Suspeita de Ataque

EliezerPereiraJr
(usa Slackware)

Enviado em 15/07/2015 - 09:41h

Bom dia Srs.

Utilizo como proxy, um Fedora Core Bordeaux (sim, aquele velho) e, de 10 dias para cá, estou tendo um aumento de 1 MB a cada 10segs no HD e pelo que visualizei através do IPTRAF, é consumo de rede/internet. Verifiquei que tem um IP (184.50.232.64) dos E.U.A que está trocando pacotes de forma continua com meu IP externo 177.xxx.xxx.xxx. Preciso de ajuda para bloquear essa ação, impedir essa comunicação e extinguir esse problema, normalizando o proxy.
Como não tenho muitos problemas com o proxy, minha experiencia com troubleshooting nesse sistema é básico e não tenho ideia por onde começar. Por favor pessoal, HELP ME !!!

Agradeço a todos desde já.

zhushazang
(usa Gentoo)

Enviado em 15/07/2015 - 11:24h

Considerando que você não explicou a topologia nem o serviço que está sendo utilizado para a conexão:

iptables -A INPUT -s IP-ADDRESS -j DROP

---
Hail Hydra!

EliezerPereiraJr
(usa Slackware)

Enviado em 15/07/2015 - 13:00h

Vou testar e volto a responder. Obrigado.

wellington_r
(usa Debian)

Enviado em 15/07/2015 - 13:07h

Você está usando um Fedora de 2006.
Troque isso o mais rápido possível.

zhushazang
(usa Gentoo)

Enviado em 15/07/2015 - 14:30h

Qual a probabilidade de ter rolado um "OWNED!"???

---
Hail Hydra!

removido
(usa Nenhuma)

Enviado em 15/07/2015 - 18:36h

Usar Fedora em um servidor ja é uma temeridade. Manter uma versão jurássica então, é pedir para se incomodar.



Se identificou o IP de origem, ao menos o bloqueie como o zhushazang sugeriu. Seria útil instalar o fail2ban também para problemas futuros e configurar o proxy para aceitar conexões apenas da rede local/conhecidas (Caso ele deva aceitar conexões de fora) e analisar os logs e arquivos do sistema para avaliar se algo foi comprometido.

Com esta versão do Fedora, fica complicado pois não existe mais suporte para o que tem instalado. Avalie se pode substituir o sistema desta maquina por algo mais atual, de preferencia com longo tempo de suporte, como o CentOS7. Se a maquina for muito antiga e/ou você ainda não estiver habituado ao systemd, use ao menos o CentOS6.


--------------------------------------------
povo@brasil ~$ sudo su -
root@brasil ~# find / -iname corrupção -exec rm -rfv {}\ ;

EliezerPereiraJr
(usa Slackware)

Enviado em 20/07/2015 - 08:09h

Srs.

Até o momento nada. Ainda nao comecei a trocar a versão, pois, na filial é a mesma, e trabalhamos com tunel de comunicação e não sei cria-los.
Sei que tem um comando pra ignorar o squid ... na verdade uma linha de comando, input -A blablalblalbla.. que deixa navegar sem passar pelo squid, alguem tem ou lembra essa linha de comando? deixarei tudo aberto até conseguir uma solução.

OBRIGADO.

digitalx
(usa Debian)

Enviado em 20/07/2015 - 11:15h

Agora não entendi nada mesmo.... Você tá suspeitando de ataque, e resolve "liberar geral"??

zhushazang
(usa Gentoo)

Enviado em 20/07/2015 - 11:32h

"Se não pode vencê-los, una-se a eles" -- Chapolin?


---
Hail Hydra!

EliezerPereiraJr
(usa Slackware)

Enviado em 20/07/2015 - 12:14h

Pois é, descartei ser ataque, pois o que está consumindo o HD é a gravação de logs e tudo que passa pela rede. Preciso de uma solução fácil antes de resolver definitivamente o problema, pois a cada 1 hora eu tenho que eliminar arquivos para a internet continuar funcionando. Estou procurando na internet um código de POSTROUTING que deixe o trafego internet direto, sem passar por iptables ou squid... Caso alguem tenha esse código facil, eu fico grato, pois o meu history foi zerado um bom tempo atras, e nao lembro de cabeça, pois a ultima vez que usei tem quase 2 anos.

zhushazang
(usa Gentoo)

Enviado em 20/07/2015 - 12:29h

Vish...

Rapaz, não tem como "não passar pelo iptables", se é que isso faz sentido. Quanto ao squid, basta não redirecionar as portas. Mas está certo que é isso que você quer? Tirar o proxy?

---
Hail Hydra!

EliezerPereiraJr
(usa Slackware)

Enviado em 20/07/2015 - 12:45h

Infelizmente, por hora, terei que fazer isso. Até achar uma solução definitiva ou conseguir instalar outra distro que converse via tunel com minha filial. O pior é que vai ser na marra!