O documento apresenta um trabalho sobre análise de logs realizado por Diego Souza e Igor Antônio para a disciplina de Segurança de Redes de Computadores da Universidade Estácio de Sá no Rio de Janeiro em 2011. O trabalho discute conceitos como CAIS, bot, botnet, análise de tráfego de rede e procedimentos para identificar e solucionar problemas de segurança.

1. DIEGO SOUZA – IGOR ANTÔNIO
DISCIPLINA: SEGURANÇA DE REDES DE
COMPUTADORES
UNIVERSIDADE ESTÁCIO DE SÁ
PÓS-GRADUAÇÃO
RIO DE JANEIRO
2011

2. DIEGO SOUZA – IGOR ANTÔNIO
TEMA: ANALISE DE LOGS
Trabalho apresentado à disciplina
Segurança de redes de computadores,
professor Sergio Franco
UNIVERSIDADE ESTÁCIO DE SÁ
PÓS-GRADUAÇÃO
RIO DE JANEIRO
2011

3. a)O que é CAIS ?
A Rede Nacional de Ensino e Pesquisa (RNP) atua na detecção, resolução e
prevenção de incidentes de segurança na rede RNP2 através de seu Centro de
Atendimento as Incidentes de Segurança (CAIS). Criado em 1997, o CAIS também divulga
informações e alertas de segurança e participa de organismos internacionais na área.
b)O que é Bot ?
Bot é um programa capaz de se propagar automaticamente, explorando
vulnerabilidades existentes ou falhas na configuração de softwares instalados em um
computador. Adicionalmente ao Worm, dispõe de mecanismos de comunicação com o
invasor, permitindo que o Bot seja controlado remotamente. Normalmente, o Bot se
conecta a um servidor de IRC (Internet Relay Chat) e entra em um canal (sala)
determinado. Então, ele aguarda por instruções do invasor, monitorando as mensagens
que estão sendo enviadas para este canal. O invasor, ao se conectar ao mesmo servidor de
IRC e entrar no mesmo canal, envia mensagens compostas por seqüencias especiais de
caracteres, que são interpretadas pelo Bot. Esta seqüencia de caracteres correspondem a
instruções que devem ser executadas pelo Bot.
c)O que é botnet ?
Botnet é um termo genérico para um conjunto de softwares “robotizados”,
apelidados por bots, que são executados automaticamente e de forma anônima. Este
termo também é utilizado quando um grupo de computadores, tipicamente vinte ou mais
são comprometidos (chamados computadores zombies) por um conjunto de software
maliciosos tais como: vírus, cavalo de troia , worms ou backdoors, os autores desses
ataques fazem isso de forma distribuída com intuito de burlar a identificação da origem
dos ataques bem como produzir ataques de negação de serviço distribuído (DDOS-
Distributed Deny of Service) desestabilizando serviços da internet tais como: Web e
serviços de correio(e-mail). Além disso o botnet também pode ser organizado com intuito

4. de distribuir spywares ou adwares e coletar as informações armazenadas, para o caso
específico dos spywares, e obter dados provativos do usuário .Ao serem obtidas estas
informações dos usuários, elas podem ser utilizadas com finalidades de mala direta,
conhecidos também como e-mail comerciais não solicitados ou SPAM.
O Conficker é um worm que utiliza técnicas de Botnet. No seu que de atuação
estima-se que mais de 10 milhões de computadores tenham feito parte de rede de
atuação deste worm com a geração de 10 bilhões de SPAM por dia.
d)Qual a maneira mais provável para que os sistemas em questão sejam analisados para
identificar o problema?(Metodologia)
Analisando trafego de rede de entrada e saída com o sotfware wireshark ou
outros analisadores.(http://www.securitytube.net/video/432)
e)Qual a maneira mais provável de solucionar o problema ? (Procedimentos)
Após analisar de onde está partindo o problema, verificando o trafego de rede, já
tendo o nome do bot, pesquisar melhores removedores para o determinado bot, atualizar
o sistema operacional, utilizar um antibot e antivírus, utilizar IPS.
2-a) O que são CBL e SPAMHAUS ?
CBL(composite blocking list) –
Lista de bloqueio composta em redes de computadores, o Composite Blocking Lista
(CBL) é uma lista de black hole de suspeita de spam enviando infecções ao computador.A
CBL tem seus dados de origem de spamtraps muito grande / infraestruturas de e-mail, e
apenas listas IPs apresentam características tais como:
• Proxies abertos de vários tipos (HTTP, socks, AnalogX, wingate, etc)
• Worms / vírus / botnets que faz o seu próprio correio de transmissão direta, ou estão
de outra maneira participando de uma botnet.
• Cavalo de Tróia ou "stealth" spamware.
Existem tentativas para evitar a CBL servidores listagem de e- mail, mas alguns erros de

5. configuração de servidores de correio pode tornar o sistema parece estar infectada (por
exemplo, os servidores que enviar HELO com 'localhost' ou de um domínio semelhante
incorreto). Entradas expiram automaticamente após um período de tempo. A CBL não
fornece acesso do público às provas recolhidas. CBL dados são usados em Spamhaus lista
XBL.
SPAMHAUS
O Projeto Spamhaus é uma organização internacional sem fins lucrativos cuja
missão é acompanhar as operações de spam da Internet e as fontes, para fornecer seguro
de proteção anti-spam em tempo real para redes de Internet, para trabalhar com as
autoridades policiais para identificar e perseguir gangues de spam em todo o mundo, e
para pressionar o governo para a legislação anti-spam eficaz.
Fundada em 1998, Spamhaus é baseada em Genebra, na Suíça e é executado por
uma equipe dedicada de 38 investigadores e especialistas forenses localizada em 10
países. A Spamhaus mantém uma série de bloqueio de spam em tempo real usando
bancos de dados ("DNSBLs ' ) responsável pela manutenção de volta a grande maioria do
spam enviado na internet. Estes incluem a Lista de Bloqueios Spamhaus (SBL), a Lista de
Bloqueios Exploits (XBL), a Lista de Bloqueios Política (PBL) e da Lista de Bloqueios de
Domínio (DBL). DNSBLs Spamhaus são hoje utilizados pela maioria dos provedores da
Internet E-mail Service, Empresas, Universidades, Governos e redes Militar.
B)Neste caso podemos usar o site http://www.spamhaus.org/query onde colocamos o IP
do servidor suspeito, e lá buscamos na blocklist se o servidor se encontra ou não nela.
Ex:

6. C) Caso o servidor esteja na blacklist por engano ,ou o problema de disparo de Spam já
esteja solucionado basta pedir a removação do IP no site:
3-O arquivo anexo, mostra o acess.log de um servidor web Apache de uma organização
que sofreu o cadastro de centenas de formulários contendo palavrões e ofensas nos
mais diversos campos.O nome do formulário preenchido pelo impostor era
"cadastro.php" e o endereço IP do Gateway é 200.100.50.65. Responda
a)Qual o dia e período do evento malicioso?
01/Nov/2011:15:51:40 até [01/Nov/2011:16:05:59]
b)Qual o nome do programa que cadastrava os dados deste formulário?
inserir.php
c)Qual ou quais, segundo sua análise, os possíveis endereços IP origem do ataque do
impostor
200.245.207.8
d)A qual provedor este impostor deve ser associado ?
corporativo.gvt.net.br [187.58.22.226]

7. e) Que providencias poderia ser tomada?
Após identificar o endereço IP do invasor, seria necessário negar tudo que vem do
IP dele, outra coisa é imediatamente fazer uma configuração para proteger os diretório do
web apache, instalar todos os patchs , deixar todo servidor atualizado e fazer um
hardening do servidor.
f)O que mais você pode acrescentar sobre o evento ?
O Evento foi uma invasão real, e freqüentemente acontece esse tipo de ataque, de
PHP injection , também é comum acontecer o SQL injection.
Questão 4 :
Esse passo é útil para utilização do (Debian) como servidor de Firewall, proxy
(Squid) e DHCP e recebe notificações de incidentes de segurança do CAIS da RNP.
O objetivo é a Identificação e eliminação da fonte da possível infecção.
1 – Acesse o firewall (servidor) com um usuário com permissão de root. No Linux isso pode
ser feito com o comando abaixo. Caso seja Windows pode-se utilizar o programa putty.
# ssh usuario@firewall.ifpi.edu.brEste endereço de e-mail está protegido contra spambots.
Você deve habilitar o JavaScript para visualizá-lo.
Ex: ssh nsaraiva@10.0.0.254Este endereço de e-mail está protegido contra spambots.
Você deve habilitar o JavaScript para visualizá-lo.
2 – Com o acesso ao firewall, a primeira coisa é localizar o computador que possivelmente
está infectado por algum malware ou pertence a alguma botnet. De início, verifique o log
enviado pela equipe do CAIS da RNP.
"Data e hora UTC+0","IP do bot","Porta
origem","ASN","Pais","Estado","Cidade","Hostname","IP_BlockList","UDP/TCP","Tipo de
infeccao","URL de conexao","Agente HTTP","IP CC","Porta CC","ASN CC","Pais CC","DNS
Reverso CC","Nro de conexoes do bot","Conexao por proxy"

8. "2011-05-03 03:46:29","200.100.50.34",55214,2715,"BR","-","-
",,"tcp","sinkhole",,,"74.208.164.166",80,8560,"US",,1,,,"Linux","2.4-2.6"
Nesse exemplo, o destino que o computador possivelmente está enviando ou trocando
informações é o IP 74.208.164.166. Grave esse IP pois vai ser utilizado na busca pelo
computador infectado.
3 – De posse do IP de destino, abra os arquivos de acesso HTTP do Squid:
# vi /var/log/squid/access.log
4 – Localize o ip de destino no arquivo aberto. Para isso use:
Aperte a tecla ESC e depois / . Coloque ou digite o ip de destino, no exemplo:
74.208.164.166
5 – Dessa forma será encontrada a possível fonte da infecção, como no exemplo abaixo:
1307712096.457 137562 149.20.56.33 TCP_MISS/502 1359 GET
http://bmakemegood24.com/?275b60=2579296&id=97878153210 -
DIRECT/74.208.164.166 text/html
Nesse exemplo, a fonte da infecção está no IP 149.20.56.33
Localize todas as fontes nesse arquivo do squid, para isso use a tecla N para localizar, no
editor vi, a próxima ocorrência do ip de destino.
6 – De posse de todas as fontes que possivelmente estão infectadas vamos tentar
identificar o nome dos computadores para facilitar a busca. Para isso, abra o arquivo do
dhcpd.leases.
# vi /var/lib/dhcp3/dhcpd.leases
Use o mesmo procedimento para localizar a fonte da infecção, ou seja, localize o ip
149.20.56.33 nesse arquivo. Veja o exemplo abaixo:
lease 149.20.56.33 {
starts 5 2011/06/10 12:59:07;
ends 6 2011/06/11 12:59:07;
cltt 5 2011/06/10 12:59:07;
binding state active;
next binding state free;
hardware ethernet 00:1b:11:0e:13:0b;

9. uid "001000033021016023013";
client-hostname "ifpi-lab-c3-11";
}
Nesse exemplo, o host que teve o Ip 149.20.56.33 alocado é ifpi-lab-c3-11. Pronto,
localizado a fonte da infecção, no exemplo, seria um PC do laboratorio-c3-11. A partir daí,
vá em loco e retire o pc da rede e faça alguma busca por atividade maliciosas usando um
antivírus ou processos estranhos. Caso não identifique o problema, formate a máquina e
se for Windows atualize-o e coloque um bom antivírus.
Para os casos que não foram identificados os pcs infectados, o que pode ser feito é
bloqueá-los diretamente no firewall através do endereço MAC. Isso pode ser feito usando
o Shorewall ou próprio iptables. Segue abaixo um exemplo usando o shorewall.
Abra o arquivo /etc/shorewall/maclist e adicione uma linha:
#DISPOSITION INTERFACE MAC IP ADDRESSES (Optional)
REJECT eth1 00:03:0d:f9:a6:88 #10.0.9.228
Onde o primeiro campo é REJECT ou DROP para bloquear o acesso ao pc, o segundo é a
interface do firewall onde está ligado o pc, por último o mac do pc infectado. O endereço é
opcional.

10. REFERÊNCIAS
http://www.spamhaus.org/query - Ultimo acesso em 29/11/11
http://cbl.abuseat.org/advanced.html - Ultimo aceso em 29/11/11
http://www.ifpi.edu.br/dti/ - Ultimo acesso em 29/11/11