1 (09.05.2012 17:16:57 отредактировано XliN)

Звонят ребята и говорят, что инет лежит на работе. Попросили выключить негодяя. Быстренько пробежался и увидел, что от меня идут DDos по ICMP на сайт нашего правительства. (кремлин)

+ открыть спойлер
16:35:45.842246 IP 46.72.7.108.27266 > kremlin.ru.0: S 1048552346:1048552346(0) win 512 <mss 1460>
16:35:45.842437 IP 46.72.7.108.27281 > kremlin.ru.0: S 1747295933:1747295933(0) win 512 <mss 1460>
16:35:45.842503 IP 46.72.7.108.27286 > kremlin.ru.0: S 2090451526:2090451526(0) win 512 <mss 1460>
16:35:45.843200 IP 46.72.7.108.27306 > kremlin.ru.0: S 1246052580:1246052580(0) win 512 <mss 1460>
16:35:45.843252 IP 46.72.7.108.27308 > kremlin.ru.0: S 1239441761:1239441761(0) win 512 <mss 1460>
16:35:45.843400 IP 46.72.7.108.27314 > kremlin.ru.0: S 1417620853:1417620853(0) win 512 <mss 1460>
16:35:45.844780 IP 46.72.7.108.27346 > kremlin.ru.0: S 1810700651:1810700651(0) win 512 <mss 1460>
16:35:45.845924 IP 46.72.7.108.27531 > kremlin.ru.0: S 19211991:19211991(0) win 512 <mss 1460>
16:35:45.846531 IP 46.72.7.108.27542 > kremlin.ru.0: S 1192252671:1192252671(0) win 512 <mss 1460>
16:35:45.852533 IP 46.72.7.108.27577 > kremlin.ru.0: S 1979267758:1979267758(0) win 512 <mss 1460>
16:35:45.852672 IP 46.72.7.108.27587 > kremlin.ru.0: S 2055008946:2055008946(0) win 512 <mss 1460>
16:35:45.852858 IP 46.72.7.108.27603 > kremlin.ru.0: S 2088245955:2088245955(0) win 512 <mss 1460>
16:35:45.853718 IP 46.72.7.108.27649 > kremlin.ru.0: S 1551157188:1551157188(0) win 512 <mss 1460>
16:35:45.855132 IP 46.72.7.108.27682 > kremlin.ru.0: S 2030232453:2030232453(0) win 512 <mss 1460>
16:35:45.856668 IP 46.72.7.108.27866 > kremlin.ru.0: S 2130840902:2130840902(0) win 512 <mss 1460>
16:35:45.856776 IP 46.72.7.108.27869 > kremlin.ru.0: S 1567742573:1567742573(0) win 512 <mss 1460>
16:35:45.856824 IP 46.72.7.108.27870 > kremlin.ru.0: S 283857009:283857009(0) win 512 <mss 1460>
16:35:45.857001 IP 46.72.7.108.27878 > kremlin.ru.0: S 2106172979:2106172979(0) win 512 <mss 1460>

В фаирволе запретил ICMP пакеты наружу. Что мне делать?
Перезапустил сервак, все равно бомблю. Как это остановить через iptables? Спасайте ребята!!

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

2

Вот такая картина
http://storage1.static.itmages.ru/i/12/0509/s_1336569653_8727723_6cc9801918.jpeg

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

3

Это не помогает

iptables -A INPUT -i eth1 -p tcp -d 195.208.24.91 -j DROP
iptables -A OUTPUT -o eth1 -p tcp -d 195.208.24.91 -j DROP

iptables -A INPUT -i eth1 -p udp -d 195.208.24.91 -j DROP
iptables -A OUTPUT -o eth1 -p udp -d 195.208.24.91 -j DROP
MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

4

Для начала сменить пароль рута надо.
Затем перекрыть кислород внешней сетке /можно просто кабель отрубить/.
А уже после этого смотреть, что в активе болтается.
Или ещё быстрее: снести нынешнюю ОС и развернуть breakpoint с аварийного винта.

5

Я дома нахожусь. Бекапы шлюза не делались )))

18:23:05.832037 IP (tos 0x0, ttl  63, id 14876, offset 25160, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:23:05.832040 IP (tos 0x0, ttl  63, id 14876, offset 26640, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:23:05.832043 IP (tos 0x0, ttl  63, id 14876, offset 28120, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:23:05.832049 IP (tos 0x0, ttl  63, id 14876, offset 29600, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:23:06.487931 IP (tos 0x0, ttl  63, id 14941, offset 0, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: ICMP echo request, id 16745, seq 53339, length 1480
18:23:06.487945 IP (tos 0x0, ttl  63, id 14941, offset 1480, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:23:06.487948 IP (tos 0x0, ttl  63, id 14941, offset 2960, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:23:06.487951 IP (tos 0x0, ttl  63, id 14941, offset 4440, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:23:06.487954 IP (tos 0x0, ttl  63, id 14941, offset 5920, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:23:06.487957 IP (tos 0x0, ttl  63, id 14941, offset 7400, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

6

Тогда смотри - кто или что звонит.
Возможно, придётся профиль менять.
Проверяй каталоги
/usr/bin
/usr/sbin
/etc/ppp

7

Вранье - скажу чесно. Есть некие вещи - если ай пи не хватает идет как б ай-пи даже с другорядников. общаюсь с людми провайдерами всякми. Реально - не пугайси. Просто ай пи адресов не хватило - вот и все.

8 (09.05.2012 19:15:02 отредактировано XliN)

neogotlic пишет:

Вранье - скажу чесно. Есть некие вещи - если ай пи не хватает идет как б ай-пи даже с другорядников. общаюсь с людми провайдерами всякми. Реально - не пугайси. Просто ай пи адресов не хватило - вот и все.

Не понял тебя.

Rasty пишет:

Тогда смотри - кто или что звонит.

Каким образом. Сижу уже два часа.
Конкретные мысли есть что сделать? Караул просто. Все сеть лежит.

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

9

XliN пишет:

Я дома нахожусь. Бекапы шлюза не делались )))
18:23:05.832037 IP (tos 0x0, ttl  63, id 14876, offset 25160, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp

Ничего тами сверхествественного нету. Я например не увидел.

10

XliN пишет:

iptables -A INPUT -i eth1 -p tcp -d 195.208.24.91 -j DROP
iptables -A OUTPUT -o eth1 -p tcp -d 195.208.24.91 -j DROP

iptables -A INPUT -i eth1 -p udp -d 195.208.24.91 -j DROP
iptables -A OUTPUT -o eth1 -p udp -d 195.208.24.91 -j DROP

а чего вы tcp/udp залочили? надо же icmp...

95% процентов проблем находятся между клавиатурой и стулом.

11

А то что с моего IP идет постоянный пакет размером 1500 на сайт кремля? Поток постоянный, не на секунду не останавливается.
Таже фигня и по tcp

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

12

Fat-Zer пишет:

а чего вы tcp/udp залочили? надо же icmp...

iptables -A INPUT -i eth1 -p icmp -d 195.208.24.91 -j DROP
iptables -A OUTPUT -o eth1 -p icmp -d 195.208.24.91 -j DROP

Не помогает тоже. Все равно с этот IP 195.208.24.91 долбят с меня.

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

13

Rasty пишет:

Тогда смотри - кто или что звонит.
Каким образом. Сижу уже два часа.
Конкретные мысли есть что сделать? Караул просто. Все сеть лежит.

Фаерволл какой у тебя хоть Виртуал или реал - тоесть программа или машина тоеесть стойка стоит? То что я сказал ниже главное - главное?
Фаервол:
Программа - если да та какая?
Машина тоесть железо фаервол какой модели и т.д.?

14

Фаирвол у меня iptables. Ни какого отдельного железа в стойке.
Сейчас отрубил icmp в цепочке FORWARD. Но сеть все равно лежит.

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

15 (09.05.2012 19:47:49 отредактировано XliN)

Отбился на время. Оказалось что некий друг закинул на сервер (который был предоставлен ему от души доброй) накатил бяку. Не хороший человек. Может и не он, но на сервак так просто не залить трояна.
Буду его ждать и спрашивать с него.

UPD: Знаете наверное Moskvicha некого. Банен был тут сто раз.
UPD2: Ну ф был прав. Именно у него в [CENSORED] детсво заиграло http://pastebin.com/vRDamteU

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

16

XliN пишет:

Я дома нахожусь. Бекапы шлюза не делались )))

очень опрометчиво.

XliN пишет:

Оказалось что некий друг закинул на сервер

дважды опрометчиво, в данных вопросах надо быть параноиком. Почекай rkhanter'ом и chkrootkit'ом систему(пока удалённо сидишь) а так да, правильно посоветовали уже, сноси всё к чертям и ставь заново.

" si contuderis stultum in pila quasi tisanas feriente desuper pilo non auferetur ab eo stultitia eius " © Proverbs 27:22

17

Касяк был на другом сервере который крутился на виртуалке. Там я позже откачусь. Снапшоты делал.
Теперь учусь на своих ошибках. Доверия к людям упала, а хотел помочь, а тут такая подстава.

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

18

XliN пишет:

Доверия к людям упала, а хотел помочь, а тут такая подстава.

XliN пишет:

UPD: Знаете наверное Moskvicha некого. Банен был тут сто раз.

Ни капли вас не осуждая, не могу не удивиться bx

Был, был и весь вышел...

19 (09.05.2012 21:18:47 отредактировано XliN)

Я еще одно понял, что фаирвол нужно ставить не толлко на шлюзе.
Как изолировать пользователя. Openvz накатить?

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

20

Лучше всего, ставить несколько экранов - сервер, роутер, отдельная машина и смотреть, смотреть за сервером!

21

... не забывать завести honeypot.

22

От нечего делать пригодится:  Одним рисунком - пригодится даже для машинного фаерфола Cisko: http://imageshack.us/photo/my-images/19 … ntscre.png

23

Прошу прощения ссылка не работает в полном обьеме (для меня не ожиданно) - перезалью с работы как только сервер запущу  - он в ремонте. Хотя копия на Акрониксе есть- имеется аж три. Там она обязана быть. Ну бывает. Но суть то:  Там :

24 (10.05.2012 03:04:21 отредактировано neogotlic)

Как так имажеслакс Не видет рисунка? Жеесть. ам не верюю. ПРошу прощения. Ну как так. Через венду заходил даже то же самое. Мда там ничего секресное только порты какие на чем и усе.
Короче. если н рисунке ничего не видно то в фаерволе что главное: _http://ru.wikipedia.org/wiki/UDP_
И _http://ru.wikipedia.org/wiki/TCP_ Это главные протоколы сети через них все через фаервол делается вроде. Сорри за офф. Рисунка не увидел. Ну вроде так.

25 (10.05.2012 03:00:01 отредактировано neogotlic)

Езз нашел вот оно. Вступает с 25 Мая 2012 года: Фаервольщикам нужно почитать, и мне тоже, а, класс, там много изменений я уже вижу :  http://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP