On 11/1/18 7:14 PM, Dumitru Mișu Moldovan wrote:
On Thu, 1 Nov 2018 18:31:09 +0100, Mihai Osian <[email protected]> wrote:
Am o retea intr-o mica firma cu vreo 20 de calculatoare. In ultima
luna firma a fost listata de mai multe ori pe Spamhaus, care pretinde ca
a depistat conexiuni de la IP-ul nostru la un sinkhole pe portul 80. Pt
curiosi, Spamhaus zice ca adresa de sinkhole e 184.105.192.2, care
corespunde unui botnet controlat de la 'differentia.ru'. PC-urile
interne au antivirusi si update-uri la zi, nici unul nu spune nimic. In
momentul de fata cele 20 de PC-uri se conecteaza la internet printr-un
router TP-Link.
In reteaua interna exista si un server Linux care ofera servicii de
mail/web/etc pentru domeniul firmei. Ma gandesc sa pun Linuxul pe post
de router si sa incerc sa aflu care statie de lucru initiaza conexiuni
spre IP-ul mentionat de Spamhaus. Am nevoie de o sugestie referitor la
ce s-ar putea folosi pentru a monitoriza traficul prin router. Imi
trebuie ceva care sa inregistreze perechi de IP-uri sursa (interna) -
destinatie. As putea sa crosetez niste scripturi cu tcpdump sau
iptables, dar ma gandesc ca probabil exista deja ceva gata scris. Idei ?
Nici nu trebuie să „croșetezi” prea mult. Cu iptables poți face DROP la
pachetele către acel IP (eventual în combinație cu portul 80?), iar acțiunea o
poți înregistra în logul de sistem.
Dar s-ar putea să vrei mai mult de atât, anume să previi așa ceva de acum
înainte. Pentru asta ai varii soluții de tip IDS: SNORT, Suricata și or mai fi…
Intr-adevar, pentru problema curenta ajunge o linie in iptables dar ma
gandesc la prevenit/detectat chestii similare in viitor. Mersi de
Snort/Suricata - ma apuc de citit.
Mihai
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
