none
Intrusos RRS feed

  • Pergunta

  • Bom Dia pessoal,

    verificando o log do ISA Server 2004 vi a seguinte messagem que tem alguem invadindo o servidor

    ISA Server detected an all port scan attack from Internet Protocol (IP) address xxx.xxx.xxx.xxx.

    Como faço, o q devo fechar para evitar isso?

    Obrigado.
    • Movido Hengzhe Li quarta-feira, 28 de março de 2012 05:50 (De:ISA Server 2004)
    segunda-feira, 7 de janeiro de 2008 17:34

Todas as Respostas

  • Boa noite Luiz...

     

    esse alerta é um aviso de q algum micro tentou scanear suas portas, para ver quais estao aberta e possivelmente tentar alguma invasao.

     

    é dificil te dizer oq fechar. Vc deve analisar suas regras de Publish, e ver se somente estao abertas portas q realmente sao usadas.

     

    um detalhe importante é q no momento q o ISA detecta uma tentiva de intrusao, ele bloqueia o IP q esta originando o possivel ataque...

     

    classifique o post, caso ele tenha sido util para voce.

     

    abraço

    segunda-feira, 7 de janeiro de 2008 23:03
  • Bruno, Obigado.

    Ainda me resta uma dúvida: hoje eu recebi mais de 15 notificações de uns 3 ou 4 ip's diferentes, mas repetitivos. Isso então significa q só foi uma tentativa, ou há como ter certeza?

    As regras são as básicas, algumas bloqueando protocolos tipo msn, gtalk, etc. outras bloqueando vírus, tipo Blaster, mydoom e liberando http e https externo ( essa é a única regra q libera para a externa.

    Obrigado.
    segunda-feira, 7 de janeiro de 2008 23:17
  • Olá Luiz,

     

    Se a mensagem foi a mesma, significa que foi uma tentativa, geralmente são pessoas brincando de ser hacker, então eles ficam escaneando o teu firewall tentando descobrir futuras vulnerabilidades.

    O importante nestes casos, como o bruno falou, verificar as configurações das tuas regras e se após estes alertas de port scan, algum destes IPs tentou algum tipo de conexão em alguma porta que esteja aberta no seu ISA.

     

    terça-feira, 8 de janeiro de 2008 16:12
  • André,

    Obrigado pela ajuda. Mais uma dúvida: Alguem conseguindo acessar de alguma maneira, tem como eu ter certeza se conseguiram uma conexão. Inclusive são os mesmo IP's.

    Mais uma vez, obrigado.
    terça-feira, 8 de janeiro de 2008 16:24
  • boa tarde Luiz..

     

    analise os Logging do ISA na mesma data do eventos de tentativa de invasao, e veja se tem algum acesso permitido desse ips para rede LocalHost e Internal..

     

    abraço

    terça-feira, 8 de janeiro de 2008 16:32
  • Luiz,

     

    Tu pode verificar isso no ISA Server, na parte de relatórios ou nos logs on-line.

    Analisando as origem que fizeram conexões e que tiveram accept ou denied.

     

    Também pode fazer análise com o comando "netstat" no prompt, veja o exemplo:

    C:\Documents and Settings\andias>netstat -an

    Active Connections

      Proto  Local Address          Foreign Address        State
      TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
      TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
      TCP    0.0.0.0:34603          0.0.0.0:0              LISTENING
      TCP    127.0.0.1:1035         0.0.0.0:0              LISTENING
      TCP    192.168.1.103:139      0.0.0.0:0              LISTENING
      TCP    192.168.1.103:1560     200.190.130.18:3389    ESTABLISHED
      TCP    192.168.1.103:2811     192.168.1.2:1433       ESTABLISHED
      TCP    192.168.1.103:3323     192.168.1.3:3128       ESTABLISHED
      TCP    192.168.1.103:3336     192.168.1.3:3128       TIME_WAIT
      TCP    192.168.1.103:3337     192.168.1.3:3128       TIME_WAIT
      TCP    192.168.1.103:3338     192.168.1.3:3128       TIME_WAIT
      TCP    192.168.1.103:3340     192.168.1.3:3128       TIME_WAIT
      TCP    192.168.1.103:3341     192.168.1.3:3128       TIME_WAIT
      TCP    192.168.1.103:4689     192.168.1.2:1433       ESTABLISHED
      TCP    192.168.1.103:4691     192.168.1.2:1433       ESTABLISHED
      TCP    192.168.1.103:4791     207.46.108.73:1863     ESTABLISHED

    terça-feira, 8 de janeiro de 2008 16:32
  • André e Bruno, muito obrigado.

    Abraços.
    terça-feira, 8 de janeiro de 2008 17:39
  • de nada...

     

    nao esqueça de classificar as mensagens q lhe foram úteis.

     

    abraço

     

    terça-feira, 8 de janeiro de 2008 18:39
  • As ordens Luiz!

     

    Não esqueça de avaliar, se as informações foram utéis.

     

    terça-feira, 8 de janeiro de 2008 19:06