Freesco, NND, CDN, EOS

Ktos mi sie podszywa pod adresy mac sieciownikow i probuje sie wlamac na jednego kompa takie mam komunikaty w avascie :
DCOM Exploit attackfrom 10.0.0.31:135
koles bardzo krotko uzywa danego maca i zmienia na inny albo sie wylacza .Jak wykryc kto to jest probowlem tcpdumpem ale nic nie dalo.tak szybko probuje atakowac ze nie mam czasu isc po kablach szukac odlaczajac swiche .
Co robic w takich wypadkach?
moze nasluchiwac na porcie 135?

_________________
Czy to juz koniec Lanow ...

haker na 135 porcie? raczej wirus

135 port jest standartowo blokowany przez firewall

# Saser i Blaster
iptables -A INPUT -p tcp --dport 135 -j DROP
iptables -A OUTPUT -p tcp --dport 135 -j DROP
iptables -A FORWARD -p tcp --dport 135 -j DROP
iptables -A INPUT -p udp --dport 135 -j DROP
iptables -A OUTPUT -p udp --dport 135 -j DROP
iptables -A FORWARD -p udp --dport 135 -j DROP
iptables -A INPUT -p tcp --dport 445 -j DROP
iptables -A OUTPUT -p tcp --dport 445 -j DROP
iptables -A FORWARD -p tcp --dport 445 -j DROP
iptables -A INPUT -p udp --dport 445 -j DROP
iptables -A OUTPUT -p udp --dport 445 -j DROP
iptables -A FORWARD -p udp --dport 445 -j DROP

to tak jak by nie blokował.

Tez obstawiam, ze jest to dzialanie wirusa. Jednak blokowanie INPUTu na linuxie zbyt potrzebne nie jest. Nic mi nie wiadomo o tym zeby jakiemus saseropodobnemu udalo sie zaszkodzic linuxowi. Tworcy watku chodzi raczej o komputer kliencki w sieci. Jesli tak, to o ile komp nie zmienia macka to tcpdump -e pomoze. Jesli zmienia, to niestety bez dobrych switchy raczej nic nie zdzialasz.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

a czy Ty mie masz za bardzo "ulepszonego" firewala? ja mam w tylko tyle

Wlasnie o to chodzi ze zauwazylem ze to ten sam komp na podstawie uslug jakie ma powlaczane i wiem jak narazie ze siedzi tak kolo 5 minut a potem sie wylancza calkiem na pare godzin zmienia macka i znowu.
a co do nnd to mam 135 poblokowany a za pomoca nnd chcialbym wysledzic kto to .
niestety nie mam swichy zarzadzalnych bo bym wtedy szybko zlokalizowal hultaja

_________________
Czy to juz koniec Lanow ...

a niby w jakim celu mialby sam zmieniac MAC?

idz do gostka z IP 10.0.0.31 napewno on sieje,a jak juz ci tak bardzo zalezy na szukaniu, to poczytaj ARPALERT lub IP-SENTINEL moze ci sie przydadza.

heh a no w takim celu zmienia macki zebym go nie zlapal to sie nazywa podszywanie na poczatku myslalem ze to wirus ale potem po skanowaniu kolesia wyszlo mi ze on to specjalnie robi i ze osoby ktore podejrzewalem sa niewinne a ich macki sa wykorzystywane do atakow.

_________________
Czy to juz koniec Lanow ...

Zaraz.. albo masz super perfidnego i to dość oblatanego "chakiera w sieci", albo jakiś idiota ma wirusa. Jeśli zmienia MAC a nie zmienia IP - to nie ma żadnego sensu. Poza tym napisałeś, ze alarmuje cię AVAST - czyli twój komputer a nie serwer. Jest to na 99% blaster na jakimś komputerze w sieci. Jak nie masz zarządzalnego switcha, to nie zablokujesz tego w sieci.

_________________
Belfer.one.PL
Audio Cafe

Jesli nie wyrazilem sie dokladnie to koles nie tylko zmienia macka ale tez ip na taka kombinacje jak ma osoba pod ktora sie podszywa z tym ze poznaje go po nazwie netbios windowsa charakterystycznej ktora po tych 5 minutach tez z sieci ginie razem z jego obecnoscia.

Co do nnd to sie zastanawialem jak nasluchiwac ruch na 135 porcie i logowac go np tcpdumpem .

Obawiam sie ze jak nie znajde tego gnojka to zacznie atakowac zewnetrzne jakies serwery i beda klopoty jak ktos zglosi na policje np.

_________________
Czy to juz koniec Lanow ...

Jak masz wyciety port na serwerze to poszaleje tylko w lanie. Jeśli tak się upierasz, ze to nie wirus tylko żywy "ludź" to zastosuj ipsentinela i po krzyku (no chyba że masz radówkę z apekami co maskują MAC).

_________________
Belfer.one.PL
Audio Cafe

Słynne szczypce z bocznym cięciem załatwią sprawę: odcinasz jeden kabelek i patrzysz co się dzieje - jeśli dalej to samo - odcinasz następny. Czynność powtarzasz, aż problem zniknie. Kabelek, po którego odcięciu to się stanie, należy do winowajcy

_________________
F33/F07,F11,F13,F17

tego sentinela sprobuje .
jak narazie dzis nie bylo zadnego ataku wiec moze sie uspokoil .

_________________
Czy to juz koniec Lanow ...

albo przeczytał ten wątek

Przyłączę się do wątku, ponieważ mam taki sam problem.
A więc podszywacz podmienia sobie MAC na krótki czas (1-2h). Zmienia MAC na mój, a to z tego względu, iż nie mam ograniczonego transferu. Pociągnie sobie co trzeba i zmienia na swój. Chociaż jednej nocy przyssał się na kilka godzin (wtedy go wypatrzyłem - nie mam zwyczajów zostawiać kompa na noc).
Ciężko siedzieć nad mrtg i patrzeć kiedy wlezie na mój IP.
I tu pytanie czy da się na serwerku wyczaić np nazwę jego komputera lub routera którego używa, albo jakieś inne dane, które by wydały podejrzanego.

pozdrawiam

Można by napisać skrypt który wyłapuje konflikty macków, oraz o której kto się włącza do sieci.
Następnie przealanlizować kto się włącza > potem konflikt mack (lub zniknięcie teo usera) > i spowrotem powrót usera.
Przy takiej analizie można wykluczyć pewne grono userów (takich mało aktywnych, albo co mają łącze wypas), następnie wytypować podejrzanych userów i skryptem obserwować jaki mają np TTL co zasysają itp(może się zdażyć żę ktoś najpierw zasysa coś na swoim MACku ale po chwili przełącza się na cudzy)

Można by jeszcze zastosować PPPoE

_________________
PECTOSOL to lek wykrztuśny stosowany w nieżytach gardła, przy suchym, męczącym kaszlu.
>>Jak mądrze zadawać pytania<<

pod nnd nie znam ale pod winda pomocny jest program lookatlan ze strony lookatlan.com go mozna pobrac.
On pokazyuje jak sie wlacza nowy komp do sieci ,nazwe netbios i pare innych rzeczy mozna nim sprawdzic .dziala w tle caly czas .
ps to wlasnie nim wyczailem ze to nie wirus tylko jakis koles mi atakuje kompy.

_________________
Czy to juz koniec Lanow ...

Używam ten program jest niezły - ale trzeba nad nim siedzieć a podszywacz podłącza się nieregularnie czasem raz na kilka dni i ciężko trafić.

pozdrawiam

nie trzeba siedzieć przed kompem.
Treba by napisać skrypt (najlepiej w awk) który przejrzy logi.
Oczywiscie sprawa nie jest taka prosta.

A po wstępnym zastanowieniu to możesz przecież użyć pakietu ipsentinel
On też wykrywa kombinatorów a dodatkowo skutecznie blokuje - sprawdz

_________________
PECTOSOL to lek wykrztuśny stosowany w nieżytach gardła, przy suchym, męczącym kaszlu.
>>Jak mądrze zadawać pytania<<

OK - ale jak gość zna już maca i podmienia go raz na swój raz na mój to raczej ipsentinel go nie zatrzyma. Na dodatek najprawdopodobniej ma router i tam bez problemu wpisuje mac kiedy chce.

Przeglądałem logi z tcpdump, ale tam nic takiego co by mogło potwierdzić moje przypuszczenia nie znalazłem, w plikach messages jest tylko czas pobrania adresu i mac karty.

pozdrawiam