Página 1 de 2 12 ÚltimoÚltimo
Resultados 1 a 10 de 13
  1. #1
    Louco pelo WHT Brasil
    Data de Ingresso
    Dec 2011
    Posts
    168

    Reagindo a brute forces denunciando para blacklists

    Fico um bocado irritado/frustrado com os brute forces que recebo. Utilizo o csf em meus servidores e na décima tentativa errada de senha, o IP é bloqueado. Se houver muitas recorrências no mesmo bloco, todo /24 é bloqueado. Mas acho pouco apenas me defender. Gostaria que outros sysadmins pudessem usufruir dessa lista de IPs que já detectei como abusivos e o sistema autônomo dono do IP seja informado. Curiosamente, aos fins de semana a taxa de tentativas mais que dobra.

    Cheguei a fazer um esforço de acionar alguns dos e-mails de abuse apresentando os logs, mas raramente recebo uma resposta formal. Além de ser um volume desumano de e-mails para enviar e caçar no WHOIS o contato correto. A forma que encontrei para conseguir o que desejo foi adicionar automaticamente na blacklist DroneBL.org os IPs que o csf bloqueia por brute force. O csf em suas configurações um item que permite que selecionemos um script a ser rodado a cada bloqueio e o primeiro argumento ($1) é justamente o IP atacante. Então eu chamo o script que faz submit no DroneBL e pronto, automaticamente o IP está na blacklist.

    O principal motivo de eu ter optado pela DroneBL é uma interface web que eles tem para sistemas autônomos que facilmente lista todos os IPs que foram denunciados e permite configurar inclusive alertas para quando algum IP de seu AS for blacklisted. A remoção de IP da não envolve multas ou valores financeiros e é feita automaticamente por um formulário. Achei um mecanismo justo e transparente de blacklist.

    Nosso NOC toma o cuidado de analisar cada ocorrência. Já ocorreu uma vez de um cliente legítimo nosso estar fazendo flood de tentativas de login com a mesma senha e acabou sendo denunciado. Mas imediatamente tiramos o bloqueio no csf/iptables, tiramos o IP do DroneBL e acionamos o cliente por chamado com instruções.

    Gostaria de obter dos senhores frequentadores deste fórum opiniões sobre meu procedimento e convidá-los a fazerem o mesmo caso gostem da abordagem.

  2. #2
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    14,983
    Que tal usar uma porta diferente da default?

  3. #3
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,608
    Cheguei a ler algo sobre ip clonados, e se isso acontecer? Alguém clona um ip de um servidor legitimo faz alguns ataques, no caso em seu servidor, e ao verificar, o servidor mesmo esta tudo ok?

    É possivel acontecer isso? Porque se for, vejo que apenas o dronebl vai se beneficiar mesmo deste procedimento.
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  4. #4
    Louco pelo WHT Brasil
    Data de Ingresso
    Dec 2011
    Posts
    168
    Citação Postado originalmente por 5ms Ver Post
    Que tal usar uma porta diferente da default?
    O csf já propicia um bloqueio eficiente e rápido. O meu desejo não é me defender, isso já faço bem. Meu objetivo é reagir, divulgar o IP para que os responsáveis fiquem cientes e outros sysadmins preventivamente façam seus bloqueios se assim preferirem.

  5. #5
    Louco pelo WHT Brasil
    Data de Ingresso
    Dec 2011
    Posts
    168
    Citação Postado originalmente por chuvadenovembro Ver Post
    Cheguei a ler algo sobre ip clonados, e se isso acontecer? Alguém clona um ip de um servidor legitimo faz alguns ataques, no caso em seu servidor, e ao verificar, o servidor mesmo esta tudo ok?

    É possivel acontecer isso? Porque se for, vejo que apenas o dronebl vai se beneficiar mesmo deste procedimento.
    Até onde compreendo, essa clonagem serviria em ataques UDP e ICMP. Mas para brute force onde efetivamente está se tentando estabelecer uma conexão TCP entre as duas pontas, não me parece ser possível essa fraude. Afinal, isso seria uma preocupação permanente em qualquer sistema de blacklist público como são usados nos serviços antispam de e-mails. Se alguém puder esclarecer isso, eu agradeço.

  6. #6
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    14,983
    Citação Postado originalmente por kurtkraut Ver Post
    O csf já propicia um bloqueio eficiente e rápido. O meu desejo não é me defender, isso já faço bem. Meu objetivo é reagir, divulgar o IP para que os responsáveis fiquem cientes e outros sysadmins preventivamente façam seus bloqueios se assim preferirem.
    Então um bobalhão usando um IP dinâmico ou uma lan house tenta acessar um site usando uma porta conhecida e aquele bloco de IP é inserido numa lista "para dar uma lição ao provedor". Péssima idéia.
    Última edição por 5ms; 21-02-2012 às 07:05.

  7. #7
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    14,983
    De novembro a janeiro, eu tive um servidor acessado simultaneamente por ~6.000 IPs religiosamente em intervalos de 6 horas tentando descobrir não apenas passwords usando força bruta, mas portas comprometidas e software vulneráveis. IPs do mundo todo, IPs diferentes em cada lote.

    Alertei o provedor e ... o ataque estava ocorrendo em todos os IPs do data center, que tem uma postura "relaxa e goza". Como eu não uso portas default (exceto a 80) em nenhum momento o buzilhão de acessos (10Mbps durante 1h cada) representou risco. Por sua vez, como o acesso HTTP no meu caso é restrito a um conjunto de IPs (IPs do país do dc) todos os demais requests foram ignorados, não causando disturbios na experiência dos visitantes legitimos. Resultado: 20GB de tráfego inbound por dia jogado no lixo, perdido no limbo do timeout. O DC não liga a minima. A minha banda é unmetered. Fazer o que?

    O meu ponto é simples: "Sysadmin" tem que se preocupar em garantir a segurança do servidor e o acesso dos visitantes legitimos. Usar porta default para determinados serviços e bloquear IPs não é boa prática. Reagir a ataques não faz parte da descrição do cargo.
    Última edição por 5ms; 21-02-2012 às 07:55.

  8. #8
    Louco pelo WHT Brasil
    Data de Ingresso
    Dec 2011
    Posts
    168
    Citação Postado originalmente por 5ms Ver Post
    Então um bobalhão usando um IP dinâmico ou uma lan house tenta acessar um site usando uma porta conhecida e aquele bloco de IP é inserido numa lista "para dar uma lição ao provedor". Péssima idéia.
    Como eu disse, todas as ocorrências são revisadas após a adição ao blacklist e analisados se o blacklist e o bloqueio devem persistir ou não.

  9. #9
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    14,983
    O problema de bloquear um IP é que o atacante de hoje é o visitante legitimo de amanhã. É basicamente um tiro no pé, geralmente no desavisado pé alheio dos usuários que, por ignorância, deixaram o sysadmin usar irresponsavelmente o sistema como playground, laboratório, canal de vazão de caprichos ou delirios autoritários. Ao usar uma lista elaborada por terceiros para bloquear IPs, o tiroteiro no pé dos usuários é incontrolável, indesculpável, tem imenso potencial para causar grandes prejuizos e, na minha opinião, motivo para demissão por justa causa e/ou mover um processo.

  10. #10
    Aspirante a Evangelist
    Data de Ingresso
    Feb 2012
    Localização
    Lisboa, Portugal
    Posts
    403
    Também concordo que usar blacklist e listar automaticamente IPs é uma má pratica pois sem duvida que existem muitos falsos positivos (temos clientes que erram login todos os dias).
    Pior são os datacenters que ignoram abuses quando um cliente esta a enviar ddos de 1Gbps...
    Sampling Line - Serviços e Internet, Lda.
    PTServidor - Alojamento Web, Domínios, Lojas, VPS, Radios, Dedicados, Housing/Colocation
    Blog PTServidor | Registrar Oficial FCCN|MS Partner|R1Soft

Tags para este Tópico

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •