Re: sistema comprometido?

To: Jose Miguel <robe5@ono.com>
Cc: debian-user-spanish@lists.debian.org
Subject: Re: sistema comprometido?
From: tronss <tronss@ono.com>
Date: Mon, 19 Jan 2004 00:10:01 +0100
Message-id: <3FC7B661001FCED2@> (added by postmaster@mta03.ono.com)
In-reply-to: <[🔎] 200401181609.55304.robe5@ono.com>
References: <[🔎] 200401172046.58992.robe5@ono.com> <001c01c3dd88$b5bb5630$2201a8c0@vax> <[🔎] 200401181609.55304.robe5@ono.com>

Por lo que he investigado suele ser una consecuencia de intentar que en 
determinados servidores no hagan cierto daño virus tipo blaster, y no se les 
ha ocurrido otra cosa que hacerlo de una manera que no debiera ser la 
correcta. Esa consecuencia ocurre de derivar el trafico hacia localhost y a 
puertos aleatorios que no tienen servicios asignados, y por eso te salen esas 
alertas (a mi y a mucha gente tambien le ocurre).

He leido y oido mucho sobre eso: gusano nuevo, consecuencia del baster, etc.. 
pero me quedo (igual que un buen amigo mio) en que es lo que te digo. No 
deberia ser asi pero asi han puesto la proteccion y luego lo padecemos todos 
:-(

Aun asi te animo a investigar ese trafico, y si pones una knoppix con tcpdump 
o con snort  (tcpdump -vv host localhost) veras que te sigue saliendo porque 
parte del servidor hacia tu localhost.

Saludos.
tronss.


On Sunday 18 January 2004 16:09, Jose Miguel wrote:
> Creo que los iptables estan bien, incluso he mirado las alertas sin
> iptables activado y sigue igual. Alertas cada minuto. No se porque.
>
> El Domingo 18 Enero 2004 07:02, lamalejo escribió:
> > de tu localhost????, uhm.... lo dudo,.. mira bien los iptables...
> >
> > saludos
> >
> > ----- Original Message -----
> > From: "Jose Miguel" <robe5@ono.com>
> > To: <debian-user-spanish@lists.debian.org>
> > Sent: Saturday, January 17, 2004 8:46 PM
> > Subject: sistema comprometido?
> >
> >
> > Hola
> > Ayer instalé snort para detectar intrusiones, con soporte para mysql y
> > con ACID.
> >
> > El archivo /etc/snort/snort.debian.conf lo tengo asi:
> >
> > DEBIAN_SNORT_STARTUP=boot
> > DEBIAN_SNORT_HOME_NET="any"
> > DEBIAN_SNORT_OPTIONS=" -p"
> > DEBIAN_SNORT_INTERFACE="eth1"
> > DEBIAN_SNORT_STATS_RCPT="root"
> > DEBIAN_SNORT_STATS_TRESHOLD="1"
> >
> >
> >
> > Hoy he mirado las estadisticas segun ACID y me sale que he recivido 197
> > ataques 'misc-attac' y 132 'bad-unknow'.
> >
> >  unclassified         13 (4%)
> >  attempted-recon     13 (4%
> >  misc-activity       11 (3%)
> >  bad-unknown       132 (36%)
> >  misc-attack       197 (54%)
> >
> > Resulta que la ip que mas se repite en esos dos ultimos ataque es
> > 127.0.0.1.
> >
> > Ejemplos de ataques:
> > BAD-TRAFFIC loopback traffic        2004-01-16 11:56:17       
> > 127.0.0.1:80 81.202.xx.xxx:1761         TCP
> >
> > MS-SQL Worm propagation attempt        2004-01-16 14:25:36
> > 127.0.0.1:80         81.202.xx.xxx:1254         TCP
> >
> > la otra ip es la de la interfaz por la que salgo a internet.
> >
> > Esos son los que mas se repiten y me ralla mucho el segundo porque en
> > teoria MS-SQL Worm solo afecta a equipos hasefroch.
> >
> > Alguien sabe si esto es normal, si tengo algo mal en el archivo de
> > configuracion o si tengo el sistema comprometido?
> >
> > Otra cosa, chkrootkit -q me da esto:
> > eth1: PACKET SNIFFER(/sbin/dhclient[25867], /usr/sbin/snort[13766])
> >
> > pero en ifconfig no me sale que esta en modo promiscuo.
> >
> > Eso lo hace snort? o no es normal que dhclient este por medio?
> >
> > Gracias por el tiempo.

Reply to:

References:
- sistema comprometido?
  - From: Jose Miguel <robe5@ono.com>
- Re: sistema comprometido?
  - From: Jose Miguel <robe5@ono.com>

Prev by Date: wvdial no tiene permiso para /dev/modem solucionado
Next by Date: ayuda debian
Previous by thread: Re: sistema comprometido?
Next by thread: Problema con apg-get upgrade
Index(es):
- Date
- Thread