Por las caracteristicas de tu distro (CentOS 5.1) usa el Fedora DS que es de su familia
salu2 Esteban -- M.Sc. Ing. Esteban Saavedra Lopez CEO Opentelematics.Bolivia Telefono:(+591.2) 5245959 Celular: +591 72450061 [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] Oruro - Bolivia _____________________________________________ Te Invito a Visitarme y conocer mis Areas de Investigacion http://jesaavedra.opentelematics.org http://esteban.profesionales.org Si quieres chatear ICQ: 16270256 _____________________________________________ From [EMAIL PROTECTED] Thu Feb 7 18:06:55 2008 From: [EMAIL PROTECTED] (Miguel Oyarzo O.) Date: Thu Feb 7 18:10:18 2008 Subject: iptraf In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> At 16:06 07/02/2008, Alberto Rivera wrote: >Satara Plaza wrote: >>Estimados Amigos, es un gusto saludarlos, tengo un drama, sucede que hoy >>revise el cisco y me encontre que las luces de TxRX estaban como locas , no >>usual como de costumbre. Por lo que fui a mi servidor (Debian etch, squid >>transparente, postfix, bind9, courrier-imap, dovecot, qpopper, dhcp, >>apache2, Squirrelmail, en un PIII 900Mhz, 96MRAM, ide 20G, eth0 para la Wan >>con ip fija de entel, eth1para la Lan) , y lo revise con : >> >me parece que son muchos servicios en una sola máquina, en lo personal no >se me ocurriría correr el squid con el servidor de correo o el bind, pero >esa es la gracia de esto =) ... >bueno te comento que obviamente esos mensaje son del bind ya que ese es el >que trabaja en el 59 UDP, pero en realidad puede ser por varias cosas, >primero te pueden de que hablas .... en la salida iptraf mostrada dice UDP (59 bytes) - nada que ver con puerta UDP 59 (bind trabaja en el 53/UDP para resolucion... y otra para trasferencias de zonas) >haber tomado el proxy desde el exterior y están resolviendo con tu bind, no, porque el trafico mostrado es externo. Cuando se usa proxy la resolucion de nombres es local en la maquina. >el bind esta abierto a conexiones exteriores y están resolviendo con tu bind, No creo. Solo hay trafico en una direccion y todos los paquetes de entrada tienen el mismo tamanio. No es el patron esperable de algo asi. >te pueden haber tomado el postfix desde el exterior y están enviando >correos a través de tu dominio o algo así (esto lo puede hacer un virus >desde dentro de la lan) No, el trafico entrante observado es directo hacia la puerta 53 del dns ademas, no se envian mensajes a travez de un dominio (no tiene sentido). ... >lo mejor es que veas bien los logs del asunto, o sea, revisar lo que te >dice el kernel el auth el syslog y los que tengas para los servicios en >busca de algo extraño y además el tiempo desde que esto te ocurre, ya que >con eso podrás tener una visión más completa del asunto ... para revisar >puedes hacer lago así como : cat /var/log/syslog |grep named y te saldra .. yep >otras pruebas que puedes hacer es bajar el iftop y ver porque interfaz se >esta transmitiendo los datos ... y así varias más, lo otro es que debes >revisar tu configuración del bind y colocale algun software como rkhunter >solo para que este más tranquilo aunque no creo que sea eso ... >que pasa cuando bajas el servicio bind ???? se detienen los mensajes ??? >si es asi es eso ... pero colocale un tail -f /var/log/syslog |grep named >para ver que sale ... > >bueno cualquier cosa escribe =) >... >Alberto Rivera Muñoz >Ingeniero en Informática > >># iptraf >>mirando los paquetes en eth0 , apage TODAS las maquinas y me puse a analizar >>, para mi sorpresa me aparece en paquetes capturados (parte inferior del >>iptraf) >>UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src >>HWaddr .... >>UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src >>HWaddr .... >>UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src >>HWaddr .... >>Cesar. Esto mas bien se ve como un ataque tipico DoS contra la puerta 53 Como supongo que tu intencion es seguir usando tu DNS para entregar los datos de tu zona este tipo de ataque resulta complicado de bloquear. Dices que tienes un router CISCO, puedes pedir a tu proveedor que active y configure "Committed Access Rate" (CAR). Esto se puede hacer con listas extendidas ACL. Pensando que tu maquina es "chica" mejor le encargas al router descartar exesivo consumo de ancho de banda producto de esos paques SYN (o no-SYN talvez), de seguro te afecta. Otra causa (posible) es que terceros esten realizando un SPAM masivo con remitente (tu dominio). Si es fue lo que paso entonces existiran decenas de miles de maquinas consultando a tu DNS por el MX del remitente. Las consultas repetidas desde una misma maquina se explican por el ancho de banda insufiennte no mas (deben repetirse una y otra vez) Esto se puede determinar si es que vez exesivas consultas DNS desde diferentes IPs al mismo tiempo y que porsupuesto sea poco habitual en tu maquina. Te recomiendo que agregues un record SPF a tu zona (o zonas) para reducir la suplantacion de este tipo . Saludos, Miguel Oyarzo O. Austro Internet S.A. Punta Arenas
