Szellem a gépben?

Debian GNU/Linux

Hogy lehetséges az, hogy egy Debian szerver kínai IP címekre támad olyan forrás IP-vel, ami csak a telepítésekor volt rákonfigurálva?

"Sajnos" egy régebbi Debian 5.0 -ról van szó, ami telepítéskor a 192.168.70.199 címet használta. Jelenleg pedig a 192.168.0.8 IP van konfigurálva rajta, és a kezdeti IP cím, semmilyen konfigban nem szerepel már.

A tcpdump pedig kb. percenként érzékeli, hogy a 192.168.70.199 ip cím támad egy folyton változó de általában kínai IP címet.

Valami DDOS támadás lehet, ami a régi linux hibáit kihasználva működik, vagy esetleg a hálókártya vagy a drivere vacakolna?

kb. percenként felmegy a kimenő forgalom 100Mbit közelébe, de csak kis időre.

Találkozott valaki hasonlóval?

  • 2990 megtekintés

( whiteangel | 2015. 09. 23., sze – 18:00 )

Ja. Lehet bugos. :)
--
Nem az erős, aki sosem esik el, hanem az, aki mindig fel tud állni!

( kisbetu v | 2015. 09. 23., sze – 18:08 )

"a kezdeti IP cím, semmilyen konfigban nem szerepel már."
Tehát végignézted a gép _összes_ file-ját, és egyikben sem találtad meg a sztringet?

( segej | 2015. 09. 23., sze – 18:11 )

nem hinném, hogy 'támadna' ... tünetek alapján, csak egy botnet része vagy ami csinál amit csinál ... kártyának szinte akármennyi L3-as címe lehet, így nyilván valahova eltette magát és addolja magát az iptáblába. kiszűrni utólag macerás és ha már befészkelte magát akkor okosabbjika reprodukálta is. Én gyalulnám úgy ahogy van. 2.6-os kernelhez security patchek még egy idejig (nem sok) jönnek, ha muszáj az 5-öst futtatsd, de ez inkább helyi hálós hozzáférés esetén mókolhatóságot feltételez (persze nem kizárólag).
Szerintem nem célzott támadás áldozata lehet, hanem valami automatizált akármi fészkelte be magát, tuti natívan van kint AMP/ssh/egyéb nyalánkságok közül egy/néhány, melyek ha olyan régiek mint a default OS akkor az már komoly gond :)
iptables/clamav/apparmor a barátod + odafigyelés a publikus portokon futó alkalmazások uptodate tartására (ssh ne natívan legyen, hanem valami portknocking vagy egyéb 3rd party preauthentication ... stb)

( bugos | 2015. 09. 23., sze – 18:15 )

tcdump részlet:

18:12:11.335039 IP 192.168.70.199.49254 > 14.29.32.122.1000: S 226534757:226535727(970) win 62341
18:12:11.335460 IP 192.168.70.199.16247 > 14.29.32.122.1000: S 1043579662:1043580632(970) win 64934
18:12:11.335627 IP 192.168.70.199.10371 > 14.29.32.122.1000: S 1290571432:1290572402(970) win 61520
18:12:11.335795 IP 192.168.70.199.49406 > 14.29.32.122.1000: S 263692687:263693657(970) win 61359
18:12:11.335877 IP 192.168.70.199.30064 > 14.29.32.122.1000: S 673457447:673458417(970) win 64511
18:12:11.336466 IP 192.168.70.199.7595 > 14.29.32.122.1000: S 1395619658:1395620628(970) win 60538

iptables van rajta (shorewall -al konfigolva)

( blackluck v | 2015. 09. 23., sze – 18:24 )

ip addr s
ip route s
iptables -nvL -t nat
egyikeben sincs utalas arra az ip-re vagy tartomanyra?

( hendrick v | 2015. 09. 23., sze – 21:11 )

Fincsi :) Majd kérünk egy végső riportot ha felgöngyölítetted :)

Remote logging van a gépen vagy local? Most örökölted ezt a gépet vagy csak megfeledkeztél róla? Backup?

Egy securitys kollega biztos elcsámcsogna egy picit rajta, kimentené a preparált kódrészleteket, etc de szerintem egyszerűbb a firmware-ket gyárira flashelni és újranyomni az egészet friss debianra, már ha van olyan backupod amivel ez flottul gyorsan megy (attól függ mennyi, milyen adat és szolgáltatás van rajta, mennyi user, és milyen hálózati környezet)
5.0 vs 8.2 debian... hát az 2012 eleje óta nem divat. Előbbi dátumtól lehet válogatni, ebből a kollekcióból... sokminden szóba jöhet ... amin keresztül bejöttek és a te debianod a hídfőállás amiről mennek kifele ...

Talán a leghasznosabb amit tehetsz ha logolod még picit a forgalmazását a leendő tűzfalszabályokhoz (nem arra a gépre támaszkodva), mivel majd vissza szeretnének jönni az otthonos kis helyükre, és felkészülsz egy kis downtime-ra (gondolom van ezen az adott gépen kívül biztonságos up to date rendszer amire tudsz támaszkodni a rendszer tisztába tételéhez ...).

Tipikus állatorvosi ló... tessék gyorsan tarkón lőni ... szerencsére aki fizikailag a gép mellett ül azért komoly előnyökkel rendelkezik a betolakodókkal szemben, úgyhogy kétségbeesni nem kell azért :)

PS: Valami debian 5.0 rezervátumod van? :) http://hup.hu/node/125215