Miguel Oyarzo O. escribió: > At 16:06 07/02/2008, Alberto Rivera wrote: >> Satara Plaza wrote: >... > Esto mas bien se ve como un ataque tipico DoS contra la puerta 53 > Como supongo que tu intencion es seguir usando tu DNS para entregar > los datos de tu zona este tipo de ataque resulta complicado de bloquear. >
> Otra causa (posible) es que terceros esten realizando > un SPAM masivo con remitente (tu dominio). > Si es fue lo que paso entonces existiran decenas de miles de maquinas > consultando a tu DNS por el MX del remitente. > Las consultas repetidas desde una misma maquina se explican > por el ancho de banda insufiennte no mas (deben repetirse una y otra vez) > Podrias estar en riesgo de DoS , lo unico que se me ocurre inmediatamente(aun me falta mas experiencia en estos caso) aparte de algunas cosas que ya han mencionado: En tu equipo(servidor debian) podrias agregar/modificar una regla con IPTABLES para limitar las consultas externas hacia tu equipo con el modulo limit (iptables -A ..(resto de la cadena).. -m limit --limit 2/second -j ACCEPT) y bajaria un trafico. Esto mientras encuentras algo mas acabado. Y tal vez como te dijieron una ACL podria servir. Suerte! -- .:: Pedro:G:M ::. Linux User #397462 http://counter.li.org From [EMAIL PROTECTED] Fri Feb 8 01:10:48 2008 From: [EMAIL PROTECTED] (Horst H. von Brand) Date: Fri Feb 8 01:14:09 2008 Subject: particiones de mi Server In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> luisito <[EMAIL PROTECTED]> wrote: > Hace un tiempo pregunte algo parecido a esto, pero no quede conforme > con las respuestas asi que le doy un enfoque mas especifico, esperando > su ayuda. > > Tengo que instalar un server, el cual sera server de: Correo, Web, > > Dominio, Ftp, BD > No me es posible separar estos servicios en servers diferentes asi > que no es una posibilidad, Si puedes hacerlo. Y por razones de seguridad al menos DNS (si es NS responsable) debieras pensar en ponerlo en otra maquina. > > Tengo una maquina con las siguientes caracteristicas: MB Asus > > P5LD2-VM, micro P4 Genuino a 3 Ghz., 1Gb de RAM, HDD 80 Gb > No me es posible conseguir otra maquina, ni una especifica con > hardware para servers, asi que no es una posibilidad otra maquina > tiene que ser en esta. OK, no es malo. > >Mi red brinda servicios a 100 usuarios A que te refieres con "servicios"? Todos usan esta maquina, c/u tiene su tarro y usa este para enviar correo, ...? > > Tengo pensado el siguiente esquema de particiones: > / unos 100 Mb Ponle un poco mas, diria unos 150 s 200 MiB > /home hasta ahora no se le pido ayuda tengo 100 usuarios Depende de para que usen sus cuentas... > /swap 512Mb Probablemente te lo puedes ahorrar (/estas/ corto de disco!) > /usr hasta ahora no se les pido ayuda > /boot unos 200Mb 100MiB debieran bastar. > /tmp hasta ahora no se les pido ayuda Cuanto quieres ponerle? Tal vez usar tmpfs (comparte RAM/swap)? > /var hasta ahora no se porque el site ftp ira montado en otro disco les > pido ayuda En /var estan (a) los logs, (b) correo en transito, (c) correo sin leer, (d) areas temporales de paquetes instalados (en menos con yum (CentOS, RHEL)). Considera esto... (a) puede usar bastante, es buena idea respaldarlos de vez en cuando (b) no es mucho (c) no falta el perejil que tiene 1GiB sin bajar... (d) Puede ser /harto/ lo que se acumula aca... aunque puede limpiarse > /var/log para los log hasta ahora no se les pido ayuda Diria unos 512MiB o tal vez mas, dependiendo de la actividad. > /var/spool/mail para el correo hasta ahora no se les pido ayuda Depende de tus usuarios. -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de Informatica Fono: +56 32 2654431 Universidad Tecnica Federico Santa Maria +56 32 2654239 Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513 From [EMAIL PROTECTED] Fri Feb 8 01:12:53 2008 From: [EMAIL PROTECTED] (Horst H. von Brand) Date: Fri Feb 8 01:16:20 2008 Subject: particiones de mi Server In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Alberto Rivera <[EMAIL PROTECTED]> wrote: > luisito wrote: [...] > >> Tengo que instalar un server, el cual sera server de: Correo, Web, [...] > En realidad no entendà muy bien tu correo, Tampoco yo, a decir verdad. > pero para que si tienes 100 > usuarios en el /home les vas a poner un ftp en el var????, FTP es /unicamente/ para acceso anonimo, FTP "a la cuenta" es una estupidez. -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de Informatica Fono: +56 32 2654431 Universidad Tecnica Federico Santa Maria +56 32 2654239 Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513 From [EMAIL PROTECTED] Fri Feb 8 01:19:44 2008 From: [EMAIL PROTECTED] (Horst H. von Brand) Date: Fri Feb 8 01:23:38 2008 Subject: iptraf In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Satara Plaza <[EMAIL PROTECTED]> wrote: > Estimados Amigos, es un gusto saludarlos, tengo un drama, sucede que hoy > revise el cisco y me encontre que las luces de TxRX estaban como locas , no > usual como de costumbre. Por lo que fui a mi servidor (Debian etch, squid > transparente, postfix, bind9, courrier-imap, dovecot, qpopper, dhcp, > apache2, Squirrelmail, en un PIII 900Mhz, 96MRAM, ide 20G, eth0 para la Wan > con ip fija de entel, eth1para la Lan) , y lo revise con : > # iptraf > mirando los paquetes en eth0 , apage TODAS las maquinas y me puse a analizar > , para mi sorpresa me aparece en paquetes capturados (parte inferior del > iptraf) > UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src > HWaddr .... Te estan tirando trafico como loco. Via UDP, curioso. Ataque? Captura un rato de eso (con tcpdump) y analizalo con wireshark. Notese que mensajes (mal) traducidos en castellano son utiles para ignorantes del ingles, para gente civilizada solo valen los originales. > UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src > HWaddr .... Consultas DNS? Alquien te tiene de casero de alla?! > UDP (59 bytes) from 64.18.140.180:PUERTOS to MI_DOMINIO:domain (src HWaddr > .... > UDP (59 bytes) from 64.18.140.180:PUERTOS to MI_DOMINIO:domain (src HWaddr > .... > UDP (59 bytes) from 124.192.42.0:PUERTOS to MI_DOMINIO:domain (src HWaddr > .... Origenes que varian? Estan tratando de craquearte bind? [...] > Amigos estoy CASI a abrazos cruzados, intente bloquear la ip con ip tables > /sbin/iptables -A INPUT -s 64.18.140.180 -j DROP > y nada... Obvio... tu filtro actua en el PC, no en el CISCO ;-) -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de Informatica Fono: +56 32 2654431 Universidad Tecnica Federico Santa Maria +56 32 2654239 Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513 From [EMAIL PROTECTED] Fri Feb 8 09:26:22 2008 From: [EMAIL PROTECTED] (Alberto Rivera) Date: Fri Feb 8 09:55:44 2008 Subject: iptraf In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Miguel Oyarzo O. wrote: > At 16:06 07/02/2008, Alberto Rivera wrote: >> Satara Plaza wrote: >>> Estimados Amigos, es un gusto saludarlos, tengo un drama, sucede que >>> hoy >>> revise el cisco y me encontre que las luces de TxRX estaban como >>> locas , no >>> usual como de costumbre. Por lo que fui a mi servidor (Debian etch, >>> squid >>> transparente, postfix, bind9, courrier-imap, dovecot, qpopper, dhcp, >>> apache2, Squirrelmail, en un PIII 900Mhz, 96MRAM, ide 20G, eth0 para >>> la Wan >>> con ip fija de entel, eth1para la Lan) , y lo revise con : >>> >> me parece que son muchos servicios en una sola máquina, en lo >> personal no se me ocurriría correr el squid con el servidor de correo >> o el bind, pero esa es la gracia de esto =) ... >> bueno te comento que obviamente esos mensaje son del bind ya que ese >> es el que trabaja en el 59 UDP, pero en realidad puede ser por varias >> cosas, primero te pueden > > de que hablas .... > en la salida iptraf mostrada dice > UDP (59 bytes) - nada que ver con puerta UDP 59 > (bind trabaja en el 53/UDP para resolucion... y otra para > trasferencias de zonas) buena tienes razón.. condoro... lo siento > >> haber tomado el proxy desde el exterior y están resolviendo con tu bind, > > no, porque el trafico mostrado es externo. Cuando se usa proxy la > resolucion de nombres > es local en la maquina. > >> el bind esta abierto a conexiones exteriores y están resolviendo con >> tu bind, > > No creo. Solo hay trafico en una direccion y todos los paquetes de > entrada > tienen el mismo tamanio. No es el patron esperable de algo asi. > >> te pueden haber tomado el postfix desde el exterior y están enviando >> correos a través de tu dominio o algo así (esto lo puede hacer un >> virus desde dentro de la lan) > > No, el trafico entrante observado es directo hacia la puerta 53 del dns > ademas, no se envian mensajes a travez de un dominio (no tiene sentido). pero pueden estar haciendo spam desde la máquina o en realidad utilizandola para spam y resolver por eso la cantidad de mensajes del dns... o pueden incluso una de las máquinas de la lan tener un virus que este haciendo esta función ... como se está controlando el acceso interno ¿? > > ... >> lo mejor es que veas bien los logs del asunto, o sea, revisar lo que >> te dice el kernel el auth el syslog y los que tengas para los >> servicios en busca de algo extraño y además el tiempo desde que esto >> te ocurre, ya que con eso podrás tener una visión más completa del >> asunto ... para revisar puedes hacer lago así como : cat >> /var/log/syslog |grep named y te saldra .. > > yep > >> otras pruebas que puedes hacer es bajar el iftop y ver porque >> interfaz se esta transmitiendo los datos ... y así varias más, lo >> otro es que debes revisar tu configuración del bind y colocale algun >> software como rkhunter solo para que este más tranquilo aunque no >> creo que sea eso ... >> que pasa cuando bajas el servicio bind ???? se detienen los mensajes >> ??? si es asi es eso ... pero colocale un tail -f /var/log/syslog >> |grep named para ver que sale ... >> >> bueno cualquier cosa escribe =) >> ... >> Alberto Rivera Muñoz >> Ingeniero en Informática >> >>> # iptraf >>> mirando los paquetes en eth0 , apage TODAS las maquinas y me puse a >>> analizar >>> , para mi sorpresa me aparece en paquetes capturados (parte inferior >>> del >>> iptraf) >>> UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src >>> HWaddr .... >>> UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src >>> HWaddr .... >>> UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src >>> HWaddr .... >>> Cesar. > > Esto mas bien se ve como un ataque tipico DoS contra la puerta 53 > Como supongo que tu intencion es seguir usando tu DNS para entregar > los datos de tu zona este tipo de ataque resulta complicado de bloquear. > > Dices que tienes un router CISCO, puedes pedir a tu proveedor que > active y configure "Committed Access Rate" (CAR). Esto > se puede hacer con listas extendidas ACL. > Pensando que tu maquina es "chica" mejor > le encargas al router descartar exesivo consumo de ancho de banda > producto de esos paques SYN (o no-SYN talvez), de seguro te afecta. pero esto solo serviría para bloquear momentáneamente los ataques, si es que fuera eso... > > > Otra causa (posible) es que terceros esten realizando > un SPAM masivo con remitente (tu dominio). > Si es fue lo que paso entonces existiran decenas de miles de maquinas > consultando a tu DNS por el MX del remitente. > Las consultas repetidas desde una misma maquina se explican > por el ancho de banda insufiennte no mas (deben repetirse una y otra vez) eso eso ... > > Esto se puede determinar si es que vez exesivas consultas DNS desde > diferentes > IPs al mismo tiempo y que porsupuesto sea poco habitual en tu maquina. > > Te recomiendo que agregues un record SPF a tu zona (o zonas) para reducir > la suplantacion de este tipo . > > > Saludos, > > Miguel Oyarzo O. > Austro Internet S.A. > Punta Arenas > > > > > > -- Alberto Rivera Muñoz Ingeniero en Informática Registered User 353961 - http://counter.li.org
