The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не могу найти руткит в своей системе"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Обнаружение и предотвращение атак / Linux)
Изначальное сообщение [ Отслеживать ]

"Не могу найти руткит в своей системе"  +/
Сообщение от vadim007 (ok) on 13-Дек-10, 09:23 
Старый PIII-500 под ASPLinux 11 (Seliger) в качестве роутера. Работает почти без перерыва уже лет 5. Последние два месяца по нескольку раз в день пользователи жаловались на медленный интернет. Когда наконец оторвал задницу от кресла, ужаснулся. Команда cat /proc/net/ip_conntrack | wc l временами выдавала до 40000 соединений. В среднем было 20000...30000 соединений. По trafshow увидел, откуда прут запросы. Оказалось это китайцы: 203.80.Х.Х. И запросы шли как на мой IP, так и на IP машин подсети моего провайдера. Пообщался с провайдером на тему - почему чужие пакеты летят на мою машину? Ничего внятного он не сказал, кроме как "это вы должны отсеивать". Тогда первым делом отбросил все пакеты, которые не для меня: iptables -A INPUT -s 0/0 -i $EXTIF -d ! $EXTIF -j DROP
Дня три было спокойно, потом снова шторм с 203.81.X.X. Тогда стал дропить эти пакеты, и по всем цепочкам:
iptables -A INPUT -s 203.81.0.0/16 -j DROP
iptables -A OUTPUT -s 203.81.0.0/16 -j DROP
iptables -A FORWARD -s 203.81.0.0/16 -j DROP
Снова затишье дня три, но на всякий пожарный постоянно держу трафик на контроле. И вот, теперь уже мой роутер шлет пакеты на 203.81.Х.Х. Было от чего прийти в ужас. С ходу определить зверя не смог, тогда просто стал дропить и эти исходящие пакеты:
iptables -A INPUT -d 203.81.0.0/16 -j DROP
iptables -A OUTPUT -d 203.81.0.0/16 -j DROP
iptables -A FORWARD -d 203.81.0.0/16 -j DROP
Казалось, можно успокоиться, но вскоре подобное началось с 218.100.0.0 Малайзия
Стал и эту подсеть дропать,  но вскоре подобное началось с 218.188.0.0, 218.189.0.0 Гонконг
Стал и эту подсеть дропать,  но вскоре подобное началось с 63.218.0.0 Эльдорадо
Потом 118.143.0.0/16, 208.92.223.0/24.
Сегодня утром 72.10.160.0/24 GloboTech
В общем, нет сомнений, что в моей системе живет зверек. Как его найти и обезвредить?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не могу найти руткит в своей системе"  +/
Сообщение от Аноним (??) on 13-Дек-10, 09:59 
>[оверквотинг удален]
> iptables -A FORWARD -d 203.81.0.0/16 -j DROP
> Казалось, можно успокоиться, но вскоре подобное началось с 218.100.0.0 Малайзия
> Стал и эту подсеть дропать,  но вскоре подобное началось с 218.188.0.0,
> 218.189.0.0 Гонконг
> Стал и эту подсеть дропать,  но вскоре подобное началось с 63.218.0.0
> Эльдорадо
> Потом 118.143.0.0/16, 208.92.223.0/24.
> Сегодня утром 72.10.160.0/24 GloboTech
> В общем, нет сомнений, что в моей системе живет зверек. Как его
> найти и обезвредить?

Имхо, лучше всего просто с нуля переставить систему

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Не могу найти руткит в своей системе"  +/
Сообщение от jaybee email(ok) on 13-Дек-10, 12:18 
может это просто вирусы у пользователей ?!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Не могу найти руткит в своей системе"  +/
Сообщение от vadim007 (ok) on 13-Дек-10, 12:25 
> может это просто вирусы у пользователей ?!

Исключено: прихожу рано утром, когда еще никто не работает, потом во время одной из атак, днем, отключал у всех интернет (с помощью iptables) - атаки продолжались.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Не могу найти руткит в своей системе"  +/
Сообщение от jaybee email(ok) on 13-Дек-10, 13:41 
для уверенности рекомендую таки снять дамп с внутреннего интерфейса во время атаки
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Не могу найти руткит в своей системе"  +/
Сообщение от vadim007 (ok) on 13-Дек-10, 15:48 
> для уверенности рекомендую таки снять дамп с внутреннего интерфейса во время атаки

Дампы сняты и сохранены. Фрагменты выложить?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Не могу найти руткит в своей системе"  +/
Сообщение от ДумДум on 15-Дек-10, 08:58 
А что-то вроде sockstat  в ASP есть?


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Не могу найти руткит в своей системе"  +/
Сообщение от vadim007 (ok) on 15-Дек-10, 13:37 
> А что-то вроде sockstat  в ASP есть?

Нету. Но есть чем "заменить": https://www.opennet.ru/openforum/vsluhforumID1/67855.html
В ближайшую атаку попробую.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру