Snort ve TCP Portsweep

To: debian-user-turkish@lists.debian.org
Subject: Snort ve TCP Portsweep
From: Yaşar ŞENTÜRK <yasar@dijitaltek.com>
Date: Wed, 02 Nov 2005 11:44:49 +0200
Message-id: <[🔎] 43688A91.1070006@dijitaltek.com>

Merhaba;

Debian GNU/Linux 3.1 kurulu ve üzerinde Apache, MySQL, Postfix veProFTPD koşturan bir sunucu sistemim var. Sunucuya kurulan bağlantılarıtakip amacıyla da Snort kullanıyorum. 2 gündür Snort' un günlükraporunda bana ilginç gelen birkaç kayıt gördüm. "(portscan) TCPPortsweep" başlığı altında, sunucumun kendi IP' sinden dışarıdaki başkaIP' lere portsweep yapıldığı ile ilgili satırlar vardı. Aynı IP' lerdenportscan yapılmıştı.

Sunucuya bağlanıp kullanıcı hesaplarını kontrol ettim. Bir değişiklikyoktu. Zaten sunucuya SSH erişimi olan sadece ben ve bir kullanıcı dahavardı. rkhunter ve chkrootkit ile rootkit taraması yaptım. Biranormallik yoktu. lsof ile açık olan dosyaları inceledim. Yine bir şeybulamadım. /var/log/auth.log dosyasındaki kayıtları inceledim. SSH ilebenim haricimde bağlantı kuran yoktu. Bana ait bağlantı kayıtlarınıntarihleri ve saatleri de sisteme erişim yaptığım zamanlar ile aynıydı.Sistemde açık olan portları kontrol ettim. netstat -vat ile de o andasisteme yapılan bağlantıları kontrol ettim. Yine bir şey bulamadım. Tekşüphelendiğim Java ile yazılmış olan ve bir portu dinleyen oyunsunucusuydu. Onu da her ihtimale karşı kapatıp durumu takibe aldım.

Google' da yaptığım aramalarda pek fazla bir sonuç elde edemedim. Bire-posta listesinde benzer bir kayıt gören bir sistem yöneticisininmesajına cevaben "yerinde olsam kullanıcıların kabuk erişimini kapatırkontrol ederdim"den başka bir şey söylenmemiş. Ancak benim kabuğa erişimyapabilecek herhangi bir kullanıcım yok.

Debian güvenlik güncellemelerini sürekli takip ediyorum. Herhangi birgüncelleme olduğunda ilgili paketleri hemen güncelliyorum. FTPkullanıcılarını kabuk erişimi kesinlikle yok. /home ve /var bölümünoexec, nodev parametreleri ile bağlı. Sadece /tmp dizininde komutçalıştırılmasına izin veriliyorç. Ancak onu da vaktiyle noexec ilebağlamama rağmen debconf' un bundan hoşlanmaması (paket kurulumarında önyapılandırma betiğinin çalışması esnasında) nedeniyle kaldırmıştım.


Acaba bu durum karşısında ne yapmamı önerirsiniz?

İyi çalışmalar ve şimdiden iyi bayramlar.
--
Yaşar ŞENTÜRK
http://www.dijitaltek.com/yasar
http://yasarix.blogspot.com

Reply to:

Follow-Ups:
- Re: Snort ve TCP Portsweep
  - From: Yaşar ŞENTÜRK <yasar@dijitaltek.com>

Prev by Date: kararlı sürüm için monodevelop kuramıyorum
Next by Date: Re: Snort ve TCP Portsweep
Previous by thread: Re: kararlı sürüm için monodevelop kuramıyorum
Next by thread: Re: Snort ve TCP Portsweep
Index(es):
- Date
- Thread