iptraf

Alberto Rivera rivera.alberto en gmail.com
Jue Feb 7 16:06:43 CLST 2008 

Satara Plaza wrote:
> Estimados Amigos, es un gusto saludarlos, tengo un drama, sucede que hoy
> revise el cisco y me encontre que las luces de TxRX estaban como locas , no
> usual como de costumbre. Por lo que fui a mi servidor (Debian etch, squid
> transparente, postfix, bind9, courrier-imap, dovecot, qpopper, dhcp,
> apache2, Squirrelmail, en un PIII 900Mhz, 96MRAM, ide 20G, eth0 para la Wan
> con ip fija de entel, eth1para la Lan) , y lo revise con :
>   
me parece que son muchos servicios en una sola máquina, en lo personal 
no se me ocurriría correr el squid con el servidor de correo o el bind, 
pero esa es la gracia de esto =) ...

bueno te comento que obviamente esos mensaje son del bind ya que ese es 
el que trabaja en el 59 UDP, pero en realidad puede ser por varias 
cosas, primero te pueden haber tomado el proxy desde el exterior y están 
resolviendo con tu bind, el bind esta abierto a conexiones exteriores y 
están resolviendo con tu bind, te pueden haber tomado el postfix desde 
el exterior  y están enviando correos a través de tu dominio o algo así 
(esto lo puede hacer un virus desde dentro de la lan) y por último y 
creo que me pasó una vez, es que me piratiaron una página que estaba con 
mambo y le instalaron una serie de scripts que hacían de portscanner's 
en la red, bien entretenidos además ... lo mejor es que veas bien los 
logs del asunto, o sea, revisar lo que te dice el kernel  el auth el 
syslog y los que tengas para los servicios en busca de algo extraño y 
además el tiempo desde que esto te ocurre, ya que con eso podrás tener 
una visión más completa del asunto ... para revisar puedes hacer lago 
así como : cat /var/log/syslog |grep named y te saldra .. otras pruebas 
que puedes hacer es bajar el iftop y ver porque interfaz se esta 
transmitiendo los datos ... y así varias más, lo otro es que debes 
revisar tu configuración del bind  y colocale algun software como 
rkhunter solo para que este más tranquilo aunque no creo que sea eso ...

que pasa cuando bajas el servicio bind ???? se detienen los mensajes ??? 
si es asi es eso ... pero colocale un tail -f /var/log/syslog |grep 
named para ver que sale ...


bueno cualquier cosa escribe =)

salu2
 
> # iptraf
> mirando los paquetes en eth0 , apage TODAS las maquinas y me puse a analizar
> , para mi sorpresa me aparece en paquetes capturados (parte inferior del
> iptraf)
> UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
> HWaddr ....
> UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
> HWaddr ....
> UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
> HWaddr ....
> UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
> HWaddr ....
> UDP (59 bytes) from 64.18.140.180:PUERTOS to MI_DOMINIO:domain (src HWaddr
> ....
> UDP (59 bytes) from 64.18.140.180:PUERTOS to MI_DOMINIO:domain (src HWaddr
> ....
> UDP (59 bytes) from 124.192.42.0:PUERTOS to MI_DOMINIO:domain (src HWaddr
> ....
> UDP (59 bytes) from 124.192.42.0:PUERTOS to MI_DOMINIO:domain (src HWaddr
> ....
> UDP (59 bytes) from 124.192.42.0:PUERTOS to MI_DOMINIO:domain (src HWaddr
> ....
> UDP (59 bytes) from 124.192.42.0:PUERTOS to MI_DOMINIO:domain (src HWaddr
> ....
> UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
> HWaddr ....
> UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
> HWaddr ....
> UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
> HWaddr ....
> ..etc
> Amigos estoy CASI a abrazos cruzados, intente bloquear la ip con ip tables
> /sbin/iptables -A INPUT -s 64.18.140.180 -j DROP
> y nada... luego instale el fail2ban
> y nada...obviamente revisándolo.
> me puse a actualizar los paquetes de debian, eran muy pocos.
> apt-get update && upgrade
> y nada, siguen los paquetes mandándose y recibiendo.
> baje los servicios de uno por uno.. solo quede con netstat -tlp
> mi_dominio:/var/log# netstat -tulp
> Active Internet connections (only servers)
> Proto Recv-Q Send-Q Local Address           Foreign Address
> State       PID/Program name
> tcp        0      0 *:756                   *:*
> LISTEN     2270/rpc.statd
> tcp6       0      0 *:ssh                   *:*
> LISTEN     23685/sshd
> udp        0      0 *:kerberos4
> *:*                                2270/rpc.statd
> udp        0      0 *:753
> *:*                                2270/rpc.statd
> mi_dominio:/var/log#
> el ssh también lo baje, lo use para capturar el netstat.
> Alguna Idea o necesitan algunos detalles mas?? tengo cuentas 10 cuentas de
> correo de las cuales 6 son de ventas y son muy importantes para nosotros,
> por lo cual no puedo bajar ningún servio más.
> Atte.
> Cesar.
>
>   


-- 
Alberto Rivera Muñoz
Ingeniero en Informática
Registered User 353961 - http://counter.li.org

Más información sobre la lista de distribución Linux