Arquivo fevereiro 2011

Worm Conficker

O worm conficker (Win32/Conficker.B), pode ser identificado na rede utilizando o port scan nmap, o download do mesmo pode ser efetuado em http://nmap.org/download.html, o mesmo está disponibilizado para sistemas Windows, Unix, Linux e Apple. Após a instalação, deve ser utilizada a linha de comandos abaixo, redirecionando a saída para /var/log/nmap.log:

nmap -PN -T4 -p139,445 -n -v –script smb-check-vulns,smb-os-discovery –script-args safe=1 192.168.0.0/24 -oA /tmp/scan. Serão gerados 3 arquivos como exibido abaixo:

[root@servernet root]# ls -la /tmp/scan*
-rw-r--r--    1 root     root         8679 Nov  3 15:26 /tmp/scan.gnmap
-rw-r--r--    1 root     root        33189 Nov  3 15:26 /tmp/scan.nmap
-rw-r--r--    1 root     root        65311 Nov  3 15:26 /tmp/scan.xml

O formato de saída .nmap é o padrão a ser gerado nas saídas (output), mais opções podem ser utilizadas para serem gerados diferentes formatos de saída, abaixo temos um exemplo de um host possivelmente infectado:

Host 192.168.42.59 is up (0.00049s latency).
Interesting ports on 192.168.42.59:
PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-ds
MAC Address: 00:1E:C9:1F:7C:53 (Dell)

Host script results:
| smb-os-discovery: Windows XP
| LAN Manager: Windows 2000 LAN Manager
| Name: WORKGRPLOGISTICA59
|_ System time: 2009-07-29 18:20:40 UTC-3
| smb-check-vulns:
| MS08-067: Check disabled (remove 'safe=1' argument to run)
| Conficker: Likely INFECTED
|_ regsvc DoS: Check disabled (add --script-args=unsafe=1 to run)

Após a detecção, é recomendada a remoçção do host da rede até que o worm seja removido, as instruções para remoção podem ser obtidas em http://support.microsoft.com/kb/962007/pt-br.

Compartilhamentos

Este é um exemplo simples e prático para montagem de compartilhamentos smb e nfs, muito utilizado em redes  abaixo segue um exemplo simples de suas utilizações.

Montando o compartilhamento

mount -t smbfs -o username=usuario,password=senha //host/compartilhamento/ /ponto_de_montagem

Exemplo

root@host:~# mount -t smbfs -o username=administrador,password=senha //192.168.012/BACKUP /mnt/backup/

Desmomentando o compartilhamento

root@host:~# umount /media/backup

Os comandos acima citados, devems er executados com o uusário root, pois os mesmos requerem privilégios administrativos.

Ethtool

Uma forma simples e rápida de efetuar a alteração da velocidade de uma interface de rede, é com o ethtool, abeixo temos um exemplo prático de como de como alterar a velocidade da interdface eth0 para 100 Mb:
xwing:~# ethtool -s eth0 speed 100 duplex full

Vefificando a velocidade da interface:

xwing:~# ethtool eth0 |grep Speed
Speed: 100Mb/s

Agora a interface eth0 ja trabalha a 100Mb/s, pode também ser implementado um script na inicialização do sistema, porem a maioria das  interfaces de rede atuais trabalha a100 Mb/s, caso a velocidade esteja menor, é recomendado uma análise criteriosa na rede visando encontrar problemas.

MSN – Bloqueio

O MSN Messenger e Windows Live possuem suporte para conexão em portas http(80), https()443 e msn (1863), o que torna mais difícil seu bloqueio, porém para bloquear de forma efetiva, basta bloquear os seguintes blocos de ip em todas as portas, ou somente nas de comunicação:

65.54.128.0/255.255.128.0

65.54.0.0/255.255.0.0

207.46.0.0/255.255.248.0

Pode ocorrer de algum serviço da Microsoft ser bloqueado, neste caso é recomendável efetuar um monitoramente e liberar o serviçlo em regras de exceçao no firewall/proxy.