Traceroute MALUCO!

1. Traceroute MALUCO!

Leonardo
leuzimba

(usa Outra)

Enviado em 03/03/2013 - 21:47h

Estou com problema no TRACEROUTE, na verdade acredito que meu servidor esteja com algum worm, trojan ou qualquer coisa do tipo que possa influenciar nisso.

Veja só o tracert.

###########

Rastreando a rota para google.com.br [74.125.140.94]
com no máximo 30 saltos:

1 4294967173 ms 4294967173 ms 4294967173 ms 192.168.2.254
2 4294967174 ms 4294967174 ms 4294967174 ms 172.16.0.1
3 4294967179 ms 4294967180 ms 4294967179 ms 187.115.211.200
4 4294967180 ms 4294967180 ms 4294967183 ms 200.175.57.158
5 4294967193 ms 4294967192 ms 4294967193 ms 187.115.212.69
6 4294967189 ms 4294967197 ms 4294967196 ms 187.115.213.58
7 4294967191 ms 4294967189 ms 4294967189 ms 187.115.215.74
8 4294967201 ms 4294967196 ms 4294967197 ms 187.115.213.86
9 * * * Esgotado o tempo limite do pedido.
10 24 ms 4294967196 ms 4294967200 ms 209.85.243.198
11 7 ms 7 ms 7 ms 209.85.249.47
12 143 ms 19 ms 18 ms 216.239.48.192
13 159 ms 19 ms 18 ms 209.85.248.31
14 * * * Esgotado o tempo limite do pedido.
15 19 ms 19 ms 19 ms 74.125.140.94

Rastreamento concluído.

############

Alguém sabe me dizer o que pode ser isto ?



  


2. Re: Traceroute MALUCO!

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 04/03/2013 - 11:07h

Pq maluco? Não vi ainda o problema...


3. Re: Traceroute MALUCO!

Alberto Federman Neto.
albfneto

(usa openSUSE)

Enviado em 04/03/2013 - 11:11h

não vejo nenhum problema, rota normal. Apenas um pouco congestionado.
afinal é Google é o tráfego é forte.
Linux não pega worm, nem trojan, apenas uns pouquissimos rootkits, muito raros.


4. Re: Traceroute MALUCO!

Leonardo
leuzimba

(usa Outra)

Enviado em 04/03/2013 - 11:44h

albfneto escreveu:

não vejo nenhum problema, rota normal. Apenas um pouco congestionado.
afinal é Google é o tráfego é forte.
Linux não pega worm, nem trojan, apenas uns pouquissimos rootkits, muito raros.


Mas qualquer site que eu tente fazer traceroute tá esse mesmo problema.. meu IFTOP tá maluco também.. vários IPs Externos usando meu SQUID, DNS.. e não consigo bloquear.. nem bloqueando com INPUT -j DROP


5. Re: Traceroute MALUCO!

Leonardo
leuzimba

(usa Outra)

Enviado em 04/03/2013 - 11:47h

renato_pacheco escreveu:

Pq maluco? Não vi ainda o problema...


Olha os milesegundos.. qualquer site está assim..


6. Re: Traceroute MALUCO!

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 04/03/2013 - 11:50h

Mas não tem nada a v uma coisa com a outra. Se estão usando seu Squid e DNS, é pq vc não bloqueou corretamente os acessos, disponibilizando-os externamente. Sobre o rastreamento das rotas, pra mim continua normal.


7. Re: Traceroute MALUCO!

Leonardo
leuzimba

(usa Outra)

Enviado em 04/03/2013 - 12:25h

renato_pacheco escreveu:

Mas não tem nada a v uma coisa com a outra. Se estão usando seu Squid e DNS, é pq vc não bloqueou corretamente os acessos, disponibilizando-os externamente. Sobre o rastreamento das rotas, pra mim continua normal.


Renato, a meu ver,estou com essa lentidão talvez por nao estar bloqueando de forma certa... Como bloqueio esses acessos? E como verifico se tenho um rootkit?

Rootkit já verifiquei, nao tem nada.. Só meu iptables que não está 100%..

Debian 6.0.. as configurações utilizo em versão do UBUNTU e bloqueia tranquilamente.


8. Re: Traceroute MALUCO!

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 04/03/2013 - 13:29h

Um rootkit vc v com o programa Rootkit Hunter (http://www.rootkit.nl/projects/rootkit_hunter.html). Poste suas regras d iptables aki.


9. Re: Traceroute MALUCO!

Leonardo
leuzimba

(usa Outra)

Enviado em 04/03/2013 - 13:43h

### Limpando as regras ###
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
echo "Limpando todas as regras .................[ OK ]"
# Definindo a Politica Default das Cadeias
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
echo "Setando as regras padrao .................[ OK ]"

### Passo 2: Desabilitar o trafego IP entre as placas de rede ###
echo "0" > /proc/sys/net/ipv4/ip_forward
echo "Setando ip_foward ........................[ OK ]"

IADSL=eth0
IWAVE=eth4

ILAN1=eth1
ILAN2=eth2
ILAN3=eth3

ILocal=lo

# Redes Internas
LAN1=192.168.0.0/24
LAN2=192.168.1.0/24
LAN3=192.168.2.0/24

ADSL=172.16.0.2
WAVE=172.16.10.2


# Configurando a Protecao anti-spoofing
for spoofing in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo "1" > $spoofing
done
echo "Setando a protecao anti-spoofing .........[ OK ]"
# Impedimos que um atacante possa maliciosamente alterar alguma rota
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo "Setando anti-redirecionamento ............[ OK ]"
# Utilizado em diversos ataques, isso possibilita que o atacante determine o "caminho" que seu
# pacote vai percorrer (roteadores) ate seu destino. Junto com spoof, isso se torna muito perigoso.
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo "Setando anti_source_route.................[ OK ]"
# Protecao contra responses bogus
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo "Setando anti-bogus_response ..............[ OK ]"
# Protecao contra ataques de syn flood (inicio da conexao TCP). Tenta conter ataques de DoS.
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo "Setando protecao anti_synflood ...........[ OK ]"

# Protecao contra port scanners ocultos
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#iptables -A INPUT -s 0.0.0.0/0 -p icmp -j DROP

# Bloqueando tracertroute
#iptables -A INPUT -p udp -s 0/0 -i $IADSL --dport 33435:33525 -j DROP
#iptables -A INPUT -p udp -s 0/0 -i $IWAVE --dport 33435:33525 -j DROP

#Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP
#iptables -A OUTPUT -p tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP //ERRO

#Ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#Protecao contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

### Passo 3: Carregando os modulos do iptables ###
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_MASQUERADE
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
echo "Carregando modulos do iptables ...........[ OK ]"


### Passo 4: Agora, vamos definir o que pode passar e o que nao ###
# Cadeia de Entrada
# LOCALHOST - ACEITA TODOS OS PACOTES
iptables -A INPUT -i lo -j ACCEPT

# PORTA $http - ACEITA PARA A REDE LOCAL
iptables -A INPUT -i $ILAN1 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i $ILAN2 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i $ILAN3 -p tcp --dport 80 -j ACCEPT


# PORTA 22 - ACEITA PARA A REDE LOCAL
iptables -A INPUT -i $ILAN1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i $ILAN2 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i $ILAN3 -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -i $IADSL -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -i $IWAVE -p tcp --dport 22 -j ACCEPT

# PORTA WTS
iptables -A INPUT -i $IADSL -p tcp --dport 3389 -j ACCEPT
iptables -A INPUT -i $IWAVE -p tcp --dport 3389 -j ACCEPT

#SAMBA
iptables -A INPUT -p tcp --dport 137:139 -j ACCEPT
iptables -A INPUT -p udp --dport 137:139 -j ACCEPT

#PING
#iptables -A INPUT -p ICMP -i $LAN1 -j ACCEPT
#iptables -A INPUT -p ICMP -i $LAN2 -j ACCEPT
#iptables -A INPUT -p ICMP -i $LAN3 -j ACCEPT
iptables -A INPUT -p ICMP -i $ADSL -j ACCEPT
iptables -A INPUT -p ICMP -i $WAVE -j ACCEPT

# No iptables, temos de dizer quais sockets sao validos em uma conexao
iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A INPUT -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL: INPUT "

echo "Setando regras para INPUT ................[ OK ]"

################################
# Cadeia de Reenvio (FORWARD).
# Primeiro, ativar o mascaramento (nat).
#iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o lo -j ACCEPT

iptables -t nat -A POSTROUTING -s $LAN1 -o $ILAN1 -j ACCEPT
iptables -t nat -A POSTROUTING -s $LAN2 -o $ILAN2 -j ACCEPT
iptables -t nat -A POSTROUTING -s $LAN3 -o $ILAN3 -j ACCEPT

iptables -t nat -A POSTROUTING -s $LAN1 -o $IADSL -j MASQUERADE
iptables -t nat -A POSTROUTING -s $LAN2 -o $IADSL -j MASQUERADE
iptables -t nat -A POSTROUTING -s $LAN3 -o $IADSL -j MASQUERADE

iptables -t nat -A POSTROUTING -s $LAN1 -o $IWAVE -j MASQUERADE
iptables -t nat -A POSTROUTING -s $LAN2 -o $IWAVE -j MASQUERADE
iptables -t nat -A POSTROUTING -s $LAN3 -o $IWAVE -j MASQUERADE

iptables -t nat -A POSTROUTING -o $LAN1 -d $ILAN1 -j LOG --log-prefix "FIREWALL: SNAT unknown"
iptables -t nat -A POSTROUTING -o $LAN1 -d $ILAN1 -j DROP
iptables -t nat -A POSTROUTING -o $LAN2 -d $ILAN2 -j LOG --log-prefix "FIREWALL: SNAT unknown"
iptables -t nat -A POSTROUTING -o $LAN2 -d $ILAN2 -j DROP
iptables -t nat -A POSTROUTING -o $LAN3 -d $ILAN3 -j LOG --log-prefix "FIREWALL: SNAT unknown"
iptables -t nat -A POSTROUTING -o $LAN3 -d $ILAN3 -j DROP

iptables -t nat -A POSTROUTING -o $IADSL -j ACCEPT
iptables -t nat -A POSTROUTING -o $IWAVE -j ACCEPT

iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL: SNAT-LOG "
iptables -t nat -A POSTROUTING -j DROP
echo "Ativando mascaramento de IP ..............[ OK ]"

## Redireciona para SQUID
#iptables -t nat -A PREROUTING -i $ILAN -p tcp --dport $http -j REDIRECT --to-port $squid
#iptables -t nat -A PREROUTING -i $ILAN -p tcp --dport $https -j REDIRECT --to-port $squid

# REDIRECIONAMENTOS
#WTS
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth4 --dport 3389 -j DNAT --to-destination 192.168.2.1:3389
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 3389 -j DNAT --to-destination 192.168.2.1:3389

#ACESSO SISTEMA
iptables -t nat -A PREROUTING -d xxx -p tcp --dport 80 -j DNAT --to 192.168.0.254
iptables -t nat -A PREROUTING -d xxx -p tcp --dport 80 -j DNAT --to 192.168.0.254


# Agora dizemos quem e o que podem acessar externamente
# No iptables, o controle do acesso a rede externa e feito na cadeia "FORWARD"
# Abre para a interface de loopback.
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

# Abre para uma faixa de enderecos da rede local
iptables -A INPUT -p tcp --syn -s $LAN1 -j ACCEPT
iptables -A INPUT -p tcp --syn -s $LAN2 -j ACCEPT
iptables -A INPUT -p tcp --syn -s $LAN3 -j ACCEPT

# ACEITA TODOS OS PACOTES
#iptables -A FORWARD -s 192.168.1.4 -j ACCEPT
iptables -A FORWARD -s $LAN1 -j ACCEPT
iptables -A FORWARD -s $LAN2 -j ACCEPT
iptables -A FORWARD -s $LAN3 -j ACCEPT



# ROTAS
iptables -A PREROUTING -i $ILAN1 -t mangle -s $LAN1 -j MARK --set-mark 201
iptables -t nat -A POSTROUTING -s $LAN1 -d 0/0 -j SNAT --to $ADSL
iptables -t nat -A POSTROUTING -s $LAN1 -d 0/0 -o eth0 -j MASQUERADE

iptables -A PREROUTING -i $ILAN2 -t mangle -s $LAN2 -j MARK --set-mark 201
iptables -t nat -A POSTROUTING -s $LAN2 -d 0/0 -j SNAT --to $ADSL
iptables -t nat -A POSTROUTING -s $LAN2 -d 0/0 -o eth0 -j MASQUERADE

iptables -A PREROUTING -i $ILAN3 -t mangle -s $LAN3 -j MARK --set-mark 200
iptables -t nat -A POSTROUTING -s $LAN3 -d 0/0 -j SNAT --to $WAVE
iptables -t nat -A POSTROUTING -s $LAN3 -d 0/0 -o $IWAVE -j MASQUERADE


# Qualquer outra origem de tráfego desconhecida indo para eth0 (conexões vindas
# de eth3) são bloqueadas aqui
iptables -t nat -A POSTROUTING -o eth1 -d 192.168.0.0/24 -j LOG --log-prefix "FIREWALL: SNAT unknown "
iptables -t nat -A POSTROUTING -o eth1 -d 192.168.0.0/24 -j DROP
iptables -t nat -A POSTROUTING -o eth2 -d 192.168.2.0/24 -j LOG --log-prefix "FIREWALL: SNAT unknown "
iptables -t nat -A POSTROUTING -o eth2 -d 192.168.2.0/24 -j DROP
iptables -t nat -A POSTROUTING -o eth3 -d 192.168.3.0/24 -j LOG --log-prefix "FIREWALL: SNAT unknown "
iptables -t nat -A POSTROUTING -o eth3 -d 192.168.3.0/24 -j DROP


# PORTA 3128 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i $ILAN1 -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -i $ILAN2 -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -i $ILAN3 -p tcp --dport 3128 -j ACCEPT
# PORTA 53 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i $ILAN1 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $ILAN2 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $ILAN3 -p udp --dport 53 -j ACCEPT
# PORTA 110 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i $ILAN1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i $ILAN2 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i $ILAN3 -p tcp --dport 110 -j ACCEPT
# PORTA 25 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i $ILAN1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i $ILAN2 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i $ILAN3 -p tcp --dport 25 -j ACCEPT
# PORTA 587 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i $ILAN1 -p tcp --dport 587 -j ACCEPT
iptables -A FORWARD -i $ILAN2 -p tcp --dport 587 -j ACCEPT
iptables -A FORWARD -i $ILAN3 -p tcp --dport 587 -j ACCEPT
# PORTA 995 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i $ILAN1 -p tcp --dport 995 -j ACCEPT
iptables -A FORWARD -i $ILAN2 -p tcp --dport 995 -j ACCEPT
iptables -A FORWARD -i $ILAN3 -p tcp --dport 995 -j ACCEPT
# PORTA 465 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i $ILAN1 -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -i $ILAN2 -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -i $ILAN3 -p tcp --dport 465 -j ACCEPT
# PORTA 443 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i $ILAN1 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i $ILAN2 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i $ILAN3 -p tcp --dport 443 -j ACCEPT
# PORTA 21 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i $ILAN1 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -i $ILAN2 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -i $ILAN3 -p tcp --dport 21 -j ACCEPT

echo "Liberando ping"
iptables -A FORWARD -p ICMP -i $ILAN1 -j ACCEPT
iptables -A FORWARD -p ICMP -i $ILAN2 -j ACCEPT
iptables -A FORWARD -p ICMP -i $ILAN3 -j ACCEPT
iptables -A FORWARD -p ICMP -i $ADSL -j ACCEPT
iptables -A FORWARD -p ICMP -i $WAVE -j ACCEPT
# No iptables, temos de dizer quais sockets sao validos em uma conexao
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
echo "Setando regras para FOWARD ...............[ OK ]"

# Apesar do padrao do forward ser bloqueio. Aqui a regra eh duplicada para gerar log,
# ou seja, tudo o que eh bloqueado por default no forward eh logado aqui
iptables -A FORWARD -m limit --limit 2/m -j LOG --log-prefix "FORWARD: Bloqueio Padrao "
iptables -A FORWARD -j DROP


#PRIORIZA PACOTES
iptables -t mangle -A PREROUTING -p tcp --dport 5060 -j TOS --set-tos 16
iptables -t mangle -A PREROUTING -p udp --dport 1000:20000 -j TOS --set-tos 8
iptables -t mangle -A PREROUTING -p tcp --dport 80 -j TOS --set-tos 8
iptables -t mangle -A PREROUTING -p udp --dport 80 -j TOS --set-tos 8

iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 5060 -j TOS --set-tos 16
iptables -t mangle -A OUTPUT -o eth0 -p udp --dport 10000:20000 -j TOS --set-tos 8
iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 80 -j TOS --set-tos 8
iptables -t mangle -A OUTPUT -o eth0 -p udp --dport 80 -j TOS --set-tos 8

iptables -t mangle -A OUTPUT -o eth4 -p tcp --dport 5060 -j TOS --set-tos 16
iptables -t mangle -A OUTPUT -o eth4 -p udp --dport 10000:20000 -j TOS --set-tos 8
iptables -t mangle -A OUTPUT -o eth4 -p tcp --dport 80 -j TOS --set-tos 8
iptables -t mangle -A OUTPUT -o eth4 -p udp --dport 80 -j TOS --set-tos 8
# Finalmente: Habilitando o trafego IP, entre as Interfaces de rede
echo "1" > /proc/sys/net/ipv4/ip_forward
# Ignora qualquer pacote de entrada, vindo de qualquer endereco, a menos
# que especificado o contrario acima, Bloqueia tudo.
iptables -A INPUT -p tcp --syn -j DROP
iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -p udp -j DROP
echo "Setando ip_foward: ON ....................[ OK ]"
echo "Firewall configurado com sucesso .........[ OK ]"



10. Re: Traceroute MALUCO!

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 04/03/2013 - 14:37h

Faça diferente: com uma máquina q não esteja na sua rede, faça uma varredura d portas no IP externo da sua rede e comprove se o squid tá aberto msm. Use o Nmap.


11. Re: Traceroute MALUCO!

Leonardo
leuzimba

(usa Outra)

Enviado em 04/03/2013 - 14:50h


Not shown: 1691 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp filtered smtp
53/tcp filtered domain
69/tcp filtered tftp
80/tcp open http
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
1433/tcp filtered ms-sql-s
1434/tcp filtered ms-sql-m
3000/tcp open ppp
3128/tcp filtered squid-http
3389/tcp open ms-term-serv
4444/tcp filtered krb524
6588/tcp filtered analogx
12345/tcp filtered NetBus
12346/tcp filtered NetBus
31337/tcp filtered Elite


Veja só.. mesmo com script aplicado.. continua tudo aberto


12. Re: Traceroute MALUCO!

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 04/03/2013 - 14:59h

Kra, não sei pq q na varredura aparece "filtered", não deveria aparecer. Eu tou suspeitando q seja as seguintes regras:


iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT


Comente-as, recarregue seu script e faça a varredura outra vez.



01 02 03



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts