URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4762
[ Назад ]
Исходное сообщение
"Не могу найти руткит в своей системе"
Отправлено vadim007 , 13-Дек-10 09:23 
Старый PIII-500 под ASPLinux 11 (Seliger) в качестве роутера. Работает почти без перерыва уже лет 5. Последние два месяца по нескольку раз в день пользователи жаловались на медленный интернет. Когда наконец оторвал задницу от кресла, ужаснулся. Команда cat /proc/net/ip_conntrack | wc l временами выдавала до 40000 соединений. В среднем было 20000...30000 соединений. По trafshow увидел, откуда прут запросы. Оказалось это китайцы: 203.80.Х.Х. И запросы шли как на мой IP, так и на IP машин подсети моего провайдера. Пообщался с провайдером на тему - почему чужие пакеты летят на мою машину? Ничего внятного он не сказал, кроме как "это вы должны отсеивать". Тогда первым делом отбросил все пакеты, которые не для меня: iptables -A INPUT -s 0/0 -i $EXTIF -d ! $EXTIF -j DROP
Дня три было спокойно, потом снова шторм с 203.81.X.X. Тогда стал дропить эти пакеты, и по всем цепочкам:
iptables -A INPUT -s 203.81.0.0/16 -j DROP
iptables -A OUTPUT -s 203.81.0.0/16 -j DROP
iptables -A FORWARD -s 203.81.0.0/16 -j DROP
Снова затишье дня три, но на всякий пожарный постоянно держу трафик на контроле. И вот, теперь уже мой роутер шлет пакеты на 203.81.Х.Х. Было от чего прийти в ужас. С ходу определить зверя не смог, тогда просто стал дропить и эти исходящие пакеты:
iptables -A INPUT -d 203.81.0.0/16 -j DROP
iptables -A OUTPUT -d 203.81.0.0/16 -j DROP
iptables -A FORWARD -d 203.81.0.0/16 -j DROP
Казалось, можно успокоиться, но вскоре подобное началось с 218.100.0.0 Малайзия
Стал и эту подсеть дропать,  но вскоре подобное началось с 218.188.0.0, 218.189.0.0 Гонконг
Стал и эту подсеть дропать,  но вскоре подобное началось с 63.218.0.0 Эльдорадо
Потом 118.143.0.0/16, 208.92.223.0/24.
Сегодня утром 72.10.160.0/24 GloboTech
В общем, нет сомнений, что в моей системе живет зверек. Как его найти и обезвредить?
Содержание
Сообщения в этом обсуждении
"Не могу найти руткит в своей системе"
Отправлено Аноним , 13-Дек-10 09:59 
>[оверквотинг удален]
> iptables -A FORWARD -d 203.81.0.0/16 -j DROP
> Казалось, можно успокоиться, но вскоре подобное началось с 218.100.0.0 Малайзия
> Стал и эту подсеть дропать,  но вскоре подобное началось с 218.188.0.0,
> 218.189.0.0 Гонконг
> Стал и эту подсеть дропать,  но вскоре подобное началось с 63.218.0.0
> Эльдорадо
> Потом 118.143.0.0/16, 208.92.223.0/24.
> Сегодня утром 72.10.160.0/24 GloboTech
> В общем, нет сомнений, что в моей системе живет зверек. Как его
> найти и обезвредить?

Имхо, лучше всего просто с нуля переставить систему

"Не могу найти руткит в своей системе"
Отправлено jaybee , 13-Дек-10 12:18 
может это просто вирусы у пользователей ?!
"Не могу найти руткит в своей системе"
Отправлено vadim007 , 13-Дек-10 12:25 
> может это просто вирусы у пользователей ?!

Исключено: прихожу рано утром, когда еще никто не работает, потом во время одной из атак, днем, отключал у всех интернет (с помощью iptables) - атаки продолжались.

"Не могу найти руткит в своей системе"
Отправлено jaybee , 13-Дек-10 13:41 
для уверенности рекомендую таки снять дамп с внутреннего интерфейса во время атаки
"Не могу найти руткит в своей системе"
Отправлено vadim007 , 13-Дек-10 15:48 
> для уверенности рекомендую таки снять дамп с внутреннего интерфейса во время атаки

Дампы сняты и сохранены. Фрагменты выложить?

"Не могу найти руткит в своей системе"
Отправлено ДумДум , 15-Дек-10 08:58 
А что-то вроде sockstat  в ASP есть?


"Не могу найти руткит в своей системе"
Отправлено vadim007 , 15-Дек-10 13:37 
> А что-то вроде sockstat  в ASP есть?

Нету. Но есть чем "заменить": https://www.opennet.ru/openforum/vsluhforumID1/67855.html
В ближайшую атаку попробую.