Olá pessoal !

Tenho hoje um HLBR rodando frente a um IPtables.
Logo atrás há um IIS.
todo tráfego http está redirecionado ao IIS pelo IPtables.

Meu website tem sido vitima constante de ataques de crakers, sendo
que em alguns casos estas criaturinhas tem tido sucesso no defacement
da página principal.

Sim, eu considerei não usar IIS, mas esse não é o caso.

De fato, eu esperava que o HLBR pudesse de alguma forma detectar
o tráfego http malicioso, mas aparentemente não esta conseguindo.
Talvez eu tenha depositado muitas esperanças sobre o HLBR, mas ...
e se não for isso ? Se de fato há ataques passando ?

Não creio que seja bug, talvez seja necessario revisar regras de
WEBAttack, mas certamente eu não sou a pessoa indicada para essa
tarefa.

Alguem da equipe de desenvolvimento do HLBR estaria interessado
em auxiliar este usuário e aprimorar a ferramenta ?

Mensagens neste tópico (1) Responder (através da web) | Adicionar um novo tópico

Mensagens | Arquivos | Fotos | Links | Banco de dados | Associados

---------------------------------------------------------------------
Esta lista não admite a abordagem de outros assuntos que não estejam ligados ao IPS HLBR. Quem insistir em não seguir esta regra será moderado sem prévio aviso.
---------------------------------------------------------------------
Sair da lista: hlbr-unsubscribe <at> yahoogrupos.com.br
---------------------------------------------------------------------
Esta lista é moderada de acordo com o previsto em http://www.listas-discussao.cjb.net
---------------------------------------------------------------------
Servidor Newsgroup da lista: news.gmane.org
Grupo: gmane.comp.security.ids.hlbr
---------------------------------------------------------------------
HLBR no Orkut: http://www.orkut.com/Community.aspx?cmm=16263377
---------------------------------------------------------------------

Alterar configurações via web (Requer Yahoo! ID)
Alterar configurações via e-mail: Alterar recebimento para lista diária de mensagens | Alterar formato para o tradicional
Visite seu Grupo | Termos de uso do Yahoo! Grupos | Sair do grupo

•  1
  Novos usuários

Visite seu Grupo

Cara....

Na minha opinião, acho que você deveria logar todo o trafego que passa para esse host e depois analisar!!!
Nessa análise você vera o que pode ser ataque ou não dae você faz uma regra no hlbr usando expressão regular e dropa o que é suspeito.

Isso é minha opinião se eu estiver errado me corrigam os mais experientes.

t+

Roberto Almeida
falecom <at> robertoalmeida.com

Mensagens neste tópico (0) Responder (através da web) | Adicionar um novo tópico

Mensagens | Arquivos | Fotos | Links | Banco de dados | Associados

---------------------------------------------------------------------
Esta lista não admite a abordagem de outros assuntos que não estejam ligados ao IPS HLBR. Quem insistir em não seguir esta regra será moderado sem prévio aviso.
---------------------------------------------------------------------
Sair da lista: hlbr-unsubscribe <at> yahoogrupos.com.br
---------------------------------------------------------------------
Esta lista é moderada de acordo com o previsto em http://www.listas-discussao.cjb.net
---------------------------------------------------------------------
Servidor Newsgroup da lista: news.gmane.org
Grupo: gmane.comp.security.ids.hlbr
---------------------------------------------------------------------
HLBR no Orkut: http://www.orkut.com/Community.aspx?cmm=16263377
---------------------------------------------------------------------

Alterar configurações via web (Requer Yahoo! ID)
Alterar configurações via e-mail: Alterar recebimento para lista diária de mensagens | Alterar formato para o tradicional
Visite seu Grupo | Termos de uso do Yahoo! Grupos | Sair do grupo

•  1
  Novos usuários

Visite seu Grupo

Poizé ... eu concordo contigo ...
Me desculpe se não fui claro, vejam o que acontece ...

No meu IPTABLES há a seguinte regra:

iptables -A PREROUTING -t nat -i eth0 -d 201.x.y.59 -p tcp --dport 80
-j DNAT --to 192.168.1.5
iptables -A POSTROUTING -t nat -s 192.168.1.5 -p tcp
-j SNAT --to 201.x.y.59

Como "na frente" no meu IPTABLEs há o HLBR, e no arquivo hlbr.conf eu
tenho a seguinte configuração:

<IPList www>
201.x.y.59
201.x.y.60
201.x.y.61
</list>

no arquivo rules :

<include rules/webattacks.rules>

e no arquivo webattacks.rules

<rule>
ip dst(www)
tcp dst(80)
tcp regex(^PUT )
message=(http-4-re) PUT method
action=action1
</rule>

então, penso que eu não deveria ter no log do IIS os registros a seguir:

Line 26742 : 2007-08-25 14:55:01 85.104.81.17 - 192.168.1.5 80 PUT
/dilxaz.htm - 201
Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1
Line 27171 : 2007-08-25 14:56:04 85.104.81.17 - 192.168.1.5 80 PUT
/dilxaz.htm - 200
Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1
Line 27173 : 2007-08-25 14:56:06 85.104.81.17 - 192.168.1.5 80 PUT
/dilxaz.htm - 200
Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1

Line 12875 : 2007-08-01 11:52:07 88.226.184.223 - 192.168.1.5 80 PUT
/zuzummmm.htm - 201
Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1
Line 13888 : 2007-08-01 12:01:00 88.226.250.28 - 192.168.1.5 80 PUT
/ramses.htm - 200
Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1
Line 14625 : 2007-08-01 12:02:55 88.226.250.28 - 192.168.1.5 80 PUT
/ramses.htm - 200
Microsoft+Data+Access+Internet+Publishing+Provider+DAV+1.1

Ou seja: mesmo eu tendo uma regra bloqueando explicitamente a ação
"PUT", pacotes executando um "PUT" chegam ao meu IIS.

E a regra é padrão do HLBR, não fui eu quem a redigiu.

Entenderam ?

--- Em hlbr <at> yahoogrupos.com.br, "ROBERTO ALMEIDA"
<listasrobertoalmeida <at> ...> escreveu
>
> Cara....
>
> Na minha opinião, acho que você deveria logar todo o trafego que
passa para
> esse host e depois analisar!!!
> Nessa análise você vera o que pode ser ataque ou não dae você faz
uma regra
> no hlbr usando expressão regular e dropa o que é suspeito.
>
> Isso é minha opinião se eu estiver errado me corrigam os mais
experientes.
>
> t+
>
> Roberto Almeida
> falecom <at> ...
>

Mensagens neste tópico (0) Responder (através da web) | Adicionar um novo tópico

Mensagens | Arquivos | Fotos | Links | Banco de dados | Associados

---------------------------------------------------------------------
Esta lista não admite a abordagem de outros assuntos que não estejam ligados ao IPS HLBR. Quem insistir em não seguir esta regra será moderado sem prévio aviso.
---------------------------------------------------------------------
Sair da lista: hlbr-unsubscribe <at> yahoogrupos.com.br
---------------------------------------------------------------------
Esta lista é moderada de acordo com o previsto em http://www.listas-discussao.cjb.net
---------------------------------------------------------------------
Servidor Newsgroup da lista: news.gmane.org
Grupo: gmane.comp.security.ids.hlbr
---------------------------------------------------------------------
HLBR no Orkut: http://www.orkut.com/Community.aspx?cmm=16263377
---------------------------------------------------------------------

Alterar configurações via web (Requer Yahoo! ID)
Alterar configurações via e-mail: Alterar recebimento para lista diária de mensagens | Alterar formato para o tradicional
Visite seu Grupo | Termos de uso do Yahoo! Grupos | Sair do grupo

•  1
  Novos usuários

Visite seu Grupo

Completando:

+-------+ +----+ +--------+ +---+
|Iternet|----|hlbr|----|iptables|----|IIS|
+-------+ +----+ +--------+ +---+

--- Em hlbr <at> yahoogrupos.com.br, "isampbr" <castilhosr <at> ...> escreveu

Mensagens neste tópico (0) Responder (através da web) | Adicionar um novo tópico

Mensagens | Arquivos | Fotos | Links | Banco de dados | Associados

---------------------------------------------------------------------
Esta lista não admite a abordagem de outros assuntos que não estejam ligados ao IPS HLBR. Quem insistir em não seguir esta regra será moderado sem prévio aviso.
---------------------------------------------------------------------
Sair da lista: hlbr-unsubscribe <at> yahoogrupos.com.br
---------------------------------------------------------------------
Esta lista é moderada de acordo com o previsto em http://www.listas-discussao.cjb.net
---------------------------------------------------------------------
Servidor Newsgroup da lista: news.gmane.org
Grupo: gmane.comp.security.ids.hlbr
---------------------------------------------------------------------
HLBR no Orkut: http://www.orkut.com/Community.aspx?cmm=16263377
---------------------------------------------------------------------

Alterar configurações via web (Requer Yahoo! ID)
Alterar configurações via e-mail: Alterar recebimento para lista diária de mensagens | Alterar formato para o tradicional
Visite seu Grupo | Termos de uso do Yahoo! Grupos | Sair do grupo

•  1
  Novos usuários

Visite seu Grupo

Ola,

Você já fez alguma analise forense neste servidor para
ver como se deu esse defacement, olhou os logs para
para ver onde está a falha?

Atenciosamente.

--- isampbr <castilhosr <at> gmail.com> escreveu:

> Olá pessoal !
>
> Tenho hoje um HLBR rodando frente a um IPtables.
> Logo atrás há um IIS.
> todo tráfego http está redirecionado ao IIS pelo
> IPtables.
>
> Meu website tem sido vitima constante de ataques de
> crakers, sendo
> que em alguns casos estas criaturinhas tem tido
> sucesso no defacement
> da página principal.
>
> Sim, eu considerei não usar IIS, mas esse não é o
> caso.
>
> De fato, eu esperava que o HLBR pudesse de alguma
> forma detectar
> o tráfego http malicioso, mas aparentemente não esta
> conseguindo.
> Talvez eu tenha depositado muitas esperanças sobre o
> HLBR, mas ...
> e se não for isso ? Se de fato há ataques passando ?
>
> Não creio que seja bug, talvez seja necessario
> revisar regras de
> WEBAttack, mas certamente eu não sou a pessoa
> indicada para essa
> tarefa.
>
> Alguem da equipe de desenvolvimento do HLBR estaria
> interessado
> em auxiliar este usuário e aprimorar a ferramenta ?
>
>
>

.___.
/ \
| O _ O | kakaroto
/ \_/ \ Slackware 11 Kernel 2.6.21.4/Microsoft Windows XPSP2
.' / \ `. E-mail: spiderslack <at> yahoo.com.br
/ _| |_ \ MSN: predacom <at> pop.com.br
(_/ | | \_)Um computador é essencialmente um esquilo treinado:
\ / age por reflexo, corre sem pensar para a frente e
__\_>-<_/__ para trás e guarda nozes até que algum outro estímulo
~;/ \;~ o leve a fazer alguma outra coisa.
Ted Nelson, evangelizador do hipertexto

Flickr agora em português. Você clica, todo mundo vê.
http://www.flickr.com.br/

Mensagens neste tópico (0) Responder (através da web) | Adicionar um novo tópico

Mensagens | Arquivos | Fotos | Links | Banco de dados | Associados

---------------------------------------------------------------------
Esta lista não admite a abordagem de outros assuntos que não estejam ligados ao IPS HLBR. Quem insistir em não seguir esta regra será moderado sem prévio aviso.
---------------------------------------------------------------------
Sair da lista: hlbr-unsubscribe <at> yahoogrupos.com.br
---------------------------------------------------------------------
Esta lista é moderada de acordo com o previsto em http://www.listas-discussao.cjb.net
---------------------------------------------------------------------
Servidor Newsgroup da lista: news.gmane.org
Grupo: gmane.comp.security.ids.hlbr
---------------------------------------------------------------------
HLBR no Orkut: http://www.orkut.com/Community.aspx?cmm=16263377
---------------------------------------------------------------------

Alterar configurações via web (Requer Yahoo! ID)
Alterar configurações via e-mail: Alterar recebimento para lista diária de mensagens | Alterar formato para o tradicional
Visite seu Grupo | Termos de uso do Yahoo! Grupos | Sair do grupo

•  1
  Novos usuários

Visite seu Grupo

Eu teria que ter mais dados para poder lhe dizer algo. Mas de cara,
num ponto de vista de segurança, colocar um IIS direto na Internet é
fria. Nenhum cliente deve ter contato direto com servidores. Então
coloque um proxy reverso na frente do IIS. Pode usar o Apache ou o
Squid. Alguns subsídios que acabo de colher no Google:

http://www.devshed.com/c/a/Apache/Getting-Started-with-Apache-2-0-Part-III/
http://www.apachetutor.org/admin/reverseproxies
http://www.devshed.com/c/a/Apache/Getting-Started-with-Apache-2-0-Part-III/

http://www.midgard-project.org/documentation/setting-up-squid-reverse-proxy/

[]s

Eriberto - www.eriberto.pro.br

Em 11/09/07, isampbr <castilhosr <at> gmail.com> escreveu:

> Poizé ... eu concordo contigo ...
> Me desculpe se não fui claro, vejam o que acontece ...
>
> No meu IPTABLES há a seguinte regra:

Mensagens neste tópico (0) Responder (através da web) | Adicionar um novo tópico

Mensagens | Arquivos | Fotos | Links | Banco de dados | Associados

---------------------------------------------------------------------
Esta lista não admite a abordagem de outros assuntos que não estejam ligados ao IPS HLBR. Quem insistir em não seguir esta regra será moderado sem prévio aviso.
---------------------------------------------------------------------
Sair da lista: hlbr-unsubscribe <at> yahoogrupos.com.br
---------------------------------------------------------------------
Esta lista é moderada de acordo com o previsto em http://www.listas-discussao.cjb.net
---------------------------------------------------------------------
Servidor Newsgroup da lista: news.gmane.org
Grupo: gmane.comp.security.ids.hlbr
---------------------------------------------------------------------
HLBR no Orkut: http://www.orkut.com/Community.aspx?cmm=16263377
---------------------------------------------------------------------

Alterar configurações via web (Requer Yahoo! ID)
Alterar configurações via e-mail: Alterar recebimento para lista diária de mensagens | Alterar formato para o tradicional
Visite seu Grupo | Termos de uso do Yahoo! Grupos | Sair do grupo

•  1
  Novos usuários

Visite seu Grupo

Sim, já sei qual a falha explorada e como evitar. Já sei, com
detalhes, tudo o que aconteceu. Postei trechos desses logs inclusive.

Por favor, não me interpretem mal !
Não estou dizendo que o HLBR é ruim ou coisa parecida !
Estou apenas intrigado com o fato que relatei antes: se há uma regra
bloqueando a ação de PUT, por que ela ocorreu ?

Meu objetivo aqui é COLABORAR ! E receber colaborações é claro !
Ou seja: há uma aplicação que se propõe a evitar esse tipo de ataque,
mas mesmo assim o ataque ocorreu !
Há uma falha no IIS que foi explorada nesse ataque, que deveria ter
sido bloqueada pelo HLBR.
Meu entendimento é que: mesmo que a falha exista, o HLBR deveria ter
detectado o tráfego e bloqueado.

Em 12/09/07, Ricardo Barbosa<spiderslack <at> yahoo.com.br> escreveu:
> Ola,
>
> Você já fez alguma analise forense neste servidor para
> ver como se deu esse defacement, olhou os logs para
> para ver onde está a falha?
>
> Atenciosamente.
>

Mensagens neste tópico (0) Responder (através da web) | Adicionar um novo tópico

Mensagens | Arquivos | Fotos | Links | Banco de dados | Associados

---------------------------------------------------------------------
Esta lista não admite a abordagem de outros assuntos que não estejam ligados ao IPS HLBR. Quem insistir em não seguir esta regra será moderado sem prévio aviso.
---------------------------------------------------------------------
Sair da lista: hlbr-unsubscribe <at> yahoogrupos.com.br
---------------------------------------------------------------------
Esta lista é moderada de acordo com o previsto em http://www.listas-discussao.cjb.net
---------------------------------------------------------------------
Servidor Newsgroup da lista: news.gmane.org
Grupo: gmane.comp.security.ids.hlbr
---------------------------------------------------------------------
HLBR no Orkut: http://www.orkut.com/Community.aspx?cmm=16263377
---------------------------------------------------------------------

Alterar configurações via web (Requer Yahoo! ID)
Alterar configurações via e-mail: Alterar recebimento para lista diária de mensagens | Alterar formato para o tradicional
Visite seu Grupo | Termos de uso do Yahoo! Grupos | Sair do grupo

•  1
  Novos usuários

Visite seu Grupo

Bom Dia Eriberto !

Concordo contigo, em genero numero e grau ...
Mas o mundo não é perfeito. Na verdade, minha intenção seria não usar IIS.
Já tentei usar proxyes reversos na frente deste servidor, mas vários
problemas ocorreram, o que levou o desenvolvedor da aplicação em
questão a solicitar formalmente que "não seja colocado nada na frente
deste servidor".

A presença do IPS, por exemplo, é desconhecida deste desenvolvedor.
(se ele assinar essa lista ... não é mais)

De toda forma, peço ao colega, na condição de desenvolvedor do HLBR,
que considere colocar um pouco mais de atenção no evento que relatei.
Posso trocar mais informações em PVT se for necessario.
E reforço: apesar de ser um Software Opensource, fornecido com uma
clausula de "as is", estou aqui nesta lista relatando o evento no
sentido de, sim, melhorar a aplicação e, se for o caso, atender minha
necessidade.

Em 12/09/07, Eriberto<eribertomota <at> gmail.com> escreveu:
> Eu teria que ter mais dados para poder lhe dizer algo. Mas de cara,
> num ponto de vista de segurança, colocar um IIS direto na Internet é
> fria. Nenhum cliente deve ter contato direto com servidores. Então
> coloque um proxy reverso na frente do IIS. Pode usar o Apache ou o
> Squid. Alguns subsídios que acabo de colher no Google:
>
> http://www.devshed.com/c/a/Apache/Getting-Started-with-Apache-2-0-Part-III/
> http://www.apachetutor.org/admin/reverseproxies
> http://www.devshed.com/c/a/Apache/Getting-Started-with-Apache-2-0-Part-III/
>
> http://www.midgard-project.org/documentation/setting-up-squid-reverse-proxy/
>
> []s
>
> Eriberto - www.eriberto.pro.br
>

Mensagens neste tópico (0) Responder (através da web) | Adicionar um novo tópico

Mensagens | Arquivos | Fotos | Links | Banco de dados | Associados

---------------------------------------------------------------------
Esta lista não admite a abordagem de outros assuntos que não estejam ligados ao IPS HLBR. Quem insistir em não seguir esta regra será moderado sem prévio aviso.
---------------------------------------------------------------------
Sair da lista: hlbr-unsubscribe <at> yahoogrupos.com.br
---------------------------------------------------------------------
Esta lista é moderada de acordo com o previsto em http://www.listas-discussao.cjb.net
---------------------------------------------------------------------
Servidor Newsgroup da lista: news.gmane.org
Grupo: gmane.comp.security.ids.hlbr
---------------------------------------------------------------------
HLBR no Orkut: http://www.orkut.com/Community.aspx?cmm=16263377
---------------------------------------------------------------------

Alterar configurações via web (Requer Yahoo! ID)
Alterar configurações via e-mail: Alterar recebimento para lista diária de mensagens | Alterar formato para o tradicional
Visite seu Grupo | Termos de uso do Yahoo! Grupos | Sair do grupo

•  1
  Novos usuários

Visite seu Grupo

Olá Pessoal,

Faço curso de ciencia da computação e estou pensando em fazer de TCC
(Monografia) um projeto baseado em HLBR.

Qual sugestão vocês teriam.

Minha idéia inicial era fazer um aplicativo gráfico para administrar
o HLBR no KDE por exemplo, e por exemplo, na tela teria vários
checks com as regras prontas, onde o usário somente ativaria ou não
o que desejasse, como por exemplo, bloquear ataque DNS.

Acontece que o prof. orientador disse que este aplicativo
dificilmente vai ser usado por este tipo de micro geralmente nem ser
instalado ambiente gráfico, ou mesmo, um usuário leigo nem usuário
HLBR por ser algo mais para administrador de redes.

O que vocês acham ? Seria uma boa existir uma ferramenta gráfica
para o HLBR ? Ou senão alguem tem idéia de algum projeto para
faculdade baseado em HLBR ? Vou utilizar gcc como base de
desenvolvimento de alguma ferramenta.

Obrigado a todos que ajudarem!

Mensagens neste tópico (1) Responder (através da web) | Adicionar um novo tópico

Mensagens | Arquivos | Fotos | Links | Banco de dados | Associados

---------------------------------------------------------------------
Esta lista não admite a abordagem de outros assuntos que não estejam ligados ao IPS HLBR. Quem insistir em não seguir esta regra será moderado sem prévio aviso.
---------------------------------------------------------------------
Sair da lista: hlbr-unsubscribe <at> yahoogrupos.com.br
---------------------------------------------------------------------
Esta lista é moderada de acordo com o previsto em http://www.listas-discussao.cjb.net
---------------------------------------------------------------------
Servidor Newsgroup da lista: news.gmane.org
Grupo: gmane.comp.security.ids.hlbr
---------------------------------------------------------------------
HLBR no Orkut: http://www.orkut.com/Community.aspx?cmm=16263377
---------------------------------------------------------------------

Alterar configurações via web (Requer Yahoo! ID)
Alterar configurações via e-mail: Alterar recebimento para lista diária de mensagens | Alterar formato para o tradicional
Visite seu Grupo | Termos de uso do Yahoo! Grupos | Sair do grupo

•  1
  Novos usuários

Visite seu Grupo

Normalmente coloca-se o computador aonde fica o HLBR como brigde, o que faz com que você não consiga gerenciá-lo remotamente, uma vez que uma brigde é "invisível" na rede.

A idéia é boa, mas realmente acho que não vai ser muito utilizada. Você poderia, por exemplo, criar uma interface com ncurses!!! Isto permitiria a algum administrador, localmente, ter as opcoes de gerenciamento que está propondo. Algo parecido com o ntsysv, que facilita alguns administradores, principalmente os que estão iniciando.

abs,

Marcelo de Souza Sant'Anna

On Sat, 2007-09-15 at 18:10 +0000, emarcelodl wrote:

Olá Pessoal,

Faço curso de ciencia da computação e estou pensando em fazer de TCC
(Monografia) um projeto baseado em HLBR.

Qual sugestão vocês teriam.

Minha idéia inicial era fazer um aplicativo gráfico para administrar
o HLBR no KDE por exemplo, e por exemplo, na tela teria vários
checks com as regras prontas, onde o usário somente ativaria ou não
o que desejasse, como por exemplo, bloquear ataque DNS.

Acontece que o prof. orientador disse que este aplicativo
dificilmente vai ser usado por este tipo de micro geralmente nem ser
instalado ambiente gráfico, ou mesmo, um usuário leigo nem usuário
HLBR por ser algo mais para administrador de redes.

O que vocês acham ? Seria uma boa existir uma ferramenta gráfica
para o HLBR ? Ou senão alguem tem idéia de algum projeto para
faculdade baseado em HLBR ? Vou utilizar gcc como base de
desenvolvimento de alguma ferramenta.

Obrigado a todos que ajudarem!

Mensagens neste tópico (0) Responder (através da web) | Adicionar um novo tópico

Mensagens | Arquivos | Fotos | Links | Banco de dados | Associados

---------------------------------------------------------------------
Esta lista não admite a abordagem de outros assuntos que não estejam ligados ao IPS HLBR. Quem insistir em não seguir esta regra será moderado sem prévio aviso.
---------------------------------------------------------------------
Sair da lista: hlbr-unsubscribe <at> yahoogrupos.com.br
---------------------------------------------------------------------
Esta lista é moderada de acordo com o previsto em http://www.listas-discussao.cjb.net
---------------------------------------------------------------------
Servidor Newsgroup da lista: news.gmane.org
Grupo: gmane.comp.security.ids.hlbr
---------------------------------------------------------------------
HLBR no Orkut: http://www.orkut.com/Community.aspx?cmm=16263377
---------------------------------------------------------------------

Alterar configurações via web (Requer Yahoo! ID)
Alterar configurações via e-mail: Alterar recebimento para lista diária de mensagens | Alterar formato para o tradicional
Visite seu Grupo | Termos de uso do Yahoo! Grupos | Sair do grupo

•  1
  Novos usuários

Visite seu Grupo