Esamina il server Linux compromesso

5

Sto indagando su un server che effettua ping durante l'intera giornata su IP casuali su Internet. Ho configurato IPtables per registrare e rilasciare pacchetti (INPUT & OUTPUT) ma continuo a vedere il traffico icmp sul firewall di rete. Non riesco a monitorare il processo che sta iniziando questi.

Ho esaminato un sacco di domande riguardanti il traffico di rete con le porte tcp / upd ma icmp non usa le porte.

Scopri cosa sta provando il software Linux per telefonare a casa

link

Ho provato iptables, tcpdump, lsof e netstat. Probabilmente non li ho usati correttamente o i pacchetti icmp veloci sono difficili da rintracciare.

Red Hat Linux 5.x VM e I non possono essere aggiornati perché eseguono pagine Web legacy

Ecco un pastebin link all'elenco IP

Chain OUTPUT (policy ACCEPT 2129K packets, 1555M bytes) pkts bytes target prot opt in out source destination 2834 248K LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 8 level 4 2834 248K DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0

Dec  6 14:51:41 xx kernel: IN=eth0 OUT= MAC=00:0c:29 SRC=72.204.209.197 
DST=x LEN=96 TOS=0x00 PREC=0x00 TTL=252 ID=29693 PROTO=ICMP TYPE=3 CODE=13 
[SRC=x DST=192.168.224.161 LEN=60 TOS=0x00 PREC=0x00 TTL=61 ID=56354 DF PROTO=TCP SPT=53646 DPT=17778 WINDOW=5840 RES=0x00 SYN URGP=0 ]
    
posta ssvegeta96 06.12.2017 - 23:30
fonte

1 risposta

3

Dato che un pacchetto nello snippet di log di cui sopra, il sistema non sta "eseguendo il ping" di IP casuali su Internet. "Pinging" si riferisce a ICMP tipo 8, una richiesta di eco. Osservando più da vicino il pacchetto:

PROTO=ICMP TYPE=3 CODE=13 

Il tipo 3 è Destinazione irraggiungibile ( RFC792 ) e il codice 13 è Comunicazione amministrativamente vietata ( RFC1812 ). Questo significa che il tuo server non sta raggiungendo gli host remoti, ma sta inviando questi messaggi ICMP in risposta a un traffico che sta raggiungendolo, che sembra rifiutarsi di inoltrare. Senza vedere il traffico che ha generato questi messaggi di controllo, è difficile sapere esattamente cosa sta succedendo. Ti suggerisco di cercare il traffico anomalo con gli indirizzi corrispondenti che precedono immediatamente questi messaggi ICMP.

    
risposta data 05.01.2018 - 19:18
fonte

Leggi altre domande sui tag