Bloco Temporário de Varredura de Porta no Linux Centos

Navegue suas respostas
1

Estou executando um servidor VPS (Linux CentOS) para fornecer hospedagem na web para meus clientes.

Ontem, um dos meus clientes foi bloqueado pelo firewall LFD no meu servidor:

Recebi uma notificação por e-mail do administrador do servidor com a seguinte linha de assunto: 

lfd on vps.audetwebhosting.net: 24.2.190.167 
(US/United States/c-24-2-190-167.hsd1.ct.comcast.net) 
blocked for port scanning

e o corpo contém linhas como: 

Time: Sun Mar 31 11:29:35 2013 -0400
IP: 24.2.190.167 (US/United States/c-24-2-190-167.hsd1.ct.comcast.net)
Hits: 11
Blocked: Temporary Block

Sample of block hits:
Mar 31 11:28:22 vps kernel: [2760494.944535] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=24.2.190.167 DST=64.131.66.177 LEN=64 TOS=0x00 PREC=0x00 TTL=48 ID=14772 DF PROTO=TCP SPT=50780 DPT=587 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 31 11:28:23 vps kernel: [2760496.050542] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=24.2.190.167 DST=64.131.66.177 LEN=64 TOS=0x00 PREC=0x00 TTL=48 ID=28408 DF PROTO=TCP SPT=50780 DPT=587 WINDOW=65535 RES=0x00 SYN URGP=0

Meu cliente não é tão habilidoso com tecnologia, então eu não acho que eles simplesmente executariam uma varredura de porta em seu laptop Mac.

Estou adivinhando o que pode ter acontecido:

(1) O laptop do cliente tem um vírus que está fazendo uma varredura de porta

(2) O cliente abriu a janela do console e tentou fazer ping no site deles

(3) Algum hacker está agachado na conexão Wi-Fi cleint

(4) O cliente visitou um site com um aplicativo da Web que faz uma varredura de porta

(5) O cliente tem algum software de firewall / anti-malware que pode estar fazendo uma varredura de porta

(6) O cliente tem um roteador que varre as portas

Eu estou querendo saber como alguém poderia acidentalmente acionar um tipo de resposta de varredura de porta do firewall?

Eu sou um programador da Web e não um guru do Linux, então não sei ao certo como fazer essa pergunta. Obrigado pela sua paciência.

    
por Marc Audet 01.04.2013 / 13:48

2 respostas

3

O LFD é o "daemon de falha de login" do seu firewall CSF, está bloqueando IPs para tentativas de login com falha. Do link :

To complement the ConfigServer Firewall (csf), we have developed a Login Failure Daemon (lfd) process that runs all the time and periodically (every X seconds) scans the latest log file entries for login attempts against your server that continually fail within a short period of time. Such attempts are often called "Brute-force attacks" and the daemon process responds very quickly to such patterns and blocks offending IP's quickly. Other similar products run every x minutes via cron and as such often miss break-in attempts until after they've finished, our daemon eliminates such long waits and makes it much more effective at performing its task.

A partir da sua notificação por email: 

DPT=587
DPT=587

Desde que não haja outras portas de destino especificadas pelo LFD, isso não parece ser um portscan. A porta 587 é a porta de envio de mensagens SMTP. Parece que ele tentou fazer login no seu SMTP, mas o login falhou e, devido a algumas tentativas de login com falha, o LFD bloqueou seu IP. Talvez isso seja causado por uma senha incorreta especificada em seu cliente de e-mail.

    
por 02.04.2013 / 10:02
2

Existem algumas opções que não são tão prováveis:

(2) O ping não é considerado como uma varredura de porta. Existem alguns administradores que preferem configurar suas máquinas para ignorar pings completamente, mas nenhum firewall que eu saiba considera pings como varreduras de portas.

(4) Existem aplicativos da web que preformam a varredura de portas, mas eles apenas examinam o host que usa o aplicativo, para fornecer um relatório sobre o status desse firewall. Eu não acho que qualquer aplicativo da web permitirá que uma pré-formaça uma varredura de porta de um destino diferente.

(5) Não há firewall que eu saiba que pré-forma uma varredura de porta em uma máquina diferente da que está instalada.

(6) O mesmo vale para os roteadores.

Antes de tentar qualquer análise técnica, a melhor coisa é provavelmente perguntar ao cliente o que ele fez. Ele pode ter lido um tutorial sobre o nmap e decidiu verificar seu servidor. Se ele não pode dizer o que pode ter causado essa reação do seu firewall, então ele deve ser o único a verificar a segurança de seu laptop e sua rede. Na minha opinião, a melhor coisa que você pode fazer no lado do servidor é executar uma ferramenta de farejamento de rede (como tshark , no entanto, ao fazer isso, a única informação adicional que você pode obter é exatamente o que as portas foram verificadas. Você já tem o endereço IP abusivo no seu log de firewall, mas não pode dizer a partir disso se o cliente fez isso por conta própria, um vírus em seu computador fez isso, ou alguém da mesma rede interna que o cliente fez. / p>     

por 01.04.2013 / 16:14

Tags

Host virtual em um subdiretório [duplicado] Como impedir que os registros Host (A) sejam criados automaticamente