Rsyslog atak na DNS ?

Konfiguracja serwerów, usług, itp.
ODPOWIEDZ
HSW
Posty: 2
Rejestracja: 19 października 2014, 01:25

Rsyslog atak na DNS ?

Post autor: HSW »

Skonfigurowałem sobie na Debianie rsyslog który przechwytuje logi z MT. W mitrotiku zauważyłem ze Debian sypie po różnych portach po udp na adres DNS. Nie wiem czy to tak ma być? Na pewno jest to rsyslog, po wyłączeniu go uspokaja się wszystko.

Obrazek

Odnośnik do oryginalnego obrazu.
Na górę
Awatar użytkownika
LordRuthwen
Moderator
Posty: 2341
Rejestracja: 18 września 2009, 21:45
Lokalizacja: klikash?

Post autor: LordRuthwen »

A debian czasem nie jest routerem?
Jak tak to włącz tcpdumpa i zobacz który host złapał wirusa :)
Na górę
HSW
Posty: 2
Rejestracja: 19 października 2014, 01:25

Post autor: HSW »

Debian nie jest routerem, jest tylko do zbierania logów, mały serwerek ftp, klient ntp. Tcpdump pokazuje cos takiego.
15:49:52.643611 IP 192.168.1.117.48321 > dns2.tpsa.pl.domain: 63558+ PTR? 1.1.168.192.in-addr.arpa. (42)
15:49:52.691009 IP dns2.tpsa.pl.domain > 192.168.1.117.48321: 63558 NXDomain 0/0/0 (42)
15:49:52.862301 IP 192.168.1.1.43464 > 192.168.1.117.syslog: [|syslog]
15:49:52.864147 IP 192.168.1.117.39407 > dns2.tpsa.pl.domain: 27637+ PTR? 1.1.168.192.in-addr.arpa. (42)
15:49:52.897212 IP dns2.tpsa.pl.domain > 192.168.1.117.39407: 27637 NXDomain 0/0/0 (42)
15:49:55.462489 IP 192.168.1.1.43464 > 192.168.1.117.syslog: [|syslog]
15:49:55.462838 IP 192.168.1.1.43464 > 192.168.1.117.syslog: [|syslog]
15:49:55.463116 IP 192.168.1.1.43464 > 192.168.1.117.syslog: [|syslog]
15:49:55.465090 IP 192.168.1.117.41386 > dns2.tpsa.pl.domain: 3722+ PTR? 1.1.168.192.in-addr.arpa. (42)
15:49:55.498714 IP dns2.tpsa.pl.domain > 192.168.1.117.41386: 3722 NXDomain 0/0/0 (42)
15:49:55.500801 IP 192.168.1.117.38895 > dns2.tpsa.pl.domain: 18603+ PTR? 1.1.168.192.in-addr.arpa. (42)
15:49:55.562728 IP dns2.tpsa.pl.domain > 192.168.1.117.38895: 18603 NXDomain 0/0/0 (42)
15:49:55.564817 IP 192.168.1.117.55531 > dns2.tpsa.pl.domain: 31433+ PTR? 1.1.168.192.in-addr.arpa. (42)
15:49:55.599186 IP dns2.tpsa.pl.domain > 192.168.1.117.55531: 31433 NXDomain 0/0/0 (42)
15:49:58.602679 IP 192.168.1.1.43464 > 192.168.1.117.syslog: [|syslog]
15:49:58.603305 IP 192.168.1.1.43464 > 192.168.1.117.syslog: [|syslog]
15:49:58.605084 IP 192.168.1.1.43464 > 192.168.1.117.syslog: [|syslog]
15:49:58.605646 IP 192.168.1.1.43464 > 192.168.1.117.syslog: [|syslog]
15:49:58.606521 IP 192.168.1.1.43464 > 192.168.1.117.syslog: [|syslog]
15:49:58.607359 IP 192.168.1.1.43464 > 192.168.1.117.syslog: [|syslog]
15:49:58.607661 IP 192.168.1.1.43464 > 192.168.1.117.syslog: [|syslog]
15:49:58.607935 IP 192.168.1.1.43464 > 192.168.1.117.syslog: [|syslog]
15:49:58.611284 IP 192.168.1.117.38324 > dns2.tpsa.pl.domain: 12190+ PTR? 1.1.168.192.in-addr.arpa. (42)
15:49:58.647539 IP dns2.tpsa.pl.domain > 192.168.1.117.38324: 12190 NXDomain 0/0/0 (42)
15:49:58.649407 IP 192.168.1.117.54919 > dns2.tpsa.pl.domain: 58879+ PTR? 1.1.168.192.in-addr.arpa. (42)
15:49:58.703391 IP dns2.tpsa.pl.domain > 192.168.1.117.54919: 58879 NXDomain 0/0/0 (42)
15:49:58.705852 IP 192.168.1.117.42577 > dns2.tpsa.pl.domain: 66+ PTR? 1.1.168.192.in-addr.arpa. (42)
15:49:58.778304 IP dns2.tpsa.pl.domain > 192.168.1.117.42577: 66 NXDomain 0/0/0 (42)
15:49:58.780306 IP 192.168.1.117.56536 > dns2.tpsa.pl.domain: 62882+ PTR? 1.1.168.192.in-addr.arpa. (42)
15:49:58.826589 IP dns2.tpsa.pl.domain > 192.168.1.117.56536: 62882 NXDomain 0/0/0 (42)
15:49:58.828654 IP 192.168.1.117.48831 > dns2.tpsa.pl.domain: 32968+ PTR? 1.1.168.192.in-addr.arpa. (42)
15:49:58.867495 IP dns2.tpsa.pl.domain > 192.168.1.117.48831: 32968 NXDomain 0/0/0 (42)
15:49:58.869361 IP 192.168.1.117.43837 > dns2.tpsa.pl.domain: 21645+ PTR? 1.1.168.192.in-addr.arpa. (42)
15:49:58.902986 IP dns2.tpsa.pl.domain > 192.168.1.117.43837: 21645 NXDomain 0/0/0 (42)
15:49:58.904894 IP 192.168.1.117.55716 > dns2.tpsa.pl.domain: 61656+ PTR? 1.1.168.192.in-addr.arpa. (42)
15:49:58.969223 IP dns2.tpsa.pl.domain > 192.168.1.117.55716: 61656 NXDomain 0/0/0 (42)
15:49:58.971526 IP 192.168.1.117.53015 > dns2.tpsa.pl.domain: 57904+ PTR? 1.1.168.192.in-addr.arpa. (42)
15:49:59.041057 IP dns2.tpsa.pl.domain > 192.168.1.117.53015: 57904 NXDomain 0/0/0 (42)
15:50:00.782217 IP 192.168.1.1.43464 > 192.168.1.117.syslog: [|syslog]
15:50:00.784718 IP 192.168.1.117.45186 > dns2.tpsa.pl.domain: 8097+ PTR? 1.1.168.192.in-addr.arpa. (42)
15:50:00.848093 IP dns2.tpsa.pl.domain > 192.168.1.117.45186: 8097 NXDomain 0/0/0 (42)
15:50:01.092099 IP 192.168.1.1.43464 > 192.168.1.117.syslog: [|syslog]
15:50:01.094049 IP 192.168.1.117.43929 > dns2.tpsa.pl.domain: 15496+ PTR? 1.1.168.192.in-addr.arpa. (42)
15:50:01.158602 IP dns2.tpsa.pl.domain > 192.168.1.117.43929: 15496 NXDomain 0/0/0 (42)
15:50:04.372052 IP 192.168.1.1.43464 > 192.168.1.117.syslog: [|syslog]
OK już załapałem problem polegał w pliku konfiguracyjnym rsyslog pokickałem regułki i i szukało jakiegoś hosta
Za to pokazały się inne jakieś podejrzane połączenia którym się tez muszę przyjrzeć.
Na górę
ODPOWIEDZ

Wróć do „Serwer”