SlideShare uma empresa Scribd logo

Análise de logs identifica ataque em formulário

Diego Souza
Diego Souza
Tecnologia
1 de 10
Baixar para ler offline
DIEGO SOUZA – IGOR ANTÔNIO DISCIPLINA: SEGURANÇA DE REDES DE COMPUTADORES UNIVERSIDADE ESTÁCIO DE SÁ PÓS-GRADUAÇÃO RIO DE JANEIRO 2011
DIEGO SOUZA – IGOR ANTÔNIO TEMA: ANALISE DE LOGS Trabalho apresentado à disciplina Segurança de redes de computadores, professor Sergio Franco UNIVERSIDADE ESTÁCIO DE SÁ PÓS-GRADUAÇÃO RIO DE JANEIRO 2011
a)O que é CAIS ? A Rede Nacional de Ensino e Pesquisa (RNP) atua na detecção, resolução e prevenção de incidentes de segurança na rede RNP2 através de seu Centro de Atendimento as Incidentes de Segurança (CAIS). Criado em 1997, o CAIS também divulga informações e alertas de segurança e participa de organismos internacionais na área. b)O que é Bot ? Bot é um programa capaz de se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Adicionalmente ao Worm, dispõe de mecanismos de comunicação com o invasor, permitindo que o Bot seja controlado remotamente. Normalmente, o Bot se conecta a um servidor de IRC (Internet Relay Chat) e entra em um canal (sala) determinado. Então, ele aguarda por instruções do invasor, monitorando as mensagens que estão sendo enviadas para este canal. O invasor, ao se conectar ao mesmo servidor de IRC e entrar no mesmo canal, envia mensagens compostas por seqüencias especiais de caracteres, que são interpretadas pelo Bot. Esta seqüencia de caracteres correspondem a instruções que devem ser executadas pelo Bot. c)O que é botnet ? Botnet é um termo genérico para um conjunto de softwares “robotizados”, apelidados por bots, que são executados automaticamente e de forma anônima. Este termo também é utilizado quando um grupo de computadores, tipicamente vinte ou mais são comprometidos (chamados computadores zombies) por um conjunto de software maliciosos tais como: vírus, cavalo de troia , worms ou backdoors, os autores desses ataques fazem isso de forma distribuída com intuito de burlar a identificação da origem dos ataques bem como produzir ataques de negação de serviço distribuído (DDOS- Distributed Deny of Service) desestabilizando serviços da internet tais como: Web e serviços de correio(e-mail). Além disso o botnet também pode ser organizado com intuito
de distribuir spywares ou adwares e coletar as informações armazenadas, para o caso específico dos spywares, e obter dados provativos do usuário .Ao serem obtidas estas informações dos usuários, elas podem ser utilizadas com finalidades de mala direta, conhecidos também como e-mail comerciais não solicitados ou SPAM. O Conficker é um worm que utiliza técnicas de Botnet. No seu que de atuação estima-se que mais de 10 milhões de computadores tenham feito parte de rede de atuação deste worm com a geração de 10 bilhões de SPAM por dia. d)Qual a maneira mais provável para que os sistemas em questão sejam analisados para identificar o problema?(Metodologia) Analisando trafego de rede de entrada e saída com o sotfware wireshark ou outros analisadores.(http://www.securitytube.net/video/432) e)Qual a maneira mais provável de solucionar o problema ? (Procedimentos) Após analisar de onde está partindo o problema, verificando o trafego de rede, já tendo o nome do bot, pesquisar melhores removedores para o determinado bot, atualizar o sistema operacional, utilizar um antibot e antivírus, utilizar IPS. 2-a) O que são CBL e SPAMHAUS ? CBL(composite blocking list) – Lista de bloqueio composta em redes de computadores, o Composite Blocking Lista (CBL) é uma lista de black hole de suspeita de spam enviando infecções ao computador.A CBL tem seus dados de origem de spamtraps muito grande / infraestruturas de e-mail, e apenas listas IPs apresentam características tais como: • Proxies abertos de vários tipos (HTTP, socks, AnalogX, wingate, etc) • Worms / vírus / botnets que faz o seu próprio correio de transmissão direta, ou estão de outra maneira participando de uma botnet. • Cavalo de Tróia ou "stealth" spamware. Existem tentativas para evitar a CBL servidores listagem de e- mail, mas alguns erros de
configuração de servidores de correio pode tornar o sistema parece estar infectada (por exemplo, os servidores que enviar HELO com 'localhost' ou de um domínio semelhante incorreto). Entradas expiram automaticamente após um período de tempo. A CBL não fornece acesso do público às provas recolhidas. CBL dados são usados em Spamhaus lista XBL. SPAMHAUS O Projeto Spamhaus é uma organização internacional sem fins lucrativos cuja missão é acompanhar as operações de spam da Internet e as fontes, para fornecer seguro de proteção anti-spam em tempo real para redes de Internet, para trabalhar com as autoridades policiais para identificar e perseguir gangues de spam em todo o mundo, e para pressionar o governo para a legislação anti-spam eficaz. Fundada em 1998, Spamhaus é baseada em Genebra, na Suíça e é executado por uma equipe dedicada de 38 investigadores e especialistas forenses localizada em 10 países. A Spamhaus mantém uma série de bloqueio de spam em tempo real usando bancos de dados ("DNSBLs ' ) responsável pela manutenção de volta a grande maioria do spam enviado na internet. Estes incluem a Lista de Bloqueios Spamhaus (SBL), a Lista de Bloqueios Exploits (XBL), a Lista de Bloqueios Política (PBL) e da Lista de Bloqueios de Domínio (DBL). DNSBLs Spamhaus são hoje utilizados pela maioria dos provedores da Internet E-mail Service, Empresas, Universidades, Governos e redes Militar. B)Neste caso podemos usar o site http://www.spamhaus.org/query onde colocamos o IP do servidor suspeito, e lá buscamos na blocklist se o servidor se encontra ou não nela. Ex:
C) Caso o servidor esteja na blacklist por engano ,ou o problema de disparo de Spam já esteja solucionado basta pedir a removação do IP no site: 3-O arquivo anexo, mostra o acess.log de um servidor web Apache de uma organização que sofreu o cadastro de centenas de formulários contendo palavrões e ofensas nos mais diversos campos.O nome do formulário preenchido pelo impostor era "cadastro.php" e o endereço IP do Gateway é 200.100.50.65. Responda a)Qual o dia e período do evento malicioso? 01/Nov/2011:15:51:40 até [01/Nov/2011:16:05:59] b)Qual o nome do programa que cadastrava os dados deste formulário? inserir.php c)Qual ou quais, segundo sua análise, os possíveis endereços IP origem do ataque do impostor 200.245.207.8 d)A qual provedor este impostor deve ser associado ? corporativo.gvt.net.br [187.58.22.226]
e) Que providencias poderia ser tomada? Após identificar o endereço IP do invasor, seria necessário negar tudo que vem do IP dele, outra coisa é imediatamente fazer uma configuração para proteger os diretório do web apache, instalar todos os patchs , deixar todo servidor atualizado e fazer um hardening do servidor. f)O que mais você pode acrescentar sobre o evento ? O Evento foi uma invasão real, e freqüentemente acontece esse tipo de ataque, de PHP injection , também é comum acontecer o SQL injection. Questão 4 : Esse passo é útil para utilização do (Debian) como servidor de Firewall, proxy (Squid) e DHCP e recebe notificações de incidentes de segurança do CAIS da RNP. O objetivo é a Identificação e eliminação da fonte da possível infecção. 1 – Acesse o firewall (servidor) com um usuário com permissão de root. No Linux isso pode ser feito com o comando abaixo. Caso seja Windows pode-se utilizar o programa putty. # ssh usuario@firewall.ifpi.edu.brEste endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo. Ex: ssh nsaraiva@10.0.0.254Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo. 2 – Com o acesso ao firewall, a primeira coisa é localizar o computador que possivelmente está infectado por algum malware ou pertence a alguma botnet. De início, verifique o log enviado pela equipe do CAIS da RNP. "Data e hora UTC+0","IP do bot","Porta origem","ASN","Pais","Estado","Cidade","Hostname","IP_BlockList","UDP/TCP","Tipo de infeccao","URL de conexao","Agente HTTP","IP CC","Porta CC","ASN CC","Pais CC","DNS Reverso CC","Nro de conexoes do bot","Conexao por proxy"
"2011-05-03 03:46:29","200.100.50.34",55214,2715,"BR","-","- ",,"tcp","sinkhole",,,"74.208.164.166",80,8560,"US",,1,,,"Linux","2.4-2.6" Nesse exemplo, o destino que o computador possivelmente está enviando ou trocando informações é o IP 74.208.164.166. Grave esse IP pois vai ser utilizado na busca pelo computador infectado. 3 – De posse do IP de destino, abra os arquivos de acesso HTTP do Squid: # vi /var/log/squid/access.log 4 – Localize o ip de destino no arquivo aberto. Para isso use: Aperte a tecla ESC e depois / . Coloque ou digite o ip de destino, no exemplo: 74.208.164.166 5 – Dessa forma será encontrada a possível fonte da infecção, como no exemplo abaixo: 1307712096.457 137562 149.20.56.33 TCP_MISS/502 1359 GET http://bmakemegood24.com/?275b60=2579296&id=97878153210 - DIRECT/74.208.164.166 text/html Nesse exemplo, a fonte da infecção está no IP 149.20.56.33 Localize todas as fontes nesse arquivo do squid, para isso use a tecla N para localizar, no editor vi, a próxima ocorrência do ip de destino. 6 – De posse de todas as fontes que possivelmente estão infectadas vamos tentar identificar o nome dos computadores para facilitar a busca. Para isso, abra o arquivo do dhcpd.leases. # vi /var/lib/dhcp3/dhcpd.leases Use o mesmo procedimento para localizar a fonte da infecção, ou seja, localize o ip 149.20.56.33 nesse arquivo. Veja o exemplo abaixo: lease 149.20.56.33 { starts 5 2011/06/10 12:59:07; ends 6 2011/06/11 12:59:07; cltt 5 2011/06/10 12:59:07; binding state active; next binding state free; hardware ethernet 00:1b:11:0e:13:0b;
uid "001000033021016023013"; client-hostname "ifpi-lab-c3-11"; } Nesse exemplo, o host que teve o Ip 149.20.56.33 alocado é ifpi-lab-c3-11. Pronto, localizado a fonte da infecção, no exemplo, seria um PC do laboratorio-c3-11. A partir daí, vá em loco e retire o pc da rede e faça alguma busca por atividade maliciosas usando um antivírus ou processos estranhos. Caso não identifique o problema, formate a máquina e se for Windows atualize-o e coloque um bom antivírus. Para os casos que não foram identificados os pcs infectados, o que pode ser feito é bloqueá-los diretamente no firewall através do endereço MAC. Isso pode ser feito usando o Shorewall ou próprio iptables. Segue abaixo um exemplo usando o shorewall. Abra o arquivo /etc/shorewall/maclist e adicione uma linha: #DISPOSITION INTERFACE MAC IP ADDRESSES (Optional) REJECT eth1 00:03:0d:f9:a6:88 #10.0.9.228 Onde o primeiro campo é REJECT ou DROP para bloquear o acesso ao pc, o segundo é a interface do firewall onde está ligado o pc, por último o mac do pc infectado. O endereço é opcional.
REFERÊNCIAS http://www.spamhaus.org/query - Ultimo acesso em 29/11/11 http://cbl.abuseat.org/advanced.html - Ultimo aceso em 29/11/11 http://www.ifpi.edu.br/dti/ - Ultimo acesso em 29/11/11

Recomendados

Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)leolemes
 
Spam
SpamSpam
SpamEniBerbert
 
Apresentação sobre segurança de redes
Apresentação sobre segurança de redesApresentação sobre segurança de redes
Apresentação sobre segurança de redesLuiz Mário Pina
 
Internet
InternetInternet
InternetLizandra Braga
 
Slides de informatica internet
Slides de informatica internetSlides de informatica internet
Slides de informatica internetGabriel Henrique
 
Apache traffic server uma alternativa ao squid para web caches - fisl 14
Apache traffic server uma alternativa ao squid para web caches - fisl 14Apache traffic server uma alternativa ao squid para web caches - fisl 14
Apache traffic server uma alternativa ao squid para web caches - fisl 14Heitor Ganzeli
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeClavis Segurança da Informação
 
Pentest conisli07
Pentest conisli07Pentest conisli07
Pentest conisli07Roberto Castro
 

Recomendados

Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)leolemes
 
Spam
SpamSpam
SpamEniBerbert
 
Apresentação sobre segurança de redes
Apresentação sobre segurança de redesApresentação sobre segurança de redes
Apresentação sobre segurança de redesLuiz Mário Pina
 
Internet
InternetInternet
InternetLizandra Braga
 
Slides de informatica internet
Slides de informatica internetSlides de informatica internet
Slides de informatica internetGabriel Henrique
 
Apache traffic server uma alternativa ao squid para web caches - fisl 14
Apache traffic server uma alternativa ao squid para web caches - fisl 14Apache traffic server uma alternativa ao squid para web caches - fisl 14
Apache traffic server uma alternativa ao squid para web caches - fisl 14Heitor Ganzeli
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeClavis Segurança da Informação
 
Pentest conisli07
Pentest conisli07Pentest conisli07
Pentest conisli07Roberto Castro
 
Buffer overflow group
Buffer overflow groupBuffer overflow group
Buffer overflow groupThiago Emanuel
 
Botnets
BotnetsBotnets
BotnetsAlex Nogueria
 
Palestra Evolução e Perigos da Internet
Palestra Evolução e Perigos da InternetPalestra Evolução e Perigos da Internet
Palestra Evolução e Perigos da InternetFabrício Basto
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Exploits
ExploitsExploits
ExploitsWilliam Rufino
 
Resumo de Informática para Concurso INSS
Resumo de Informática para Concurso INSSResumo de Informática para Concurso INSS
Resumo de Informática para Concurso INSSEstratégia Concursos
 
Resumo INSS Informática
Resumo INSS InformáticaResumo INSS Informática
Resumo INSS InformáticaVictor Dalton
 
Estrutura da Internet
Estrutura da InternetEstrutura da Internet
Estrutura da InternetÁlecson Vinícius Machado Guimarães
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internetPatrícia Morais
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28LilianeR
 
Pentest teórico
Pentest teóricoPentest teórico
Pentest teóricoFelipe Perin
 
Internet luis-fernando-s-bittencourt
Internet luis-fernando-s-bittencourtInternet luis-fernando-s-bittencourt
Internet luis-fernando-s-bittencourtLuis Bittencourt
 
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...Luiz Arthur
 
APS Power Point
APS Power PointAPS Power Point
APS Power PointMarcelo Guimaraes
 
XSS Desvendado
XSS DesvendadoXSS Desvendado
XSS Desvendadoricardophp
 
Virinhos De Pc Ehehehehehh
Virinhos De Pc EhehehehehhVirinhos De Pc Ehehehehehh
Virinhos De Pc EhehehehehhTelmolopes4
 
A internet
A internetA internet
A internetgleisom silva
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e SegurançaCarlos Henrique Martins da Silva
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5Eduardo Santana
 
PenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI EngitecPenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI EngitecAlcyon Ferreira de Souza Junior, MSc
 
Ransomware all locked up book
Ransomware all locked up bookRansomware all locked up book
Ransomware all locked up bookDiego Souza
 
CASE-BPMN - BMM
CASE-BPMN - BMM CASE-BPMN - BMM
CASE-BPMN - BMM Diego Souza
 

Mais conteúdo relacionado

Semelhante a Análise de logs identifica ataque em formulário

Palestra Evolução e Perigos da Internet
Palestra Evolução e Perigos da InternetPalestra Evolução e Perigos da Internet
Palestra Evolução e Perigos da InternetFabrício Basto
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Resumo de Informática para Concurso INSS
Resumo de Informática para Concurso INSSResumo de Informática para Concurso INSS
Resumo de Informática para Concurso INSSEstratégia Concursos
 
Resumo INSS Informática
Resumo INSS InformáticaResumo INSS Informática
Resumo INSS InformáticaVictor Dalton
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28LilianeR
 
Internet luis-fernando-s-bittencourt
Internet luis-fernando-s-bittencourtInternet luis-fernando-s-bittencourt
Internet luis-fernando-s-bittencourtLuis Bittencourt
 
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...Luiz Arthur
 
XSS Desvendado
XSS DesvendadoXSS Desvendado
XSS Desvendadoricardophp
 
Virinhos De Pc Ehehehehehh
Virinhos De Pc EhehehehehhVirinhos De Pc Ehehehehehh
Virinhos De Pc EhehehehehhTelmolopes4
 

Semelhante a Análise de logs identifica ataque em formulário (20)

Buffer overflow group
Buffer overflow groupBuffer overflow group
Buffer overflow group
 
Botnets
BotnetsBotnets
Botnets
 
Palestra Evolução e Perigos da Internet
Palestra Evolução e Perigos da InternetPalestra Evolução e Perigos da Internet
Palestra Evolução e Perigos da Internet
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadores
 
Exploits
ExploitsExploits
Exploits
 
Resumo de Informática para Concurso INSS
Resumo de Informática para Concurso INSSResumo de Informática para Concurso INSS
Resumo de Informática para Concurso INSS
 
Resumo INSS Informática
Resumo INSS InformáticaResumo INSS Informática
Resumo INSS Informática
 
Estrutura da Internet
Estrutura da InternetEstrutura da Internet
Estrutura da Internet
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internet
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28
 
Pentest teórico
Pentest teóricoPentest teórico
Pentest teórico
 
Internet luis-fernando-s-bittencourt
Internet luis-fernando-s-bittencourtInternet luis-fernando-s-bittencourt
Internet luis-fernando-s-bittencourt
 
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
 
APS Power Point
APS Power PointAPS Power Point
APS Power Point
 
XSS Desvendado
XSS DesvendadoXSS Desvendado
XSS Desvendado
 
Virinhos De Pc Ehehehehehh
Virinhos De Pc EhehehehehhVirinhos De Pc Ehehehehehh
Virinhos De Pc Ehehehehehh
 
A internet
A internetA internet
A internet
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e Segurança
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
PenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI EngitecPenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI Engitec
 

Mais de Diego Souza

Ransomware all locked up book
Ransomware all locked up bookRansomware all locked up book
Ransomware all locked up bookDiego Souza
 
CASE-BPMN - BMM
CASE-BPMN - BMM CASE-BPMN - BMM
CASE-BPMN - BMM Diego Souza
 
Apresentação bmm
Apresentação bmmApresentação bmm
Apresentação bmmDiego Souza
 
CASE COBIT - ISHIKAWA
CASE COBIT - ISHIKAWACASE COBIT - ISHIKAWA
CASE COBIT - ISHIKAWADiego Souza
 
Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Diego Souza
 
Marco Civil da Internet
Marco Civil da Internet Marco Civil da Internet
Marco Civil da Internet Diego Souza
 
Como escrever relatórios e laudos de forense computacional e análise de malwares
Como escrever relatórios e laudos de forense computacional e análise de malwaresComo escrever relatórios e laudos de forense computacional e análise de malwares
Como escrever relatórios e laudos de forense computacional e análise de malwaresDiego Souza
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
 
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO Diego Souza
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Diego Souza
 
Alinhar a ti ao negócio e não o negócio à ti
Alinhar a ti ao negócio e não o negócio à tiAlinhar a ti ao negócio e não o negócio à ti
Alinhar a ti ao negócio e não o negócio à tiDiego Souza
 
Gerenciamento de Serviço de TI - ITIL
Gerenciamento de Serviço de TI - ITILGerenciamento de Serviço de TI - ITIL
Gerenciamento de Serviço de TI - ITILDiego Souza
 
Trabalho maltego (1)
Trabalho maltego (1)Trabalho maltego (1)
Trabalho maltego (1)Diego Souza
 
Tutorial de Configuranção do TRUECRYPT no Pen Drive
Tutorial de Configuranção do TRUECRYPT no Pen DriveTutorial de Configuranção do TRUECRYPT no Pen Drive
Tutorial de Configuranção do TRUECRYPT no Pen DriveDiego Souza
 
Tutorial fundamentos s.o
Tutorial fundamentos s.oTutorial fundamentos s.o
Tutorial fundamentos s.oDiego Souza
 
Práticas e Modelos de Segurança
Práticas e Modelos de SegurançaPráticas e Modelos de Segurança
Práticas e Modelos de SegurançaDiego Souza
 
Estado da arte do controle de acesso
Estado da arte do controle de acesso Estado da arte do controle de acesso
Estado da arte do controle de acesso Diego Souza
 

Mais de Diego Souza (20)

Ransomware all locked up book
Ransomware all locked up bookRansomware all locked up book
Ransomware all locked up book
 
CASE-BPMN - BMM
CASE-BPMN - BMM CASE-BPMN - BMM
CASE-BPMN - BMM
 
Apresentação bmm
Apresentação bmmApresentação bmm
Apresentação bmm
 
CASE COBIT - ISHIKAWA
CASE COBIT - ISHIKAWACASE COBIT - ISHIKAWA
CASE COBIT - ISHIKAWA
 
Exin
ExinExin
Exin
 
Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000
 
Marco Civil da Internet
Marco Civil da Internet Marco Civil da Internet
Marco Civil da Internet
 
Como escrever relatórios e laudos de forense computacional e análise de malwares
Como escrever relatórios e laudos de forense computacional e análise de malwaresComo escrever relatórios e laudos de forense computacional e análise de malwares
Como escrever relatórios e laudos de forense computacional e análise de malwares
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
 
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...
 
Alinhar a ti ao negócio e não o negócio à ti
Alinhar a ti ao negócio e não o negócio à tiAlinhar a ti ao negócio e não o negócio à ti
Alinhar a ti ao negócio e não o negócio à ti
 
Gerenciamento de Serviço de TI - ITIL
Gerenciamento de Serviço de TI - ITILGerenciamento de Serviço de TI - ITIL
Gerenciamento de Serviço de TI - ITIL
 
Psm i
Psm iPsm i
Psm i
 
Diego souza
Diego souzaDiego souza
Diego souza
 
Trabalho maltego (1)
Trabalho maltego (1)Trabalho maltego (1)
Trabalho maltego (1)
 
Tutorial de Configuranção do TRUECRYPT no Pen Drive
Tutorial de Configuranção do TRUECRYPT no Pen DriveTutorial de Configuranção do TRUECRYPT no Pen Drive
Tutorial de Configuranção do TRUECRYPT no Pen Drive
 
Tutorial fundamentos s.o
Tutorial fundamentos s.oTutorial fundamentos s.o
Tutorial fundamentos s.o
 
Práticas e Modelos de Segurança
Práticas e Modelos de SegurançaPráticas e Modelos de Segurança
Práticas e Modelos de Segurança
 
Estado da arte do controle de acesso
Estado da arte do controle de acesso Estado da arte do controle de acesso
Estado da arte do controle de acesso
 

Análise de logs identifica ataque em formulário

  • 1. DIEGO SOUZA – IGOR ANTÔNIO DISCIPLINA: SEGURANÇA DE REDES DE COMPUTADORES UNIVERSIDADE ESTÁCIO DE SÁ PÓS-GRADUAÇÃO RIO DE JANEIRO 2011
  • 2. DIEGO SOUZA – IGOR ANTÔNIO TEMA: ANALISE DE LOGS Trabalho apresentado à disciplina Segurança de redes de computadores, professor Sergio Franco UNIVERSIDADE ESTÁCIO DE SÁ PÓS-GRADUAÇÃO RIO DE JANEIRO 2011
  • 3. a)O que é CAIS ? A Rede Nacional de Ensino e Pesquisa (RNP) atua na detecção, resolução e prevenção de incidentes de segurança na rede RNP2 através de seu Centro de Atendimento as Incidentes de Segurança (CAIS). Criado em 1997, o CAIS também divulga informações e alertas de segurança e participa de organismos internacionais na área. b)O que é Bot ? Bot é um programa capaz de se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Adicionalmente ao Worm, dispõe de mecanismos de comunicação com o invasor, permitindo que o Bot seja controlado remotamente. Normalmente, o Bot se conecta a um servidor de IRC (Internet Relay Chat) e entra em um canal (sala) determinado. Então, ele aguarda por instruções do invasor, monitorando as mensagens que estão sendo enviadas para este canal. O invasor, ao se conectar ao mesmo servidor de IRC e entrar no mesmo canal, envia mensagens compostas por seqüencias especiais de caracteres, que são interpretadas pelo Bot. Esta seqüencia de caracteres correspondem a instruções que devem ser executadas pelo Bot. c)O que é botnet ? Botnet é um termo genérico para um conjunto de softwares “robotizados”, apelidados por bots, que são executados automaticamente e de forma anônima. Este termo também é utilizado quando um grupo de computadores, tipicamente vinte ou mais são comprometidos (chamados computadores zombies) por um conjunto de software maliciosos tais como: vírus, cavalo de troia , worms ou backdoors, os autores desses ataques fazem isso de forma distribuída com intuito de burlar a identificação da origem dos ataques bem como produzir ataques de negação de serviço distribuído (DDOS- Distributed Deny of Service) desestabilizando serviços da internet tais como: Web e serviços de correio(e-mail). Além disso o botnet também pode ser organizado com intuito
  • 4. de distribuir spywares ou adwares e coletar as informações armazenadas, para o caso específico dos spywares, e obter dados provativos do usuário .Ao serem obtidas estas informações dos usuários, elas podem ser utilizadas com finalidades de mala direta, conhecidos também como e-mail comerciais não solicitados ou SPAM. O Conficker é um worm que utiliza técnicas de Botnet. No seu que de atuação estima-se que mais de 10 milhões de computadores tenham feito parte de rede de atuação deste worm com a geração de 10 bilhões de SPAM por dia. d)Qual a maneira mais provável para que os sistemas em questão sejam analisados para identificar o problema?(Metodologia) Analisando trafego de rede de entrada e saída com o sotfware wireshark ou outros analisadores.(http://www.securitytube.net/video/432) e)Qual a maneira mais provável de solucionar o problema ? (Procedimentos) Após analisar de onde está partindo o problema, verificando o trafego de rede, já tendo o nome do bot, pesquisar melhores removedores para o determinado bot, atualizar o sistema operacional, utilizar um antibot e antivírus, utilizar IPS. 2-a) O que são CBL e SPAMHAUS ? CBL(composite blocking list) – Lista de bloqueio composta em redes de computadores, o Composite Blocking Lista (CBL) é uma lista de black hole de suspeita de spam enviando infecções ao computador.A CBL tem seus dados de origem de spamtraps muito grande / infraestruturas de e-mail, e apenas listas IPs apresentam características tais como: • Proxies abertos de vários tipos (HTTP, socks, AnalogX, wingate, etc) • Worms / vírus / botnets que faz o seu próprio correio de transmissão direta, ou estão de outra maneira participando de uma botnet. • Cavalo de Tróia ou "stealth" spamware. Existem tentativas para evitar a CBL servidores listagem de e- mail, mas alguns erros de
  • 5. configuração de servidores de correio pode tornar o sistema parece estar infectada (por exemplo, os servidores que enviar HELO com 'localhost' ou de um domínio semelhante incorreto). Entradas expiram automaticamente após um período de tempo. A CBL não fornece acesso do público às provas recolhidas. CBL dados são usados em Spamhaus lista XBL. SPAMHAUS O Projeto Spamhaus é uma organização internacional sem fins lucrativos cuja missão é acompanhar as operações de spam da Internet e as fontes, para fornecer seguro de proteção anti-spam em tempo real para redes de Internet, para trabalhar com as autoridades policiais para identificar e perseguir gangues de spam em todo o mundo, e para pressionar o governo para a legislação anti-spam eficaz. Fundada em 1998, Spamhaus é baseada em Genebra, na Suíça e é executado por uma equipe dedicada de 38 investigadores e especialistas forenses localizada em 10 países. A Spamhaus mantém uma série de bloqueio de spam em tempo real usando bancos de dados ("DNSBLs ' ) responsável pela manutenção de volta a grande maioria do spam enviado na internet. Estes incluem a Lista de Bloqueios Spamhaus (SBL), a Lista de Bloqueios Exploits (XBL), a Lista de Bloqueios Política (PBL) e da Lista de Bloqueios de Domínio (DBL). DNSBLs Spamhaus são hoje utilizados pela maioria dos provedores da Internet E-mail Service, Empresas, Universidades, Governos e redes Militar. B)Neste caso podemos usar o site http://www.spamhaus.org/query onde colocamos o IP do servidor suspeito, e lá buscamos na blocklist se o servidor se encontra ou não nela. Ex:
  • 6. C) Caso o servidor esteja na blacklist por engano ,ou o problema de disparo de Spam já esteja solucionado basta pedir a removação do IP no site: 3-O arquivo anexo, mostra o acess.log de um servidor web Apache de uma organização que sofreu o cadastro de centenas de formulários contendo palavrões e ofensas nos mais diversos campos.O nome do formulário preenchido pelo impostor era "cadastro.php" e o endereço IP do Gateway é 200.100.50.65. Responda a)Qual o dia e período do evento malicioso? 01/Nov/2011:15:51:40 até [01/Nov/2011:16:05:59] b)Qual o nome do programa que cadastrava os dados deste formulário? inserir.php c)Qual ou quais, segundo sua análise, os possíveis endereços IP origem do ataque do impostor 200.245.207.8 d)A qual provedor este impostor deve ser associado ? corporativo.gvt.net.br [187.58.22.226]
  • 7. e) Que providencias poderia ser tomada? Após identificar o endereço IP do invasor, seria necessário negar tudo que vem do IP dele, outra coisa é imediatamente fazer uma configuração para proteger os diretório do web apache, instalar todos os patchs , deixar todo servidor atualizado e fazer um hardening do servidor. f)O que mais você pode acrescentar sobre o evento ? O Evento foi uma invasão real, e freqüentemente acontece esse tipo de ataque, de PHP injection , também é comum acontecer o SQL injection. Questão 4 : Esse passo é útil para utilização do (Debian) como servidor de Firewall, proxy (Squid) e DHCP e recebe notificações de incidentes de segurança do CAIS da RNP. O objetivo é a Identificação e eliminação da fonte da possível infecção. 1 – Acesse o firewall (servidor) com um usuário com permissão de root. No Linux isso pode ser feito com o comando abaixo. Caso seja Windows pode-se utilizar o programa putty. # ssh usuario@firewall.ifpi.edu.brEste endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo. Ex: ssh nsaraiva@10.0.0.254Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo. 2 – Com o acesso ao firewall, a primeira coisa é localizar o computador que possivelmente está infectado por algum malware ou pertence a alguma botnet. De início, verifique o log enviado pela equipe do CAIS da RNP. "Data e hora UTC+0","IP do bot","Porta origem","ASN","Pais","Estado","Cidade","Hostname","IP_BlockList","UDP/TCP","Tipo de infeccao","URL de conexao","Agente HTTP","IP CC","Porta CC","ASN CC","Pais CC","DNS Reverso CC","Nro de conexoes do bot","Conexao por proxy"
  • 8. "2011-05-03 03:46:29","200.100.50.34",55214,2715,"BR","-","- ",,"tcp","sinkhole",,,"74.208.164.166",80,8560,"US",,1,,,"Linux","2.4-2.6" Nesse exemplo, o destino que o computador possivelmente está enviando ou trocando informações é o IP 74.208.164.166. Grave esse IP pois vai ser utilizado na busca pelo computador infectado. 3 – De posse do IP de destino, abra os arquivos de acesso HTTP do Squid: # vi /var/log/squid/access.log 4 – Localize o ip de destino no arquivo aberto. Para isso use: Aperte a tecla ESC e depois / . Coloque ou digite o ip de destino, no exemplo: 74.208.164.166 5 – Dessa forma será encontrada a possível fonte da infecção, como no exemplo abaixo: 1307712096.457 137562 149.20.56.33 TCP_MISS/502 1359 GET http://bmakemegood24.com/?275b60=2579296&id=97878153210 - DIRECT/74.208.164.166 text/html Nesse exemplo, a fonte da infecção está no IP 149.20.56.33 Localize todas as fontes nesse arquivo do squid, para isso use a tecla N para localizar, no editor vi, a próxima ocorrência do ip de destino. 6 – De posse de todas as fontes que possivelmente estão infectadas vamos tentar identificar o nome dos computadores para facilitar a busca. Para isso, abra o arquivo do dhcpd.leases. # vi /var/lib/dhcp3/dhcpd.leases Use o mesmo procedimento para localizar a fonte da infecção, ou seja, localize o ip 149.20.56.33 nesse arquivo. Veja o exemplo abaixo: lease 149.20.56.33 { starts 5 2011/06/10 12:59:07; ends 6 2011/06/11 12:59:07; cltt 5 2011/06/10 12:59:07; binding state active; next binding state free; hardware ethernet 00:1b:11:0e:13:0b;
  • 9. uid "001000033021016023013"; client-hostname "ifpi-lab-c3-11"; } Nesse exemplo, o host que teve o Ip 149.20.56.33 alocado é ifpi-lab-c3-11. Pronto, localizado a fonte da infecção, no exemplo, seria um PC do laboratorio-c3-11. A partir daí, vá em loco e retire o pc da rede e faça alguma busca por atividade maliciosas usando um antivírus ou processos estranhos. Caso não identifique o problema, formate a máquina e se for Windows atualize-o e coloque um bom antivírus. Para os casos que não foram identificados os pcs infectados, o que pode ser feito é bloqueá-los diretamente no firewall através do endereço MAC. Isso pode ser feito usando o Shorewall ou próprio iptables. Segue abaixo um exemplo usando o shorewall. Abra o arquivo /etc/shorewall/maclist e adicione uma linha: #DISPOSITION INTERFACE MAC IP ADDRESSES (Optional) REJECT eth1 00:03:0d:f9:a6:88 #10.0.9.228 Onde o primeiro campo é REJECT ou DROP para bloquear o acesso ao pc, o segundo é a interface do firewall onde está ligado o pc, por último o mac do pc infectado. O endereço é opcional.
  • 10. REFERÊNCIAS http://www.spamhaus.org/query - Ultimo acesso em 29/11/11 http://cbl.abuseat.org/advanced.html - Ultimo aceso em 29/11/11 http://www.ifpi.edu.br/dti/ - Ultimo acesso em 29/11/11