Descarga inexplicable

Navega tus respuestas
0

Estaba viendo como mi monitor de ancho de banda se disparaba descargando un archivo. Revisé mi netstat actual y no reconocí una de las IP, así que comencé a capturar los datos con Wireshark.

La situación:

  • Ninguno de mis servicios explica la conexión
  • La dirección IP sospechosa aparece como Búsqueda de Google y base de datos malc0de
  • No tengo idea de a dónde fueron los datos que se estaban descargando.
  • Wireshark lo muestra como Bronze 0x20 y src port 80 to dest port 36935

Mis preguntas:

  • ¿Dónde podrían haber ido los datos? ¡Se estaba descargando a 2.5MBps por más de un minuto!
  • ¿Cómo puedo obtener información más específica de mi captura de Wireshark?
  • ¿Qué precauciones debo tomar? ¿Solo bloqueas esa IP? ¿Algo más? ¿Cómo llamar al número de abuso para esa IP desde la información de WhoIs?

EDITAR ... Más información: parece ser un servidor compartido de CacheFly alojado en sus CacheNetworks.

    
pregunta TryTryAgain 22.03.2012 - 03:16
fuente

2 respuestas

2

No solo bloquee una IP: es una batalla perdida: si una IP se incorporó para realizar actividades infelices, otras pueden (o la misma persona que usa otras IP).
Además, dice que se conectaron desde src 1.1.1.1:80 (simulando que su IP es 1.1.1.1) a dest 205.234.175.175:36935 (puerto 36935 en su IP). Esto parece normal para una conexión ordinaria a su servidor web en puerto 80 (prueba esto por ti mismo). Básicamente, cuando un cliente establece una conexión TCP a un servidor web en el puerto 80, el cliente elige un puerto arbitrario no utilizado (1024-65535) en este caso 36935 para que el tráfico se envíe / reciba en su extremo.

  • Cierre los puertos / servicios que no está usando. ¿Necesitas probar cosas web? Bien, abra el puerto 80 para las direcciones IP locales (por ejemplo, 192.168.0.0/16 ). En ubuntu con, por ejemplo, ufw (firewall sin complicaciones, un contenedor delgado para reglas de iptables), esto se puede hacer con reglas como sudo ufw allow to tcp port 80 from 192.168.0.0/16 .

  • Revisar los registros. Los registros de su servidor web, los registros de firewall, auth.log , etc.

  • Configura fail2ban o honeypots para ralentizar a los atacantes.

  • Asegúrese de no tener contraseñas predeterminadas o fáciles de adivinar / de fuerza bruta establecidas para ninguna cuenta.

respondido por el dr jimbob 22.03.2012 - 16:32
fuente
2

Desde la perspectiva de Wirehark, un enfoque podría ser buscar en la captura las cadenas ASCII (usando la secuencia Follow TCP) y luego buscar en la unidad del disco duro la misma cadena. Si puedes encontrar algo adecuadamente único, eso podría llevarte a los datos descargados.

El par de puertos que describe suena como una descarga de un sitio web estándar (el puerto alto solo se asigna al azar para recibir los datos)

¿Tiene activadas las funciones de actualización automática (SO / navegador, etc.)? Una posible fuente de descarga desconocida sería la actualización del software.

Mientras ejecuta servicios externos desde la caja, existe la posibilidad de que se haya visto comprometido y de que alguien haya descargado herramientas en su sistema. Si ese es el caso, debe hacer una búsqueda exhaustiva del servidor (buena información aquí )

    
respondido por el Rоry McCune 22.03.2012 - 15:50
fuente

Lea otras preguntas en las etiquetas

¿Qué es un “huevo de cuco”? [cerrado] ¿Debo cifrar los datos en mi servidor como una capa adicional de protección?