Ataque de um ip para fora [RESOLVIDO]

1. Ataque de um ip para fora [RESOLVIDO]

jamesbondi
(usa Outra)

Enviado em 13/04/2012 - 12:00h

Bom dia estou com o seguinte problema identifiquei que existe um ip da nossa rede interna disparando para as portas

.56917
.57151

desconfio que possa ser um ataque devido a lentidão que esta gerando na rede e pelo tcpdump verifiquei que esta com muitos acessos nessa porta em curto espaço de tempo:

12:02:02.604017 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2258940, win 16213, length 0
12:02:02.604055 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2259396, win 16099, length 0
12:02:02.604205 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2259756, win 16425, length 0
12:02:02.604245 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2260452, win 16251, length 0
12:02:02.604275 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2260812, win 16161, length 0
12:02:02.604315 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2261172, win 16071, length 0
12:02:02.604365 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2261644, win 16425, length 0
12:02:02.604751 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2262004, win 16335, length 0
12:02:02.604813 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2262364, win 16245, length 0

o log esta bemmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmm mais extenso que isso mas coloquei somente uma parte aqui para verem

gostaria de bloquear este ip no firewall para sair por estas duas portas que eu informei 56917 e 57151. ate descobrir o que ocorre com essa maquina

como seria a regra que devo fazer no firewall???

0 0

Quote

2. MELHOR RESPOSTA

renato_pacheco
(usa Debian)

Enviado em 13/04/2012 - 13:00h

Bloqueie no próprio servidor. Insira essa regra ae e veja se dá certo:



iptables -A INPUT -p udp -s 192.168.93.115 -j DROP

0 0

Quote

3. Re: Ataque de um ip para fora [RESOLVIDO]

jamesbondi
(usa Outra)

Enviado em 17/04/2012 - 16:49h

tem como eu bloquear a porta especifica somente 49447

tipo a mesmo regra porem ao inves do protocolo udp inteiro bloquear somente a porta para meu ip?

0 0

Quote

4. Re: Ataque de um ip para fora [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 17/04/2012 - 16:52h

Tem, uai!



iptables -A INPUT -p udp --dport 49447 -s 192.168.93.115 -j DROP

Olhe o manual do iptables q tem várias opções!



man iptables

0 0

Quote

Patrocínio

Site hospedado pelo provedor RedeHost.

Top 10 do mês

Xerxes
1° lugar - 69.210 pts
Fábio Berbert de Paula
2° lugar - 51.110 pts
Renato Michnik de Carvalho
3° lugar - 27.296 pts
Mauricio Ferrari
4° lugar - 14.973 pts
Alberto Federman Neto.
5° lugar - 14.673 pts
Daniel Lara Souza
6° lugar - 13.669 pts
Diego Mendes Rodrigues
7° lugar - 12.960 pts
Buckminster
8° lugar - 12.560 pts
edps
9° lugar - 12.238 pts
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 11.536 pts

Scripts

[C/C++] reverse shell na marra!

[Outros] Dicas e truques Matematica Básica

[C/C++] criptografia de modo simples

[C/C++] intdb - gerador de wordlist numerica

[C/C++] genpass - gerador de senhas seguras

Ataque de um ip para fora [RESOLVIDO]

1. Ataque de um ip para fora [RESOLVIDO]

2. MELHOR RESPOSTA

3. Re: Ataque de um ip para fora [RESOLVIDO]

4. Re: Ataque de um ip para fora [RESOLVIDO]

Patrocínio

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts