Suspeita de Ataque

1. Suspeita de Ataque

Eliezer Pereira Junior
EliezerPereiraJr

(usa Slackware)

Enviado em 15/07/2015 - 09:41h

Bom dia Srs.

Utilizo como proxy, um Fedora Core Bordeaux (sim, aquele velho) e, de 10 dias para cá, estou tendo um aumento de 1 MB a cada 10segs no HD e pelo que visualizei através do IPTRAF, é consumo de rede/internet. Verifiquei que tem um IP (184.50.232.64) dos E.U.A que está trocando pacotes de forma continua com meu IP externo 177.xxx.xxx.xxx. Preciso de ajuda para bloquear essa ação, impedir essa comunicação e extinguir esse problema, normalizando o proxy.
Como não tenho muitos problemas com o proxy, minha experiencia com troubleshooting nesse sistema é básico e não tenho ideia por onde começar. Por favor pessoal, HELP ME !!!

Agradeço a todos desde já.


  


2. Re: Suspeita de Ataque

Zhu Sha Zang
zhushazang

(usa Gentoo)

Enviado em 15/07/2015 - 11:24h

Considerando que você não explicou a topologia nem o serviço que está sendo utilizado para a conexão:

iptables -A INPUT -s IP-ADDRESS -j DROP

---
Hail Hydra!


3. Testes

Eliezer Pereira Junior
EliezerPereiraJr

(usa Slackware)

Enviado em 15/07/2015 - 13:00h


Vou testar e volto a responder. Obrigado.


4. Re: Suspeita de Ataque

Wellington
wellington_r

(usa Debian)

Enviado em 15/07/2015 - 13:07h


Você está usando um Fedora de 2006.
Troque isso o mais rápido possível.


5. Re: Suspeita de Ataque

Zhu Sha Zang
zhushazang

(usa Gentoo)

Enviado em 15/07/2015 - 14:30h

wellington_r escreveu:


Você está usando um Fedora de 2006.
Troque isso o mais rápido possível.



Qual a probabilidade de ter rolado um "OWNED!"???

---
Hail Hydra!


6. Re: Suspeita de Ataque

Perfil removido
removido

(usa Nenhuma)

Enviado em 15/07/2015 - 18:36h

zhushazang escreveu:

wellington_r escreveu:


Você está usando um Fedora de 2006.
Troque isso o mais rápido possível.



Qual a probabilidade de ter rolado um "OWNED!"???

---
Hail Hydra!


Usar Fedora em um servidor ja é uma temeridade. Manter uma versão jurássica então, é pedir para se incomodar.



Se identificou o IP de origem, ao menos o bloqueie como o zhushazang sugeriu. Seria útil instalar o fail2ban também para problemas futuros e configurar o proxy para aceitar conexões apenas da rede local/conhecidas (Caso ele deva aceitar conexões de fora) e analisar os logs e arquivos do sistema para avaliar se algo foi comprometido.

Com esta versão do Fedora, fica complicado pois não existe mais suporte para o que tem instalado. Avalie se pode substituir o sistema desta maquina por algo mais atual, de preferencia com longo tempo de suporte, como o CentOS7. Se a maquina for muito antiga e/ou você ainda não estiver habituado ao systemd, use ao menos o CentOS6.


--------------------------------------------
povo@brasil ~$ sudo su -
root@brasil ~# find / -iname corrupção -exec rm -rfv {}\ ;



7. : (

Eliezer Pereira Junior
EliezerPereiraJr

(usa Slackware)

Enviado em 20/07/2015 - 08:09h

Srs.

Até o momento nada. Ainda nao comecei a trocar a versão, pois, na filial é a mesma, e trabalhamos com tunel de comunicação e não sei cria-los.
Sei que tem um comando pra ignorar o squid ... na verdade uma linha de comando, input -A blablalblalbla.. que deixa navegar sem passar pelo squid, alguem tem ou lembra essa linha de comando? deixarei tudo aberto até conseguir uma solução.

OBRIGADO.



8. Re: Suspeita de Ataque

José
digitalx

(usa Debian)

Enviado em 20/07/2015 - 11:15h

EliezerPereiraJr escreveu:

Srs.

Até o momento nada. Ainda nao comecei a trocar a versão, pois, na filial é a mesma, e trabalhamos com tunel de comunicação e não sei cria-los.
Sei que tem um comando pra ignorar o squid ... na verdade uma linha de comando, input -A blablalblalbla.. que deixa navegar sem passar pelo squid, alguem tem ou lembra essa linha de comando? deixarei tudo aberto até conseguir uma solução.

OBRIGADO.

Agora não entendi nada mesmo.... Você tá suspeitando de ataque, e resolve "liberar geral"??





9. Re: Suspeita de Ataque

Zhu Sha Zang
zhushazang

(usa Gentoo)

Enviado em 20/07/2015 - 11:32h

digitalx escreveu:

EliezerPereiraJr escreveu:

Srs.

Até o momento nada. Ainda nao comecei a trocar a versão, pois, na filial é a mesma, e trabalhamos com tunel de comunicação e não sei cria-los.
Sei que tem um comando pra ignorar o squid ... na verdade uma linha de comando, input -A blablalblalbla.. que deixa navegar sem passar pelo squid, alguem tem ou lembra essa linha de comando? deixarei tudo aberto até conseguir uma solução.

OBRIGADO.

Agora não entendi nada mesmo.... Você tá suspeitando de ataque, e resolve "liberar geral"??




"Se não pode vencê-los, una-se a eles" -- Chapolin?


---
Hail Hydra!


10. Descarte de Ataque

Eliezer Pereira Junior
EliezerPereiraJr

(usa Slackware)

Enviado em 20/07/2015 - 12:14h

Pois é, descartei ser ataque, pois o que está consumindo o HD é a gravação de logs e tudo que passa pela rede. Preciso de uma solução fácil antes de resolver definitivamente o problema, pois a cada 1 hora eu tenho que eliminar arquivos para a internet continuar funcionando. Estou procurando na internet um código de POSTROUTING que deixe o trafego internet direto, sem passar por iptables ou squid... Caso alguem tenha esse código facil, eu fico grato, pois o meu history foi zerado um bom tempo atras, e nao lembro de cabeça, pois a ultima vez que usei tem quase 2 anos.






11. Re: Suspeita de Ataque

Zhu Sha Zang
zhushazang

(usa Gentoo)

Enviado em 20/07/2015 - 12:29h

Vish...

Rapaz, não tem como "não passar pelo iptables", se é que isso faz sentido. Quanto ao squid, basta não redirecionar as portas. Mas está certo que é isso que você quer? Tirar o proxy?

---
Hail Hydra!


12. zhushazang

Eliezer Pereira Junior
EliezerPereiraJr

(usa Slackware)

Enviado em 20/07/2015 - 12:45h

Infelizmente, por hora, terei que fazer isso. Até achar uma solução definitiva ou conseguir instalar outra distro que converse via tunel com minha filial. O pior é que vai ser na marra!




01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts