Investigar el servidor Linux comprometido

Navega tus respuestas
5

Estoy investigando un servidor que hace ping a lo largo del día a direcciones IP aleatorias en Internet. Configuré IPtables para registrar y soltar paquetes (ENTRADA Y SALIDA) pero todavía veo tráfico de icmp en el firewall de la red. Parece que no puedo seguir el proceso que está iniciando estos.

Ha visto muchas preguntas relacionadas con el tráfico de red con puertos tcp / upd, pero icmp no usa puertos.

Averigüe qué está intentando el software de Linux para llamar a casa

enlace

He probado iptables, tcpdump, lsof y netstat. Probablemente no los he usado correctamente o los paquetes icmp rápidos son difíciles de rastrear.

Red Hat Linux 5.x VM y yo no podemos actualizar porque ejecuta páginas web heredadas

Aquí hay un enlace pastebin a la lista de IP

Chain OUTPUT (policy ACCEPT 2129K packets, 1555M bytes) pkts bytes target prot opt in out source destination 2834 248K LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 8 level 4 2834 248K DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 

Dec  6 14:51:41 xx kernel: IN=eth0 OUT= MAC=00:0c:29 SRC=72.204.209.197 
DST=x LEN=96 TOS=0x00 PREC=0x00 TTL=252 ID=29693 PROTO=ICMP TYPE=3 CODE=13 
[SRC=x DST=192.168.224.161 LEN=60 TOS=0x00 PREC=0x00 TTL=61 ID=56354 DF PROTO=TCP SPT=53646 DPT=17778 WINDOW=5840 RES=0x00 SYN URGP=0 ]
    
pregunta ssvegeta96 06.12.2017 - 23:30
fuente

1 respuesta

3

Dado que hay un paquete en el fragmento de registro anterior, su sistema no está "haciendo ping" a IPs aleatorias en Internet. "Hacer ping" se refiere a ICMP tipo 8, una solicitud de eco. Mirando más de cerca el paquete: 

PROTO=ICMP TYPE=3 CODE=13

El tipo 3 es Destino inalcanzable ( RFC792 ), y el código 13 es La comunicación está prohibida administrativamente ( RFC1812 ). Por lo tanto, esto significa que su servidor no está llegando a los hosts remotos, sino que está enviando estos mensajes ICMP en respuesta a un poco de tráfico que llega a él, que parece estar rechazando el reenvío. Sin ver el tráfico que provocó estos mensajes de control, es difícil saber exactamente qué está sucediendo. Le sugiero que busque tráfico anómalo con direcciones coincidentes que preceden inmediatamente a estos mensajes ICMP.

    
respondido por el multithr3at3d 05.01.2018 - 19:18
fuente

Lea otras preguntas en las etiquetas

¿Cómo se comprometió IronChat? Linux Kernel ROP - ¿Regresando a la zona de usuario desde el contexto del kernel?