Configuração de Firewall para bloqueio de portas após invasão por trojan

Boa Noite,

Infelizmente, meu servidor (Ubuntu 10.04 32 bits) foi invadido com o uso de um trojan e verifiquei que algumas portas foram abertas para permitir a instalação de alguns programas maliciosos.

Segue abaixo relatório do nmap:

Nmap scan report for xxxxx.com.br (xxx.xxx.xx.xx)
Host is up (0.036s latency).
Not shown: 991 filtered ports
PORT STATE SERVICE
21/tcp closed ftp
22/tcp open ssh
25/tcp closed smtp
80/tcp open http
139/tcp closed netbios-ssn
445/tcp closed microsoft-ds
593/tcp closed http-rpc-epmap
8080/tcp open http-proxy
12345/tcp closed netbus

Essas portas mesmo que sinalizadas como fechadas, ainda podem ser acessadas pelo “invasor”. Como posso fechá-las novamente? Quais materiais vocês recomendam para um iniciante estudar para se proteger de ataques futuros?

Trojan? Como você detectou isso?
Essas são portas de serviços. Não indicam uma invasão!

Você tem logs do invasor? Oque ele está fazendo?

Tenho um servidor Cloud na Locaweb e no ínicio deste mês me comunicaram que o meu servidor estava fazendo port scanning em outros servidores deles. Naquele momento, apenas matei os processos (pnscan) que estavam fazendo isso e não fiz mais nenhuma intervenção.

Depois de 15 dias, recebi mais uma notificação, comunicando que meu servidor novamente estava atacando outros servidores, desta vez por brute force. Utilizei o antivirus clamd e localizei três arquivos com Trojan. Utilizei o SFTP para ir até estas pastas e encontrei muitos vestígios, como: pastas ocultas, programas para geração de ips com geolocalização, lista de senhas para bruteforce, códigos para bruteforce em sites com wordpress, ...

Limpei esses trojans e as pastas que haviam sido criadas pelo invasor, e rodei o antivirus, não há mais nenhum Trojan. Mas, me sinto vulnerável para novas invasões. Infelizmente, só fiquei sabendo que havia sido invadido algumas semanas depois disso ter acontecido. E, como não tenho muitos conhecimentos dos logs do sistema operacional, não consegui localizar nenhum registro em logs.

Por isso, estou buscando conhecer as melhores maneiras para proteger o meu servidor de futuras invasões. E depois, instalarei uma ferramenta de monitoramento, para que se aconteça uma invasão pelo menos possa saber disso com mais agilidade para identificar a vulnerabilidade da minha aplicação que está permitindo a entrada.

Este é um servidor usado somente para a disponibilização de uma aplicação extranet em Java. Por isso, só rodam os programas: Apache, Apache Tomcat e MySQL. As outras portas não abri, e nem deveriam estar abertas.

Agradeço a sua disposição para ajudar.

bom sugiro que tu troque a porta do ssh ,
verifica se tem usuários nos sistema com shell válido e vê se é necessário
verifica nos arquivos de inicialização se tem algum processo duvidoso , verifica os agendamentos .

Outra coisa é usar o fail2ban que barra o bruteforce pois se errar 3 vezes a senha dos seviços que configurar nele o IP do atacante é bloqueado.
http://estruturaopen.com/2011/01/10/melhorando-a-seguranca-com-o-fail2ban/


http://segurancalinux.com/etc/jail.conf

Faça um hardening nesse servidor

1. verifique usuários que tem acesso shell, deixe apenas o seu usuário, se tiver outros users remove
2. use política de firewall tudo drop e libere apenas os serviços de redes em uso com suas respectivas portas
3. troque a porta default do ssh e use a técnica Port knocking para SSH
Essa técnica define tipo um labirinto de portas que devem enviar pacotes dentro do prazo estimado em segs, após isso irá liberar a porta do ssh no prazo de 1 hora apenas para o seu ip.

Em [1] explica conceitos de firewall e como aplicar regras iptables com uso da técnica Port knocking para SSH.

[1] http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html

+ uma dica....

Eu sempre configuro sudo e travo o root com o comando:

# passwd -l root

# passwd --help

-l, --lock         bloqueia a senha da conta especificada 

* Vantagens do uso do comando sudo

http://migre.me/cA1TC