei attaccato ad un router o se hai più pc in una rete lan si utilizza la classe di ip 192.XXX.XXX.XXX

08/20-13:59:16.832443 192.168.***.***:**** -> 239.255.***.***:****

Il primo indirizzo è il tuo, mentre il secondo è di un altro pc sulla wan (connesso a internet)

Altra cosa che mi è venuta in mente in questo momento, servizi come torrent oppure sharing p2p (tipo aMule) potrebbero portare a pensare a Snort che stia avvenendo un attacco, quando in realtà non è così... 

[maveloth]

la password di sistema e alfanumerica da origine, quella del router l'ho cambiata il giorno che l'ho montato però avevo già in mente di rivedere la configurazione del firewall del router ma credo che farò come ho detto sopra e festa finita.

per il p2p uso amule, a me pare che succeda anche se non è avviato, comunque verificherò anche questo. ed inoltre snort riconosce anche i cookie come attacchi alla privacy se non ho capito male dal log.

Di solito se sei attaccato ad un router o se hai più pc in una rete lan si utilizza la classe di ip 192.XXX.XXX.XXX

Il primo indirizzo è il tuo, mentre il secondo è di un altro pc sulla wan (connesso a internet)

ok allora questo come lo devo interpretare? (presumo che siano quelli di cui parlavi te riguardo al p2p)

Codice: Seleziona tutto

[b]Esempio 1[/]
[**] [1:485:4] ICMP Destination Unreachable Communication Administratively Prohibited [**]
[Classification: Misc activity] [Priority: 3]
08/20-13:59:16.832443 69.138.***.***:**** -> 192.168.***.***
PACKET FILTERED

[b]Esempio 2[/b]
[**] [1:477:2] ICMP Source Quench [**]
[Classification: Potentially Bad Traffic] [Priority: 2] 
08/21-17:07:27.031950 78.31.168.166 -> 192.168.0.79

Gli indirizzi sono scritti a caso non ho messo quelli del log. come vedi gli indirizzi sono invertiti rispetto agli altri di cui sopra ed in ogni caso sono molto meno frequenti probabilmente si tratta di amule dato che riporta anche la voce packet filtered nel primo e potentiali bad traffic mi fa pensare a qualche pacchetto difettoso spesso con amule succede.

Maveloth

[danilo.rossini]

Quelle sono semplici e innoque risposte ICMP che riceve il tuo pc che però vengono bloccate dal buon snort anche se in realtà non recano alcun danno (o è veramente molto difficile che lo creino). 

Codice: Seleziona tutto

08/21-17:07:27.031950 78.31.168.166 -> 192.168.0.79

È una richiesta che da internet arriva al tuo pc, quindi il computer remoto 78.xxx.xxx.xxx arriva dentro alla tua rete lan e fa una richiesta. Precedentemente era il tuo pc che effettuava una richiesta all'esterno, magari come risposta ad un sito internet, oppure a uno scambio di dati sulla rete p2p.

Parti però dal presupposto che snort è lo strumento firewall più potente che linux possieda..e che quindi configurato in determinati modi ti garantisce protezioni sicuramente elevate, ma limita comunque il normale dialogo che ci può essere tra il tuo pc ed un server. Siccome sei dietro a un router secondo il mio punto di vista, se è configurato adeguatamente, non c'è bisogno di installare alcun firewall software sui pc della rete, ma gestire tutto dal router/firewall.. Nella maggior parte delle aziende operano la scelta descritta in precedenza, è vero che magari non si utilizzano determinati servizi "rischiosi" tipo quello offerto da aMule, però la protezione è comunque molto molto elevata.

[maveloth]

Grazie delle spiegazioni  (good) vedrò domani di rimettere in sesto il router, e mi metto l'animo in pace.

Maveloth

[EDIT]

Dimenticavo di dire che potresti crearti anche un semplicissimo script che ti attiva/disattiva più di un servizio contemporaneamente, se ti può interessare ti ilustro le operazioni da effettuare.. 

intanto penso che questo si possa fare, ora mi metto al lavoro e ti posto come penso vada fatto poi mi dici se secondo te è ok. metto il punto della situazione: tor e pivoxy eliminati dal sistema quindi lo scripto lo incentrerei sul nfs che invece lo voglio mantenere per lo scambio dati sull LAN.

work in progress...

20:30
intanto penso che dovrò rimuovere i servizi dall'avvio in modo tale che li attivo al momento giusto poi creo uno script per attivarli: quindi i servizi necessari sono due? nfs-kernel-server e nfs-common

io intanto ho fatto questo:

Codice: Seleziona tutto

#!/bin/bash
sudo /etc/init.d/nfs-common start
sudo /etc/init.d/nfs-kernel-server start

l'ho reso eseguibile e provato: chiede la password  e avvia i servizi.(ne ho creato uno identico ma con stop come comando)
comunqe se mi puoi aiutare io avrei idea di creare un check (penso basti una semplice if) per verificare se il servizio sia o meno attivo in modo da lanciare il comando giusto che sia lo start o lo stop.

spero di non chiedere troppo in ogni caso Grazie di nuovo.

[james123456789]

Io ho disinstallato snort quando ho letto nei suoi log che mi accusava di aver effettuato un attacco di priorità 1 ad un altro pc...  (mad)