LINUX.ORG.RU

Чего-чего, а такого западла не ожидал. Help, please!


0

0

Суть проблемы в следующем. Только что звонит мне девушка на работу, и говорит, что с моего счёта у провайдера исчез трафик, и доступ в инет закрыт. Звоню прову, он смотрит статистику, и говорит, да действительно, трафик потрачен . Трафика потрачено все 77 метров, которые были на счету (входящий трафик превышает исходящий на 77 метров за период с 12 часов до 3). Трафик шёл вроде-бы с 129.123.41.41 (aggi.es.usu.edu) то есть с хоста, на котором находится страница университета Юты (то есть, вариант автоапдейта какой-то проги весом в 77 метров не катит). Похачили?

Что ещё? Дистр ASPLinux 9. Данный комп находится в домашней сети, маскарадится (правда как-то странно, в заголовках пакетов кроме адреса прокси провайдера указывается и мой динамический адрес), вроде файрволится. Чуть позже провайдер должен перезвонить, сказать через какой порт шёл траффик.

Трафик уже не вернуть, но мне очень не хочется впредь столкнуться с этой неприятностью, поэтому, хотелось бы узнать в чём причина, что бы в будущем такого больше не происходило. Что бы это могло быть? Что делать и как всё это выяснить? Какие логи смотреть(я линуксом пользуюсь неполных пол-года, в логах пока пости не разбираюсь)?. Помогите, пожалуйста.

★★★

Чего-чего, а такого западла не ожидал. Help, please!

И ещё вдогонку - как узнать, что это за 77 метров дерьма свалилось мне на винт?

bsh ★★★ ()

Re: Чего-чего, а такого западла не ожидал. Help, please!

К сожалению, боюсь, что установить какая программа израсходовалда эти мегабайты уже не представляется возможным. Необходимо тщательно изучить системные журналы - там может оказаться какач-нибудь подсказка, проверить, кто регистрировался в системе в этот период, запустить на всякий случай chrootkit и, если установлен, tripwire (не было ли изменения системных файлов). Для обеспечения безопасности в будущем помимо tripwire необходимо настроить iptables, отключить лишние сервисы или, по крайней мере, закрыть доступ к ним извне и обязательно установить любую IDS. Лично я использую snort.
Надеюсь следующие товарищи смогут дать более дельные советы.

anonymous ()

Re: Чего-чего, а такого западла не ожидал. Help, please!

Было ли сделано следующее (файрволл):

Всем соединениям извне к данной машине делается DROP. Нет -- сам себе злобный буратино (могли проломать любой сервис, от ssh до sendmail или устроить openproxy, если squid сконфигурирован неверно).

Хотя могли и тупыми пингами с большим размером пакета накидать. 77 метров -- легко. И защиты нет, поскольку дропай -- не дропай, а пакет киску провайдера прошел -- трафик есть.

> Что делать и как всё это выяснить?

Если вам накидали трафик пингами, то окромя как просить провайдера запретить на своем файрволле ЛЮБЫЕ (сегодня пинговали, завтра по-другому пакетиков накидают) коннекты к вам, никак. Чем плохо -- обломятся качалки типа kazaa, emule и т.п.

> Какие логи смотреть

Если не проломали, возможно, что читать практически все, что в /var/log. Начиная с предполагаемой даты "взлома".

Obidos ★★★★★ ()

Чего-чего, а такого западла не ожидал. Help, please!

В общем ситуация следующая:

Трафик шёл через восьмидесятый порт, с 12 до 3, приём-передача пакетов происходила с периодичностью ровно 2 минуты. Пакеты примерно одинакового размера - около 90707 байт. Осмотр /var/log ничего толком не дал. Многие логи просто пустые, как, например логи portsentry.

Похоже поломали... Только зачем? Просто ради западла - потратить чужой трафик, что-ли? Интересно кто - изнутри локалки, или извне?

если дропать все соединения к машине извне на файрволе провайдера, аська работать будет (пиринговыми качалками не пользуюсь)?

если запретить все коннекты извне, машина всё же остаётся уязвимой для атак изнутри локалки?

Могли ли остаться ещё какие-то записи о сетевой активности, кроме тех, что находятся в /var/log?

По мнению провайдера, не исключён вариант, что сработал автоапдейт какой-то проги, можно ли по каким-либо признакам исключить этот вариант?

Что ещё можно предпринять, что бы выяснить как можно больше обо всём этом?

bsh ★★★ ()

Re: Re: Чего-чего, а такого западла не ожидал. Help, please!

Obidos правильно пишет. По умолчанию в ASPLinux 9.0 и RedHat 9.0 программа для настроек фаервола lokkit неправильно прописывает правила. Все порты остаются открытыми.

Поэтому лучше самому разобраться в iptables-howto и прописать правила ручками.

anonymous ()
Ответ на: Re: с периодичностью ровно 2 минуты. от DonkeyHot

Проблема с безопасностью, однако...

>Еще вариант: большая страничка с автообновлением содержимого через 2 минуты и незакрытое окно бровзера :-).

Не катит. В браузере никаких страниц, кроме стартовой провайдерской, не висело...

bsh ★★★ ()
Ответ на: Re: Re: с периодичностью ровно 2 минуты. от Zulu

Проблема с безопасностью, однако...

>Выжрать твой траффик ценой размена 1-в-1 на свой можно практически всегда, от этого не защититься... Почти никак.

А вот с этого места, если можно, поподробней.

bsh ★★★ ()
Ответ на: Проблема с безопасностью, однако... от bsh

Re: Проблема с безопасностью, однако...

А что тут пояснять? Будет тебе кто-нибудь слать абсолютно что угодно - ты это будешь отбрасывать, но по учётной системе ISP всё равно же пройдёт. Причём для посылающего это будет исходящий трафик, за который он, скорее всего, платить вообще не будет (если он платит по максимальному - входящий-то по любому у него будет больше), а для тебя входящий за который ты будешь платить по полной.
Отсюда мораль: не хочешь подобных проблем не бери себе реальный IP, а если уж такой возможности (взять ip из приватного адресного пространства) нет, то, по возможности, никому его не сообщай.

anonymous ()
Ответ на: Re: Проблема с безопасностью, однако... от anonymous

Проблема с безопасностью, однако...

В том-то и дело, что реального IP у меня нет и никогда не было... только локалькальный (тот, который "маскарадинговый" айпишник, присвоенный провайдером).

bsh ★★★ ()

Re: Чего-чего, а такого западла не ожидал. Help, please!

> если дропать все соединения к машине извне на файрволе провайдера, аська работать будет

Мои юзера не жалуются. ;-) Пересылка файлов не работает, естественно, но для этого существуют более другие средства.

> если запретить все коннекты извне, машина всё же остаётся уязвимой для атак изнутри локалки?

Что в данном случае вы понимаете под термином "Извне"? По-хорошему, машина должна DROP'ать вообще любые коннекты. Только данная машина имеет право инициировать соединения с кем бы то ни было. Тогда, правда, отвалится возможность "расшарить" какой-нибудь каталог.

> В том-то и дело, что реального IP у меня нет и никогда не было... только локалькальный (тот, который "маскарадинговый" айпишник, присвоенный провайдером).

Та-а-ак. Ваш вредитель (ТОЛЬКО в случае, если вы не схватили трояна) находится в вашей локальной сети "по одну сторону с вами" от провайдера. По поводу трояна -- идем вот сюда www.chkrootkit.org и качаем chkrootkit, читаем документацию, запускаем. Печально, однако, то, что даже ответ этой программы "все чисто" не является ГАРАНТИЕЙ чистоты. Радикальный метод -- переустановка системы с переформатированием разделов, после чего тщательно читаем документацию на iptables (есть и на русском, надо просто поискать).

Obidos ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.