[PLUTO-security] Log iptables, non mi tornano i conti!

Andrea Dinale andrea at dinale.it
Tue Jul 15 01:40:04 CEST 2003


Il lun, 2003-07-14 alle 23:47, Andrea Dinale ha scritto:
> Il lun, 2003-07-14 alle 18:14, Fabio Panigatti ha scritto:

> > > Sarà una patch, ora ho messo in download il kernel source di red hat e
> > > vediamo.
> > 
> > Mah, magari e' proprio una patch di redhat . I sorgenti dovrebebro chiarire
> > i dubbi.
> 
> come ho già detto nell'altra mail, i dubbi sono stati alimentati e non
> tolti, proverò a cercare meglio, ma google dice poco, e nel kernel
> source RH, non c'è nulla, proverò a scaricare i sorgenti di iptables +
> patch-o-matic e vedo se dentro li c'è la risposta o no!

allora, tanto per mettre un po' più carne al fuoco...
torniamo al discorso del WIPT

Ho analizzato i sorgenti di iptables 1.2.8 e l'ultimo patch-o-matic
diponibile e nessun file contiene la stinga WIPT

però...

queste 3 righe di log sono consecutive e la seconda è qella che presenta
la voce stana WIPT

Jul 10 10:43:47 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=192.0.0.3
DST=192.0.0.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3642 PROTO=TCP
SPT=902 DPT=61474 WINDOW=0 RES=0x00 ACK RST URGP=0 

Jul 10 10:43:47 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=192.0.0.3
DST=192.0.0.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3643 PROTO=TCP
SPT=848 DPT=61474 WIPT=1487 DPT=61474 WINDOW=0 RES=0x00 ACK RST URGP=0 

Jul 10 10:43:47 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=192.0.0.3
DST=192.0.0.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3858 PROTO=TCP
SPT=896 DPT=61474 WINDOW=0 RES=0x00 ACK RST URGP=0 

osservando con attenzione si nota che la riga incrimainta è la più lunga
di tutte, e se confrontiamo le sequenza di info che si possono estrarre
si nota una cosa quantomeno strana.
Nella prima e nella terza le inforamazioni che si ricavano sono le
stesse, ovviamnte l'ora la porta sorgente e l'id sono diversi.

mentre la seconda riga ci sono tutte quelle informazioni, però DPT è
ripetuta 2 volte e la "WI" di WIPT sembra la "WI" di window, mentre 
"PT=1487 DPT=61474 WI" sembra copiata e incollata tranne che per il
valore 1487 che dovrebbe essere 61474 se fosse stato fatto un cut&paste;
però 1487 e 61474 non sono poi cosi divesi, togliendo le due cifre
iniziali a 61474 si ottiene 147 ed aggiungendo un 8 dopo il secondo
digit si ottiene 1487

infatti se togliamo la parte doppia "PT=1487 DPT=61474 WI" la riga di
log assume un aspetto completamente conforme alle altre.
Sembra che i log siano stati modificati a mano da qualcuno, dubito che
sislog possa scrivere una tale ciofeca!
Devo controllare nei backup, se ho una versione del file di log
immediatamente posteriore al portscan, nella speranza di cavarne qualche
info utile!

ecco le tre righe di log, con la seconda modificata

Jul 10 10:43:47 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=192.0.0.3
DST=192.0.0.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3642 PROTO=TCP
SPT=902 DPT=61474 WINDOW=0 RES=0x00 ACK RST URGP=0 

Jul 10 10:43:47 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=192.0.0.3
DST=192.0.0.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3643 PROTO=TCP
SPT=848 DPT=61474 WINDOW=0 RES=0x00 ACK RST URGP=0 

Jul 10 10:43:47 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=192.0.0.3
DST=192.0.0.1 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3858 PROTO=TCP
SPT=896 DPT=61474 WINDOW=0 RES=0x00 ACK RST URGP=0 

sono estremamente simili, e soprattutto conformi una all'altra!

forse la questione si fa più seria del previsto... 

ciao
Andrea




More information about the pluto-security mailing list