Re: Sasser e iptables
Jejejejeje, cierto... Muy weno :) - Original Message - From: "Gotzon Astondoa" <[EMAIL PROTECTED]> To: Sent: Friday, May 14, 2004 9:18 AM Subject: Re: Sasser e iptables Hola: Por supuesto que puede entrar. La pregunta es ¿quién se llevo el portatil a casa y navegó por internet (pillando así el virus) y luego lo puso en la red corporativa? ¿ein? ta luego... - Original Message - From: "Rafael Ledesma Serrano" <[EMAIL PROTECTED]> To: "Angel Vicente Perez" <[EMAIL PROTECTED]>; Sent: Friday, May 14, 2004 9:05 AM Subject: Re: Sasser e iptables > Siento chafaros la tranquilidad pero yo estoy en una red corporativa privada > y entra... :( > > Dos opciones: Parchear una vez mas window$ o usar DebiaN :) > > Por cierto, desgraciadamente mas vale que nos vayamos todos haciendo a la > idea de tener que usar un firewall porque tal y como estan las cosas > ultimamente no va a quedar mas remedio. > > Saludos > > > > > - Original Message - > From: "Angel Vicente Perez" <[EMAIL PROTECTED]> > To: > Sent: Friday, May 14, 2004 8:39 AM > Subject: RE: Sasser e iptables > > > > Hola a todos: > > > > No es que yo entienda mucho del tema pero cuando estuve > > leyendo me pareció entender que la infección sólo puede darse > > en caso de que la máquina tenga una IP púbica, nunca a través > > de un router. > > > > Si, yo tambien he leido en ese sentido, y la verdad es que me tranquiliza > saberlo. > > En cuanto al firewall de xp, algun compañero lo ha activado en casa, y > despues lo ha desactivado, no se si por no saber usarlo, o por una falta > real de flexibilidad. > > Espero no tener que usarlo nunca. > > Saludos > > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Sasser e iptables
Hola: Por supuesto que puede entrar. La pregunta es ¿quién se llevo el portatil a casa y navegó por internet (pillando así el virus) y luego lo puso en la red corporativa? ¿ein? ta luego... - Original Message - From: "Rafael Ledesma Serrano" <[EMAIL PROTECTED]> To: "Angel Vicente Perez" <[EMAIL PROTECTED]>; Sent: Friday, May 14, 2004 9:05 AM Subject: Re: Sasser e iptables > Siento chafaros la tranquilidad pero yo estoy en una red corporativa privada > y entra... :( > > Dos opciones: Parchear una vez mas window$ o usar DebiaN :) > > Por cierto, desgraciadamente mas vale que nos vayamos todos haciendo a la > idea de tener que usar un firewall porque tal y como estan las cosas > ultimamente no va a quedar mas remedio. > > Saludos > > > > > - Original Message - > From: "Angel Vicente Perez" <[EMAIL PROTECTED]> > To: > Sent: Friday, May 14, 2004 8:39 AM > Subject: RE: Sasser e iptables > > > > Hola a todos: > > > > No es que yo entienda mucho del tema pero cuando estuve > > leyendo me pareció entender que la infección sólo puede darse > > en caso de que la máquina tenga una IP púbica, nunca a través > > de un router. > > > > Si, yo tambien he leido en ese sentido, y la verdad es que me tranquiliza > saberlo. > > En cuanto al firewall de xp, algun compañero lo ha activado en casa, y > despues lo ha desactivado, no se si por no saber usarlo, o por una falta > real de flexibilidad. > > Espero no tener que usarlo nunca. > > Saludos > > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Sasser e iptables
Siento chafaros la tranquilidad pero yo estoy en una red corporativa privada y entra... :( Dos opciones: Parchear una vez mas window$ o usar DebiaN :) Por cierto, desgraciadamente mas vale que nos vayamos todos haciendo a la idea de tener que usar un firewall porque tal y como estan las cosas ultimamente no va a quedar mas remedio. Saludos - Original Message - From: "Angel Vicente Perez" <[EMAIL PROTECTED]> To: Sent: Friday, May 14, 2004 8:39 AM Subject: RE: Sasser e iptables > Hola a todos: > > No es que yo entienda mucho del tema pero cuando estuve > leyendo me pareció entender que la infección sólo puede darse > en caso de que la máquina tenga una IP púbica, nunca a través > de un router. > Si, yo tambien he leido en ese sentido, y la verdad es que me tranquiliza saberlo. En cuanto al firewall de xp, algun compañero lo ha activado en casa, y despues lo ha desactivado, no se si por no saber usarlo, o por una falta real de flexibilidad. Espero no tener que usarlo nunca. Saludos
RE: Sasser e iptables
> Hola a todos: > > No es que yo entienda mucho del tema pero cuando estuve > leyendo me pareció entender que la infección sólo puede darse > en caso de que la máquina tenga una IP púbica, nunca a través > de un router. > Si, yo tambien he leido en ese sentido, y la verdad es que me tranquiliza saberlo. En cuanto al firewall de xp, algun compañero lo ha activado en casa, y despues lo ha desactivado, no se si por no saber usarlo, o por una falta real de flexibilidad. Espero no tener que usarlo nunca. Saludos
Re: Sasser e iptables
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Yo pienso que es algo parecido. La duda que tengo es si activando el firewall (o servidor de seguridad que llaman ellos) que lleva incorporado el xp, se evita esto, aunque estés conectado a través de un módem en vez de un router. El viernes estuve instalando un xp con una conexión adsl de timofónica por módem USB y el antivirus detectó el sasser y el Wrandex intentando entrar en la máquina. Cuando activé el firewall parece que los ataques cesaron. Mirando el registro del windoze según especifican en http://www.symantec.es no parecía que el pc hubiera sido infectado. De hecho, con el antivirus actualizado hice varios escaneos de la totalidad de los discos y no encontró nada. No sé si esto aclara algo el tema o lo lía más :P Gotzon Astondoa kirjoitti: > Hola a todos: > > No es que yo entienda mucho del tema pero cuando estuve leyendo me > pareció entender que la infección sólo puede darse en caso de que la > máquina tenga una IP púbica, nunca a través de un router. > > Es decir, la máquina que ya está infectada y quiere infectar a otra, > intenta establecer un comunicación contra una IP de una máquina (que ha de > tener W2000 o XP instalado y con el correspondiente bug para aceptar la > llamada). Intenta establecer la comunicación. Lo cual no es lo normal, > puesto que cuando nosotros accedemos a internet somos nosotros los que > establecemos la comunicación y no al revés. > Por tanto, la infección puede ocurrir si: > - se usa un módem y nuesto ISP nos de una IP fija al > conectarnos Por ejemplo Telefónica lo hace así, pero creo que Euskaltel no > lo hace así porque usa otro método (tiene un pull de direcciones IP o algo > así). > - Se tiene un PC en internet con IP fija y W200 XP y este PC > puede contactar de algún modo con la red interna. > > Y ahora, espero que alguien que sepa de verdad del tema me saque los > colores por las barbaridades que he podido decir. > > - Original Message - > From: "Angel Vicente Perez" <[EMAIL PROTECTED]> > To: > Sent: Tuesday, May 11, 2004 9:55 AM > Subject: RE: Sasser e iptables > > > > Por lo que tengo entendido, no deberías forwardear nada (ni > > > desde afuera hacia adentro, ni desde adentro hacia afuera) > > > con el puerto 445 y el puerto 5554. Luego, quitar el virus. :( > > > > > > Saludos > > > Marcelo > > > > Bien, por la falta de sintomas (reseteos), diria que no hay ninguna > > maquina > > > infectada. > > > > Tengo una duda: todas estas maquinas son filtradas a traves de la maquina > > con iptables, y despues salen a traves de un router, que es el que > > realmente > > > tiene la IP publica. > > > > La intrusion efectuada por el Sasser, se efectuaria a la interface con IP > > publica de mi router, o lo traspasaria. > > > > Por otro lado, tengo en mi firewall : > > > > iptables -P FORWARD DROP como politica por defecto > > > > luego tengo todas las lineas correspondientes a los PC que pueden hacer > > FORWARD al exterior, y despues tengo > > > > iptables -i eth1 -d 192.168.0/24 -m state --state ESTABLISHED, RELATED -j > > ACCEPT > > > > siendo eth1 la tarjeta que une la maquina con iptables y el router. > > Entiendo > > > que lo que hace esta regla, es comprobar que los paquetes dirigidos a mis > > PCs, y con origen exterior, son consecuencia de conexiones originadas en > > mis > > > PCs. Si es asi, no se si seria una proteccion suficiente. > > > > Saludos - -- Einar Matveinen Vitoð ér enn eða hvat var der mere I ville vide Vitoð ér enn eða hvat vil I mere før jeg forsvinder under solen Rekisteröitynyt Linux käyttäjä nro 221083 Katso http://barrapunto.com/index.pl?section=mbp-einarmatveinen -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQFAoJ9bWskLvsnDTo0RAnnwAJ9i3FMGEdcU6ZqxsTEb4HA1bm/60QCeN9lt XRtjfjvoPFt+Q32ffLMW9Ag= =3UlK -END PGP SIGNATURE-
Re: Sasser e iptables
Hola a todos: No es que yo entienda mucho del tema pero cuando estuve leyendo me pareció entender que la infección sólo puede darse en caso de que la máquina tenga una IP púbica, nunca a través de un router. Es decir, la máquina que ya está infectada y quiere infectar a otra, intenta establecer un comunicación contra una IP de una máquina (que ha de tener W2000 o XP instalado y con el correspondiente bug para aceptar la llamada). Intenta establecer la comunicación. Lo cual no es lo normal, puesto que cuando nosotros accedemos a internet somos nosotros los que establecemos la comunicación y no al revés. Por tanto, la infección puede ocurrir si: - se usa un módem y nuesto ISP nos de una IP fija al conectarnos Por ejemplo Telefónica lo hace así, pero creo que Euskaltel no lo hace así porque usa otro método (tiene un pull de direcciones IP o algo así). - Se tiene un PC en internet con IP fija y W200 XP y este PC puede contactar de algún modo con la red interna. Y ahora, espero que alguien que sepa de verdad del tema me saque los colores por las barbaridades que he podido decir. - Original Message - From: "Angel Vicente Perez" <[EMAIL PROTECTED]> To: Sent: Tuesday, May 11, 2004 9:55 AM Subject: RE: Sasser e iptables > > > > Por lo que tengo entendido, no deberías forwardear nada (ni > > desde afuera hacia adentro, ni desde adentro hacia afuera) > > con el puerto 445 y el puerto 5554. Luego, quitar el virus. :( > > > > Saludos > > Marcelo > > Bien, por la falta de sintomas (reseteos), diria que no hay ninguna maquina > infectada. > > Tengo una duda: todas estas maquinas son filtradas a traves de la maquina > con iptables, y despues salen a traves de un router, que es el que realmente > tiene la IP publica. > > La intrusion efectuada por el Sasser, se efectuaria a la interface con IP > publica de mi router, o lo traspasaria. > > Por otro lado, tengo en mi firewall : > > iptables -P FORWARD DROP como politica por defecto > > luego tengo todas las lineas correspondientes a los PC que pueden hacer > FORWARD al exterior, y despues tengo > > iptables -i eth1 -d 192.168.0/24 -m state --state ESTABLISHED, RELATED -j > ACCEPT > > siendo eth1 la tarjeta que une la maquina con iptables y el router. Entiendo > que lo que hace esta regla, es comprobar que los paquetes dirigidos a mis > PCs, y con origen exterior, son consecuencia de conexiones originadas en mis > PCs. Si es asi, no se si seria una proteccion suficiente. > > Saludos > >
RE: Sasser e iptables
> > Por lo que tengo entendido, no deberías forwardear nada (ni > desde afuera hacia adentro, ni desde adentro hacia afuera) > con el puerto 445 y el puerto 5554. Luego, quitar el virus. :( > > Saludos > Marcelo Bien, por la falta de sintomas (reseteos), diria que no hay ninguna maquina infectada. Tengo una duda: todas estas maquinas son filtradas a traves de la maquina con iptables, y despues salen a traves de un router, que es el que realmente tiene la IP publica. La intrusion efectuada por el Sasser, se efectuaria a la interface con IP publica de mi router, o lo traspasaria. Por otro lado, tengo en mi firewall : iptables -P FORWARD DROP como politica por defecto luego tengo todas las lineas correspondientes a los PC que pueden hacer FORWARD al exterior, y despues tengo iptables -i eth1 -d 192.168.0/24 -m state --state ESTABLISHED, RELATED -j ACCEPT siendo eth1 la tarjeta que une la maquina con iptables y el router. Entiendo que lo que hace esta regla, es comprobar que los paquetes dirigidos a mis PCs, y con origen exterior, son consecuencia de conexiones originadas en mis PCs. Si es asi, no se si seria una proteccion suficiente. Saludos
Re: Sasser e iptables
Buenas: Yo metí estas reglas en el iptables y creo que andan bién: $IPTABLES -N bloqueos # #Virus Sasser y Vulnerabilidad MS04-011 # $IPTABLES -A bloqueos -p TCP --dport 445 -j DROP $IPTABLES -A bloqueos -p UDP --dport 445 -j DROP $IPTABLES -A bloqueos -p UDP --dport 5554 -j DROP $IPTABLES -A bloqueos -p TCP --dport 5554 -j DROP $IPTABLES -A bloqueos -p UDP --dport 9996 -j DROP $IPTABLES -A bloqueos -p TCP --dport 9996 -j DROP Bueno como ves tengo una tabla para los "bloqueos" si no tienes algo así creo que lo puedes hacer en la FORWARD pero vas a tener que probar. Saludos, rak On Mon, May 10, 2004 at 02:34:44PM +0200, Angel Vicente Perez wrote: > Hola a todos > > Tenemos en el trabajo, una red con mas de 50 PCs con W2000 y WXP, para salir > a internet, estoy usando un maquina con Debian e iptables, no todos tienen > salida a Inet. > > El rollo este del Sasser, me tiene preocupado, porque es seguro que hay un > monton de maquinas sin el parche de marras, instalarlo en todas en poco > tiempo, va a ser bastante dificil. > > La idea es si con la configuracion de iptables, puedo tener suficiente > proteccion hasta que instale los parches. > > Si es asi, que configuracion habria que establecer > > Saludos y gracias de antemano > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] >
Re: Sasser e iptables
Marcelo Fernandez wrote: Copiado de hispasec: Así funciona Los ordenadores infectados por Sasser abren un servicio FTP en el puerto TCP/5554 para permitir la descarga del ejecutable del gusano. Para infectar a otros sistemas, el gusano realiza un barrido de direcciones IP semialeatorio, intentando conectar con el puerto TCP/445 de cada una de ellas (puerto por defecto donde se encuentra el servicio LSSAS vulnerable). El 25% de las direcciones IPs a las que se dirige pertenecen a la misma clase A que la dirección IP del ordenador infectado, otro 25% corresponderá a la misma clase B, mientras que el 50% restante son calculadas completamente al azar. Cada vez que consigue contactar con el puerto TCP/445 en alguna de las IPs, envía código para explotar la vulnerabilidad LSASS, de forma que si el sistema es vulnerable logra abrir un shell en el puerto TCP/9996. Desde ese shell fuerza una conexión al puerto TCP/5554 del ordenador infectado desde el que realizó el barrido, para descargar por FTP el ejecutable del gusano. El nombre del archivo descargado será [numero]_up.exe, donde [numero] equivale a una serie de dígitos al azar, por ejemplo 23983_up.exe. En el nuevo sistema el gusano se copia en la carpeta de Windows como avserve.exe con un tamaño de 15.872 bytes, y añade la siguiente clave en el registro de Windows para asegurarse su ejecución en cada inicio de sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe"="%Windir%\avserve.exe" El nuevo sistema infectado actuará entonces como otro punto de distribución, iniciando un nuevo barrido de IPs en busca de otros sistemas vulnerables a los que infectar. Por lo que tengo entendido, no deberías forwardear nada (ni desde afuera hacia adentro, ni desde adentro hacia afuera) con el puerto 445 y el puerto 5554. Luego, quitar el virus. :( Saludos Marcelo Lo cual tambien te impedira usar tus maquinas como servidor de "microsoft-ds" (que no se muy bien que hace, pero usa el puerto 445) ni, lo que es mas importante, de cliente de cualquier servicio a traves del puerto 5554. Cuando te conectas a un servicio de red como cliente, generalmente tu maquina usara un puerto alto (>1024) elegido aleatoriamente. O sea que si tienes un poco de mala suerte ( = mala suerte / 50 maquinas) te encontraras que en alguna ocasion una de esas maquinas se quiera conectar pongamos a una pagina web usando dicho puerto. Entonces, la aplicacion (pongamos el MSIE) parecera que se cuelga, pero en el fondo lo que pasara es que tu firewall estara tirando todos los paquetes que le lleguen desde ese puerto desde tus maquinas. Valoralo y elige. jc Angel Vicente Perez escribió: Hola a todos Tenemos en el trabajo, una red con mas de 50 PCs con W2000 y WXP, para salir a internet, estoy usando un maquina con Debian e iptables, no todos tienen salida a Inet. El rollo este del Sasser, me tiene preocupado, porque es seguro que hay un monton de maquinas sin el parche de marras, instalarlo en todas en poco tiempo, va a ser bastante dificil. La idea es si con la configuracion de iptables, puedo tener suficiente proteccion hasta que instale los parches. Si es asi, que configuracion habria que establecer Saludos y gracias de antemano
Re: Sasser e iptables
Copiado de hispasec: Así funciona Los ordenadores infectados por Sasser abren un servicio FTP en el puerto TCP/5554 para permitir la descarga del ejecutable del gusano. Para infectar a otros sistemas, el gusano realiza un barrido de direcciones IP semialeatorio, intentando conectar con el puerto TCP/445 de cada una de ellas (puerto por defecto donde se encuentra el servicio LSSAS vulnerable). El 25% de las direcciones IPs a las que se dirige pertenecen a la misma clase A que la dirección IP del ordenador infectado, otro 25% corresponderá a la misma clase B, mientras que el 50% restante son calculadas completamente al azar. Cada vez que consigue contactar con el puerto TCP/445 en alguna de las IPs, envía código para explotar la vulnerabilidad LSASS, de forma que si el sistema es vulnerable logra abrir un shell en el puerto TCP/9996. Desde ese shell fuerza una conexión al puerto TCP/5554 del ordenador infectado desde el que realizó el barrido, para descargar por FTP el ejecutable del gusano. El nombre del archivo descargado será [numero]_up.exe, donde [numero] equivale a una serie de dígitos al azar, por ejemplo 23983_up.exe. En el nuevo sistema el gusano se copia en la carpeta de Windows como avserve.exe con un tamaño de 15.872 bytes, y añade la siguiente clave en el registro de Windows para asegurarse su ejecución en cada inicio de sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe"="%Windir%\avserve.exe" El nuevo sistema infectado actuará entonces como otro punto de distribución, iniciando un nuevo barrido de IPs en busca de otros sistemas vulnerables a los que infectar. Por lo que tengo entendido, no deberías forwardear nada (ni desde afuera hacia adentro, ni desde adentro hacia afuera) con el puerto 445 y el puerto 5554. Luego, quitar el virus. :( Saludos Marcelo Angel Vicente Perez escribió: Hola a todos Tenemos en el trabajo, una red con mas de 50 PCs con W2000 y WXP, para salir a internet, estoy usando un maquina con Debian e iptables, no todos tienen salida a Inet. El rollo este del Sasser, me tiene preocupado, porque es seguro que hay un monton de maquinas sin el parche de marras, instalarlo en todas en poco tiempo, va a ser bastante dificil. La idea es si con la configuracion de iptables, puedo tener suficiente proteccion hasta que instale los parches. Si es asi, que configuracion habria que establecer Saludos y gracias de antemano -- Marcelo F. Fernández Buenos Aires, Argentina Analista de Sistemas - CCNA
Sasser e iptables
Hola a todos Tenemos en el trabajo, una red con mas de 50 PCs con W2000 y WXP, para salir a internet, estoy usando un maquina con Debian e iptables, no todos tienen salida a Inet. El rollo este del Sasser, me tiene preocupado, porque es seguro que hay un monton de maquinas sin el parche de marras, instalarlo en todas en poco tiempo, va a ser bastante dificil. La idea es si con la configuracion de iptables, puedo tener suficiente proteccion hasta que instale los parches. Si es asi, que configuracion habria que establecer Saludos y gracias de antemano
