Snort ve TCP Portsweep
Merhaba;
Debian GNU/Linux 3.1 kurulu ve üzerinde Apache, MySQL, Postfix ve
ProFTPD koşturan bir sunucu sistemim var. Sunucuya kurulan bağlantıları
takip amacıyla da Snort kullanıyorum. 2 gündür Snort' un günlük
raporunda bana ilginç gelen birkaç kayıt gördüm. "(portscan) TCP
Portsweep" başlığı altında, sunucumun kendi IP' sinden dışarıdaki başka
IP' lere portsweep yapıldığı ile ilgili satırlar vardı. Aynı IP' lerden
portscan yapılmıştı.
Sunucuya bağlanıp kullanıcı hesaplarını kontrol ettim. Bir değişiklik
yoktu. Zaten sunucuya SSH erişimi olan sadece ben ve bir kullanıcı daha
vardı. rkhunter ve chkrootkit ile rootkit taraması yaptım. Bir
anormallik yoktu. lsof ile açık olan dosyaları inceledim. Yine bir şey
bulamadım. /var/log/auth.log dosyasındaki kayıtları inceledim. SSH ile
benim haricimde bağlantı kuran yoktu. Bana ait bağlantı kayıtlarının
tarihleri ve saatleri de sisteme erişim yaptığım zamanlar ile aynıydı.
Sistemde açık olan portları kontrol ettim. netstat -vat ile de o anda
sisteme yapılan bağlantıları kontrol ettim. Yine bir şey bulamadım. Tek
şüphelendiğim Java ile yazılmış olan ve bir portu dinleyen oyun
sunucusuydu. Onu da her ihtimale karşı kapatıp durumu takibe aldım.
Google' da yaptığım aramalarda pek fazla bir sonuç elde edemedim. Bir
e-posta listesinde benzer bir kayıt gören bir sistem yöneticisinin
mesajına cevaben "yerinde olsam kullanıcıların kabuk erişimini kapatır
kontrol ederdim"den başka bir şey söylenmemiş. Ancak benim kabuğa erişim
yapabilecek herhangi bir kullanıcım yok.
Debian güvenlik güncellemelerini sürekli takip ediyorum. Herhangi bir
güncelleme olduğunda ilgili paketleri hemen güncelliyorum. FTP
kullanıcılarını kabuk erişimi kesinlikle yok. /home ve /var bölümü
noexec, nodev parametreleri ile bağlı. Sadece /tmp dizininde komut
çalıştırılmasına izin veriliyorç. Ancak onu da vaktiyle noexec ile
bağlamama rağmen debconf' un bundan hoşlanmaması (paket kurulumarında ön
yapılandırma betiğinin çalışması esnasında) nedeniyle kaldırmıştım.
Acaba bu durum karşısında ne yapmamı önerirsiniz?
İyi çalışmalar ve şimdiden iyi bayramlar.
--
Yaşar ŞENTÜRK
http://www.dijitaltek.com/yasar
http://yasarix.blogspot.com
Reply to: