www.barracudacentral.org/lookups/lookup-reputation
Devido a uma falha de Software instalado no servidor. Por exemplo, Software Wordpress, Joomla, etc.
A solução é atualizar o Software e verificar com ferramentas de varredura apropriadas, tais como NIKTO, VEGA, ZED Proxy Atack (ZAP), WAPITI, W3AF, Ferro WASP, SqlMap, Google Nogotofail.
Servidor DNS permitindo consultas de DNS recursivo para muitas redes.
Recomendação de configuração: www.cert.br/docs/whitepapers/dns-recursivo-aberto/
Ferramenta para testes: www.openresolver.com
Utiliza as portas 19/UDP e 19/TCP.
O serviço pode ser habilitado no Inetd.conf.
Uma vez feita a conexão serão gerados muitos caracteres. Isso pode ser visto como um ataque DDoS.
www.cert.br/docs/whitepapers/ddos/
O CPE WAN Management Protocol (CWMP), anteriormente conhecido como Relatório Técnico 069 (TR-069), é uma tecnologia desenvolvida pelo então DSL Forum (agora Forum Banda Larga), que é muito útil para os operadores, uma vez que facilita a administração de dispositivos que proporcionam aos seus clientes para dar-lhes acesso à sua rede.
Este é um protocolo de camada de aplicação que permite o acesso remoto aos roteadores residenciais para configuração inicial, manutenção ou diagnóstico.
acordocoletivo.org/2012/10/23/tr069-controle-remoto-do-seu-roteador-nas-maos-dos-operadores/
Tem capacidade para tratar de grandes quantidades de dados em tempo real. É utilizado por empresas como Google, GitHub, Twitter, SoundCloud, Yelp e Foursquare, por exemplo.
Uma das features mais utilizadas é o filtro que utiliza cache para realizar buscas repetidas. Ao realizar uma busca que já foi feita antes a ferramenta já sabe aonde estão os documentos, o que garante muita velocidade para a realização de buscas por valores exatos. Já na busca por queries é possível classificar os resultados por relevância, gerando maior facilidade para os usuários.
Atacantes se aproveitaram de uma brecha do software open source de busca Elasticsearch para instalar malware na Amazon e possivelmente em outros servidores de nuvem.
Cibercriminosos estão explorando uma vulnerabilidade existente no software de mecanismo de busca Elasticsearch, opensource, para instalar um malware DDoS na nuvem da Amazon e possivelmente em outros servidores de cloud.
O Elasticsearch é um servidor de mecanismo de busca com popularidade crescente, desenvolvido em Java, que permite fazer buscas em texto por vários tipos de documentos utilizando uma API REST (representational state transfer application programming interface). Como utiliza de uma arquitetura distribuída que permite múltiplos nós, o Elasticsearch é muito usado em ambientes de cloud. Ele pode ser habilitado em várias plataformas de cloud, entre elas a Amazon Elastic Compute Cloud (EC2), a Microsoft Azure, e a Google Compute Engine.
www.opservices.com.br/o-que-e-elastic-search/
Padrão usado para gerenciar um sistema de computador e monitorar seu funcionamento, mesmo em stand by, ou seja, não depende do sistema operacional. O que permite que administradores gerenciem remotamente os recursos de hardware antes mesmo de ter iniciado o sistema operacional.
Pode-se monitorar via IPMI temperaturas do sistema, voltagens, ventoinhas (FAN), fontes de alimentação, intrusão do chassi, etc.
Uma interface IPMI coleta as informações utilizando sensores e disponibilzá-las em tempo real.
Permite acessar e manter serviços de informação de diretório distribuído sobre uma rede de Protocolo da Internet (IP). Compartilhamento de informações sobre usuários, sistemas, redes, serviços e aplicações através da rede. Como exemplos, serviços de diretório podem fornecer qualquer conjunto de registros organizado, geralmente com uma estrutura hierárquica, como um diretório de e-mail corporativo.
Quando uma rede não tem acesso ao sistema DNS, o mDNS habilita tabelas de pesquisa locais para serem compiladas. Cada dispositivo conectado a uma rede com o mDNS habilitado envia uma mensagem detalhando o seu nome, função e capacidades. Cada dispositivo que recebe tal mensagem armazena estas informações para que ele possa encaminhar requisições quando um aplicativo solicita um serviço, como uma impressão por exemplo.
Indicado para redes pequenas. Seu método de notificação pode causar uma grande quantidade de tráfego em redes maiores que possuem muitos dispositivos conectados. As mensagens são enviadas em intervalos regulares e causam um tráfego excessivo e indesejado na rede.
Sistema distribuído de cache em memória de propósitos gerais.
Frequentemente utilizado para acelerar sites dinâmicos orientados a banco de dados fazendo cache de dados e objetos na RAM para reduzir o número de vezes que uma fonte de dados externa (como um banco de dados ou uma API) deve ser acessada.
Originalmente desenvolvido pela Danga Interactive para o LiveJournal, mas é usado agora para muitos outros ites. O Memcached roda em Unix, Linux, Windows and Mac OS X e é distribuído sobre a licença Revised BSD license.
Quando um aplicativo utiliza esse tipo de banco de dados, o resultado que se tem são consultas muito simples. Elas são mais fáceis de escrever. Elas são mais fácil de ajustar.
MongoDB é um banco de dados multi-plataforma NoSQL, que pode ser executado em Windows, Linux e Mac etc.
Suporta linguagens de programação mais populares, como C #, Java, PHP, Javascript, NodeJs, Python e muito mais
Cliente "mongodb-client" para fazer conexão com o Banco de dados.
Permite que um computador de uma rede privada (por trás de um roteador NAT) configure automaticamente o roteador para permitir que clientes de fora da rede privada entrem em contato com esse computador. Aplicativo AirPort (Mac OS) utiliza este protocolo.
Especificação criada pela IBM e pela Microsoft que permite que aplicativos distribuídos acessem serviços de rede uns dos outros, independente do protocolo de transporte usado. Ele se integra com o TCP/IP (NETBios sobre TCP/IP) e é executado nas camadas Sessão, transporte e Rede do modelo OSI, permitindo que os aplicativos em computadores separados se comuniquem em uma rede local.
Protocolo de Tempo para Redes. É o protocolo que permite a sincronização dos relógios dos dispositivos de uma rede como servidores, estações de trabalho, roteadores e outros equipamentos a partir de referências de tempo confiáveis.
Visite o projeto NTP.BR
Daemon de porta dinâmica para serviços RPC, como o NIS e o NFS. Tem mecanismos de autenticação fracos e tem habilidade para delegar uma enorme gama de portas para os serviços que controla. Por estas razões, é dificil de proteger.
Proteger o PORTMAP afeta somente as implementações do NFSv2 e NFSv3, já que o NFSv4 não o requer mais. Recomenda-se proteger o servidor NFSv2 ou NFSv3 com o TCP Wrappers. Ou utilizar Firewalls.
Protocolo de Internet definido em RFC 865. Sua utilização é para propósitos de testes e medidas.
Um host pode conectar-se a um servidor que suporta o protocolo QOTD, na porta 17, tanto TCP ou UDP. O servidor então retorna uma mensagem curta arbitrária.
O serviço QOTD raramente é habilitado, e em qualquer caso geralmente é bloqueado pelo firewall para evitar ataques pingpong
Atualmente, testes e medição de rede são feitos com ping e traceroute.
Impacto:
O ataque pingpong faz com que o IP falsifique (spoof) pacotes entre dois hosts rodando QOTD.
Isso causa um alto fluxo de caracteres nos hosts, tornando-os lentos e saturando a rede.
Solução:
- Sistemas Unix systems: Desabilite o serviço.
- Sistemas Windows, estabeleça o valor ZERO para as seguintes chaves no Register:
HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters\EnableTcpQotd
HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters\EnableUdpQotd
Reinicialize o serviço SIMPTCP.
Protocolo multi-canal que permite que um usuário se conecte a um computador rodando o Microsoft Terminal Services (antigo Terminal Service).
O protocolo RDP é encapsulado e criptografado no protocolo TCP.
Muitas vulnerabilidades já foram detectadas neste protocol. Ataques por força bruta são ctantes.
Recomedável limitar e controlar as conxeões externas e gerenciar os usários autorizado
A Microsoft divulga as correções e atualizações constanteme
Procura descobrir serviços de rede. É a base do serviço UPnP (Universal Plug and Play) muito utilizado em pequenos ambientes. Já foi usado em ataques DDoS devido a vulnerabilidades no UPnP explorando a porta 1900.
Uma botnet que possui muitos hosts infectados pode gerar alta taxa de dados e fazer um ataque DDoS a determinado alvo.
Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS)
O ataque permite o roubo de cookies em conexões HTTPS, o que permite um atacante logar em sites como se fosse a vítima. Se aplica somente no protocolo SSL 3.0. POODLE é uma falha no protocolo em si e não na sua implementação, portanto o SSL 3.0 pode ser considerado quebrado. O problema é que vários sistemas legados util este protocolo, então simplesmente desabilitá-lo é complicado.
O problema é que um man-in-the-middle (um atacante que esteja intermediando a conexão entre cliente e servidor) pode intencionalmente bloquear a primeira conexão TLS 1.2, forçando o cliente a tentar novamente usando SSL 3.0. Assim, um atacante pode forçar o uso de SSL 3.0 mesmo quando TLS 1.2 deveria ser suportado. Esse ataque tem o nome de downgrade attack.
Solução:
Importante notar que o SSL 3.0 já está quebrado e não é bom usar.
Se mesmo assim for necessáriousar SSL 3.0 na comunicação do cliente com servidores antigos, então é mehor proteger-se do downgrade attacks utilizando o SCSV (Signaling Cipher Suite Value) no cliente.
Digamos que um cliente possui várias versões de protocolo até TLS 1.2 e possui o SCSV implementado. Quando esse cliente tenta conectar com uma versão antiga do protocolo, envia uma mensagem do tipo:
"Estou me comunicando com você com SSL 3.0, mas na verdade eu suporto SSL 3.0, TLS 1.0, TLS 1.1 e TLS 1.2"
Se o servidor for antigo (SSL 3.0), ele aceita a conexão SSL 3.0 normalmente. Se o servidor for novo (TLS 1.2) mas não suportar SCSV, ele aceita a conexão SSL 3.0, mas isso pode estar acontecendo devido a um "downgrade attack". Se o servidor for novo (TLS 1.2) E suportar SCSV, então ele sabe que o cliente foi forçado a fazer um downgrade por um atacante, e então irá bloquear a comunicação indicando que ocorreu um erro fatal.
Nos exemplos acima citamos TLS 1.2, mas poderia ser qualquer versão de protocolo superior a SSL 3.0. A recomendação é usar o protocolo TLS mais recente
* Ataque POODLE - Quebrando o TLS com SSL 3
* How exactly will be called the next version of the TLS?
Protocolo velho e não recomendável. Utilize apenas o comando para testes de conexão, nunca para servidor.
É um protocolo standard de Internet que permite a interface de terminais e de aplicações através da Internet. Este protocolo fornece as regras básicas para permitir ligar um cliente a um interpretador de comando (do lado do servidor).
Há o protocolo Telnet com SSL. Mas é melhor usar o Servidor SSH em substituição ao Telnet.
É um protocolo de transferência de arquivos, muito simples, semelhante ao FTP. Não requer autenticação antes da transferência de um arquivo. foi desenvolvido, a princípio, para uso em máquinas que não dispunham de drive para o procedimento de boot (os chamados diskless systems).
TFTP deve ser evitado e muitas de suas preocupações estão associadas as mesmas vulnerabilidades do FTP. Mas a grande dor de cabeça do serviço TFTP é que o mesmo não proporciona segurança, visto que não são necessários procedimentos de autenticação para transferência de informações.
Geralmente utilizado para transferir pequenos arquivos entre hosts numa rede, tal como quando um terminal remoto ou um cliente inicia o seu funcionamento, a partir do servidor. É baseado em UDP (usa a porta 69), não permite listar o conteúdo de diretórios, sem mecanismos de autenticação ou encriptação de dados e é usado para ler e/ou escrever arquivos em servidores remotos.
Normalmente o software (IOS) dos roteadores Cisco ficam armazenados na memória flash. Mas em alguns casos pode ser necessário ou recomendado, deixar o IOS em um TFTP Server.
Se o host precisa rodar TFTP, tenha certza que um diretório home está definido para restringir a leitura de arquivos que possam estar em outros locais no sistema. Um exemplo de configuração no /etc/inetd.conf (depende da plataforma UNIX) pode ser pareciso com o que segue abaixo:
tftp dgram udp wait root /usr/etc/in.tftpd in.tftpd -s /tftpboot
Se incorretamente implementado, o TFTP permitirá que um usuário execute o download de qualquer arquivo de um determinado host.
É um sistema de compartilhamento gráfico de desktop que usa o Remote Frame Buffer protocol(RFB) para remotamente controlar outro computador. Através deste protocolo um usuário pode conectar-se a um computador remotamente, e utilizar as suas funcionalidades visuais como se estivesse sentado em frente do computador.
Algumas das aplicações práticas incluem a "assistência remota" ao usuário remoto.
Uma das grandes vantagens é poder fazer a conexão de diferentes ambientes UNIX (Linux e outros) em WinNT (Windows X).
VNC é independente da plataforma - há clientes e servidores para muitos sistemas operacionais e para Java. Multiplos clientes se conectam ao VNC server ao mesmo tempo. Geralmente essa tecnologia é usada para suporte técnico remoto e acesso de arquivos em um computador de trabalho de um computador de casa, ou vice-versa.
Por padrão, RFB não é um protocolo seguro. Enquanto senhas não são enviadas em texto simples, a quebra pode ser bem sucedida se ambos a chave de criptografia e senha codificados são revelados da rede. Por essa razão é recomendado uma senha de pelo menos 8 caracteres. Por outro lado há apenas um limite de 8 caracteres em algumas versões de VNC; se uma senha é enviada excedendo 8 caracteres, o excesso é removido e as strings truncadas são comparadas a senha.
Para se ter mais segurança deve-se estabelecer regras de controle de acesso, por endereço IP e autorização a usuários devidamente cadastrados no servidor VNC.
Gerenciador de exibição X, é executado como um programa que permite o início de uma sessão em um servidor X a partir do mesmo ou de outro computador.
Um gerenciador de exibição apresenta ao usuário uma tela de login que solicita um nome de usuário e senha. Uma sessão começa quando o usuário entra com sucesso com uma combinação válida de nome de usuário e senha.
As vulnerabilidades existem quando um atacante usa este serviço para montar um dicionário de logins e senhas que trafegam pela rede, uma vez que são transmitidas sem criptografia.
São máquinas infectada ou Websites comprometidos e que pertençam a uma Botnet. Detectou-se que a máquina tentou acessar máquinas que fazem parte do sinkhole. Tem alguma infecção na máquina. Pode ser que foi usada para atacar e adicionar máquinas a Botnet ou prover serviços, como VPN.
* HTTP referrer: campo de cabeçalho HTTP que identifica o endereço da página web (i.e. o URI ou IRI) que liga ao recurso sendo solicitado.
Quando um usuário clica em um hiperlink em um navegador web, o navegador envia uma solicitação ao servidor que armazena a página web de destino. A solicitação inclui o campo referer, que indica a última página que o usuário estava (aquela que ele clicou no link).
Lista todas máquinas infectadas, drones e zumbis que estão aptos a capturar comandos e controles em serviços IRC, captura conexões IP a botnets HTTP, ou IPs de Relays de SPAM.
Alguns dos IPs tem um tipo de infecção e estas serão apenas para Robots HTTP ou Relays de SPAM.