| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Atak na eth0 http://forum.freesco.pl/viewtopic.php?f=22&t=13109 |
Strona 1 z 1 |
| Autor: | GHY [ poniedziałek, 31 lipca 2006, 21:53 ] |
| Tytuł: | Atak na eth0 |
Wiatm, od pewnego czasu wieczorem /nawet teraz/ mam bardzo duzo polaczen ze swiata z roznych adresow, na rozne porty via eth0. Pakiety sa ogromne  , ssie na maxa!
Stalo to sie gdy zainstalowalem binda, no i wiadomo moj adres poszedl w swiat. Jest jakas metoda na to? Nie chcialbym przycinac pasma ze swiata, bo mam stronke na serwerze. |
|
| Autor: | viater [ poniedziałek, 31 lipca 2006, 22:33 ] |
| Tytuł: | |
Moment, jesteś pewny, że to są rzeczywiście połączenia czy może próby połączeń ? Jak to sprawdzasz ? |
|
| Autor: | GHY [ poniedziałek, 31 lipca 2006, 23:06 ] |
| Tytuł: | |
iptraf, tcpdump |
|
| Autor: | viater [ poniedziałek, 31 lipca 2006, 23:18 ] |
| Tytuł: | Re: Atak na eth0 |
Opisz problem jakoś konkretniej, bo to, co napisałeś nie bardzo się trzyma qpy. GHY pisze: [...] mam bardzo duzo polaczen ze swiata z roznych adresow, na rozne porty via eth0. Pakiety sa ogromne , ssie na maxa![...]Czyli rozumiem, że połączenia są inicjowane z zewnątrz i twój serwer wysyła te ogromne pakiety. Skoro tak, to muszą to być połączenia do jakichś usług na serwerze - pytanie JAKICH, czyli na jakie porty ? Jeżeli natomiast nie są inicjowane z zewnątrz, to są to połączenia inicjowane z "wewnątrz" czyli z LAN-u i raczej nie ma to nic wspólnego z BIND-em. GHY pisze: [...]Jest jakas metoda na to? Nie chcialbym przycinac pasma ze swiata, bo mam stronke na serwerze.
Nie bardzo rozumiem jak ma się przycinanie downloadu ("pasmo ze świata") do przycinania uploadu (stronka na serwerze) ? |
|
| Autor: | GHY [ wtorek, 1 sierpnia 2006, 08:25 ] |
| Tytuł: | |
Na 100% jest to z zewnatrz bo wylaczylem caly LAN i nic sie nie zmienilo. Iptraf pokauje duzo IP, TCP, UDP i ICMP. Wczoaj to trwalo od godz. 20 do 23. |
|
| Autor: | adi [ wtorek, 1 sierpnia 2006, 08:48 ] |
| Tytuł: | |
Wyłącz Apache'a na 2 dni i zobacz czy się powtórzy. Sprawdź katalog /tmp i var/tmp czy nie ma tam jakichś dziwnych plików. Czy masz również ftp odpalone? Jak masz, to też je wyłącz. Możliwe że ktoś Ci wlazł na serwer. Apache w standardowej konfiguracji ma błędy w http.conf, które w połączeniu z proftpd i słabym hasłem do niego umożliwiają wejście na serwer. |
|
| Autor: | Koriolan [ środa, 2 sierpnia 2006, 10:54 ] |
| Tytuł: | |
Powin ieneś też sprawdzić jakie porty masz widoczne z zewnątrz. Użyj innego łącza lub kogoś poproś o sprawdzenie. |
|
| Autor: | GHY [ środa, 2 sierpnia 2006, 11:25 ] |
| Tytuł: | |
Apache za bardzo wylaczyc nie moge, bo stronka jest. FTP nie uzywam, wiec to odpada. Jesli znow to sie wydazy to wtedy wylacze Apache. W katalogu /tmp/ nie ma nic ciekawego, a /var/tmp/ jest pusty. Jesli chodzi zas o otwarte porty to nmap z innej sieci pokazuje: PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 110/tcp open pop3 443/tcp closed https 465/tcp open smtps 995/tcp open pop3s 3000/tcp open ppp |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|