botta valt a gepem

Linux-kezdő

Hi all
Az a helyzet hogy nehany napja megindult a DDoS a kolihalon es ugy nez ki hogy az en gepem is tolja az udp floodot.
Hogy tudom ujra visszaszerezni a controlt?
Tehat le akarom pusztitani a programot ami botta valtoztatta a gepem.
A tuzfal konfigolasat most kezdtem el komolyabban.

  • 1930 megtekintés

( Panther v | 2007. 01. 12., p – 18:44 )

A futó rendszeren processzlista, a gyanús folyamatoknak a ps -ef kimenetéből megnézed a process id-jét (pid), pl. legyen ez a 479. Akkor megnézed, hogy /proc/479/exe hova mutat, ha nem ismerős, akkor processz kilövése, a program legyakása, stb.

livecd be, rkhunter és egyebek + clamav a vinyó tartalmán végig, ezalatt végignézed a felhasználók crontabjait, azt, hogy mik indulnak az init.d-ben, és végignézed a /tmp, /var/tmp könyvtárakat, különös tekintettel a ponttal kezdődő könyvtárneveket.

Összességében erősen függ attól, mi okozza a tüneteket.

( Csigaa | 2007. 01. 12., p – 18:48 )

Első lépésben tilts le minden kimenő (kliens) kapcsolatot!
Utána ne csinálj semmit, várj. Nézd a naplót, mi próbál csomagokat küldözgetni (ha nem tud ilyet a tűzfalad, szerezz be olyat, ami igen!).
Ha kapás van, akkor keresd meg a folyamat forrását (DLL vagy EXE), lődd ki és irtsd ki a registryből, startupból (regedit, msconfig)! Esetleg a többi sorstárs segítésére a sikeres irtás mozzanatait (ominózus registry kulcsok) érdemes feljegyezni.

Alternatív megoldás: ingyé spyware terminator, ha megtalálja, mázlid van.

edit: ööö hülye vagyok, ha Linuxról van szó, elnézést, azt már leírták :D

( iwanabeguru | 2007. 01. 12., p – 18:56 )

Hi all
Koszi a gyors valszokat
kideritettem hogy en a 513 (who) es a 8008 (www-alter) portokon nyomom az udp floodot.
Ez egy magan szamitogep csak egy user van es csak szeretnem megallitani azt hogy bombazom a kolihalot
ps -ef kimeneteben nincs semmi kulonos
a clamavot mindjart vegigkuldom.

netstat-ból nézd meg, hogy melyik program használja. man netstat, valamint netstat -p, hogy kiírja a programneveket. Esetleg:
netstat -np | egrep '5213|8008'

utolsó oszlop: pid/programnév, a ténylegesen futó program megtalálását lásd fent (/proc/.../exe). Egyelőre nincs több 5letem.

( iwanabeguru | 2007. 01. 12., p – 19:06 )

Hi all
most adtam hozza ezt a szabalyt az iptablehez
iptables -A OUTPUT -p udp -m multiport --sports 513,8008 -j DROP
ez le fogja loni a gepemrol indulo dos tamadasokat?

( iwanabeguru | 2007. 01. 12., p – 20:36 )

clamav talalt egy ilyet
Trojan.MSNMaker-3

( iwanabeguru | 2007. 01. 12., p – 20:47 )

Egy kis iptables kerdes
A BOOTPS hez hogy kell engedelyezni a 67 es es 68 as portot?

( iwanabeguru | 2007. 01. 12., p – 22:19 )

hi all
Most irtam egy iptables szabalylancot de valamit elcsesztem ert nem akarja az igazat. Beleneznetek?

#Firewall config
#!/bin/sh
echo "Configureing firewall..."

#Valtozok
#
#IPT="/sbin/iptables"
#MODP="/sbin/modprobe"

#modulok betoltese
#
modprobe iptable_filter
modprobe ipt_multiport
modprobe ipt_LOG
modprobe ip_conntrack_ftp
modprobe xt_limit
modprobe xt_conntrack
modprobe xt_state
modprobe xt_helper

#Sajat lancok torlese ha vannak
iptables -X tcp_pakets 2> /dev/null
iptables -X udp_pakets 2> /dev/null
iptables -X icmp_pakets 2> /dev/null

#DROP policy beallitasa
#
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#Sajat lancok
#
iptables -N tcp_pakets #tcp csomagok reszere
iptables -N udp_pakets #udp csomagok reszere
iptables -N icmp_pakets #icmp csomagok reszere

#A lancok uresre torlese
#
iptables -F
iptables -F tcp_pakets
iptables -F udp_pakets
iptables -F icmp_pakets

## tcp_pakets lanc feltoltese
#
#$IPT -A tcp_pakets -p tcp ! --SYN -m state --state NEW -j LOG --log-prefix "rejtett portscan ?"
iptables -A tcp_pakets -p tcp ! --syn -m state --state NEW -j DROP
#
#Block synflood
iptables -A tcp_packets -p tcp --syn -m limit --limit 1/s -j ACCEPT
#
#Portscan
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#
#Jojjon aminek jonnie kell
#ftp,ssh,www,pop,https,rdp,msn
iptables -A tcp_pakets -p tcp -m multiport --dports 20,21,22,80,110,443,1863,3389,51785 -m state --state ESTABLISHED,RELATED -j ACCEPT
#
#Vissza az input lancra
iptables -A tcp_packets -j RETURN
####################

## udp_pakets lanc feltoltese
iptables -A udp_pakets -p udp -m multiport --dports 20,21,80,110,51785 -m state --state ESTABLISHED,RELATED - j ACCEPT
iptables -A udp_pakets -j RETURN
###################

## icmp_pakets lanc beallitasa
#
#Ping of death kivedese
iptables -A icmp_pakets -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A icmp_pakets -p icmp --icmp-type fragmentation-needed -m limit --limit 1/s -j ACCEPT
iptables -A icmp_pakets -j RETURN
###################

### INPUT lanc feltoltese
#
#Invalid csomag nem kell
iptables -A INPUT -p tcp -m state --state INVALID -j DROP
#loop engedelyezese
iptables -A INPUT -i lo -j ACCEPT
#
#DNS engedelyezese
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
#
#BOOTPS ha netan uj ip kene
iptables -A INPUT -p tcp --dport 68 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp --dport 68 -m state --state ESTABLISHED,RELATED -j ACCEPT
#
#CSomagok protokol szerinti szetosztasa
iptables -A INPUT -p tcp -j tcp_pakets
iptables -A INPUT -p udp -j udp_pakets
iptables -A INPUT -p icmp -j icmp_pakets
#
#Letrejott kacsolatok engedelyezese
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
#
############Ennyi

### OUTPUT lanc feltoltese
#
#LOOP
iptables -A OUTPUT -o lo -j ACCEPT
#
#DNS ki
iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
#
#BOOTPS ha netan uj ip kellene (ki)
iptables -A OUTPUT -p tcp --sport 68 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p udp --sport 68 -m state --state NEW,RELATED -j ACCEPT
#
#Kifele csak ami kell
iptables -A OUTPUT -p tcp -m multiport --sports 20,21,22,80,110,443,1863,3389,51785 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --sports 20,21,22,80,110,443,1863,3389,51785 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp -m limit --limit 5/s -j ACCEPT
#############Ennyi

echo "... Your firewall configured."

( iwanabeguru | 2007. 01. 12., p – 22:39 )

Van benne itt ott nem sallang de egyelore az erdekel hogy miert hal meg minden ha betoltom

a dns engedve van mindenfele ott van az csak nezd meg.
A logika meg az hogy befele nagyobb vedelem kell mint kifele
es ezert befel szetosztom a csomagokat tcp,udp,icmp csomagokra es azokat saja lancban kezelem mig kifele csak az output lanc szur

Amugy ez az elso tuzfalscriptem ugyhogy valszeg dugig van logikai hibakkal meg hat valmiert nemaz igazi, az msn-en biztos hogy lehal

esetleg érdekelhet ez a kis tűzfalszkript: 

#!/bin/sh
# rc.netfilter:  start/stop/restart the Linux firewall (netfilter)
#
#
# Customize the activate_rules() function according to your needs and restart the service 
# with command "rc.netfilter restart"

# Every allowed traffic should be specified, default policy is "DROP every protocol" but 
# you can change it at your own risks
#



#########################################################

# HERE YOU MAY DEFINE YOUR POLICY IF NEEDED ( DROP | ACCEPT )
POLICY='DROP'


# HERE YOU MAY DEFINE YOUR RULES AS IPTABLES COMMANDS
activate_rules() {

  iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT # ssh
  iptables -t filter -A OUTPUT -j ACCEPT

}

#########################################################

netfilter_start() {
  # If netfilter is not running, start it:

  /sbin/modprobe ip_tables
  /sbin/modprobe iptable_filter
  /sbin/modprobe iptable_nat
  /sbin/modprobe ip_conntrack
  /sbin/modprobe ipt_state
  /sbin/modprobe ip_conntrack_ftp

  for TABLE in filter nat mangle; do
    iptables -t $TABLE -F 1>&2 2>/dev/null
    iptables -t $TABLE -X 1>&2 2>/dev/null
  done
  for CHAIN in INPUT OUTPUT FORWARD; do
    iptables -t filter -P $CHAIN $POLICY 1>&2 2>/dev/null
  done
  iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -t filter -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -t filter -A INPUT -i lo -j ACCEPT
  iptables -t filter -A OUTPUT -o lo -j ACCEPT
  
  activate_rules

}

netfilter_stop() {

  for TABLE in filter nat mangle; do
    iptables -t $TABLE -F 1>&2 2>/dev/null
    iptables -t $TABLE -X 1>&2 2>/dev/null
  done
  for CHAIN in INPUT OUTPUT FORWARD; do
    iptables -t filter -P $CHAIN ACCEPT 1>&2 2>/dev/null
  done

}

netfilter_restart() {
  netfilter_start
}

case "$1" in
'start')
  netfilter_start
  ;;
'stop')
  netfilter_stop
  ;;
'restart')
  netfilter_restart
  ;;
*)
  echo "usage $0 start|stop|restart"
esac


# Copyright Jean-Philippe Guillemin. This program is free software; you can redistribute 
# it and/or modify it under the terms of the GNU General Public License as published by
# the Free Software Foundation; either version 2 of the License, or (at your option) 
# any later version. Please take a look at http://www.gnu.org/copyleft/gpl.htm

--
-Have you seen the new Ubuntu release?
-Nah, I'm not really into Pokémon.

( iwanabeguru | 2007. 01. 15., h – 22:24 )

Hi all
Vegigikuldtem mindenen a clamavot es egyedul egy nrg filba talalt egy trojait az ki tud onnan ugymond szabadulni?
ez a trojai volt:Trojan.URLspoof.gen.2

semmi mast nem talaltam.

( LGee | 2007. 01. 15., h – 22:56 )

Bocs, csak ugy mellesleg, beirnad, hogy ez milyen OS milyen verzioja? Mert most mar kezd rohadtul erdekelni, hogy mit keresgelsz clamav-val egy linuxban.

Azt azért tegyük hozzá, hogy egy tisztességes rootkit jelenléte esetén ne várd, hogy a rendszer "ps" parancsa majd listázza neked a trójait is.
Szóval először is bootolj CD-ről, és futtass chkrootkit-et és rkhunter-t. Hátha megtalálják.

Üdv,
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Rescuecd: nem tom és lusta vagyok megnézni.
SLAMPPLiveCD igen.

Régen a centralcommand kínált ingyen letölthető Vexira Antivírus Rescue Disk System-et CD formában is. Egyébként clamav alapú cucc volt. Most már spúrok. Pedig csak detektálni tudott, irtani nem lehetett vele. Ezzel állítottam be a rekordom egy publikus IP-vel rendelkező, karbantartás nélkül üzemelő Windows 95-ös gépen 2003-ban. Már nem emlékszem hány vírust talált. Gyakorlatilag az okozta a gép halált, hogy összebalhézott rajta a rengeteg vírus.

Üdv,
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."