Проконтролировать флуд-трафик.

[GriefNorth]

Всем доброго дня, столкнулся с такой проблемой.
В один прекрасный момент, поисковики типа яндекса, гугла и рамблера, начали ругаться на большое кол-во запросов с моего айпишника. Гугл так вообще забанил, как ни смешно звучит, но так оно и есть. На шлюзе, поставил утилиту iptraf, с помощью нее наблюдаю трафик. Так вот, имею 3 интерфейса, 1й - WAN, 2 и 3 - соответственно смотрят в локалки. Проверяю трафик по eth1 и eth2 (внут. интерфейсы), все нормально. Начинаю же проверять трафик на eth0 и вот тут обнаруживается, что куча пакетов идет с порта 1830 на домен mail.nns.net.ru, через whois ничего не находит по нему. Потом через порт сквида 3128 идет трафик на 78.184.152.64 – 78.184.152.64.dynamic.ttnet.com.tr на порт 52115 и на 117.251.213.113.west.global.crust-r.net по порту 60598.
Вывод nmap

Code: [Select]

Starting Nmap 5.00 ( http://nmap.org ) at 2012-05-22 11:10 MSK
Interesting ports on 192.168.1.56:
Not shown: 981 closed ports
PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   open     ssh
26/tcp   open     rsftp
53/tcp   open     domain
83/tcp   open     mit-ml-dev
110/tcp  open     pop3
111/tcp  open     rpcbind
139/tcp  open     netbios-ssn
143/tcp  open     imap
389/tcp  open     ldap
443/tcp  open     https
445/tcp  open     microsoft-ds
1024/tcp filtered kdm
1723/tcp open     pptp
1947/tcp open     unknown
2000/tcp open     callbook
3128/tcp filtered squid-http
5222/tcp open     unknown
8080/tcp open     http-proxy
 

1947 порт

Code: [Select]

sudo netstat -anp | grep LISTEN | grep 1947
tcp        0      0 0.0.0.0:1947            0.0.0.0:*               LISTEN      2107/hasplmd

5222 порт

Code: [Select]

sudo netstat -anp | grep LISTEN | grep 5222
tcp        0      0 0.0.0.0:5222            0.0.0.0:*               LISTEN      2575/beam

UDP трафик

Code: [Select]

sudo netstat -anp | grep udp
udp        0      0 127.0.0.1:2790          0.0.0.0:*                           2105/winehasp   
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           933/avahi-daemon: r
udp        0      0 0.0.0.0:44403           0.0.0.0:*                           12778/squid     
udp        0      0 0.0.0.0:54262           0.0.0.0:*                           933/avahi-daemon: r
udp        0      0 192.168.122.1:123       0.0.0.0:*                           1692/ntpd       
udp        0      0 192.168.2.56:123        0.0.0.0:*                           1692/ntpd       
udp        0      0 192.168.1.56:123        0.0.0.0:*                           1692/ntpd       
udp        0      0 xx.xx.xx.xx:123       0.0.0.0:*                           1692/ntpd       
udp        0      0 127.0.0.1:123           0.0.0.0:*                           1692/ntpd       
udp        0      0 0.0.0.0:123             0.0.0.0:*                           1692/ntpd       
udp        0      0 0.0.0.0:5000            0.0.0.0:*                           1333/asterisk   
udp        0      0 xx.xx.xx.xx:137       0.0.0.0:*                           1801/nmbd       
udp        0      0 192.168.1.56:137        0.0.0.0:*                           1801/nmbd       
udp        0      0 192.168.2.56:137        0.0.0.0:*                           1801/nmbd       
udp        0      0 192.168.122.1:137       0.0.0.0:*                           1801/nmbd       
udp        0      0 0.0.0.0:137             0.0.0.0:*                           1801/nmbd       
udp        0      0 xx.xx.xx.xx:138       0.0.0.0:*                           1801/nmbd       
udp        0      0 192.168.1.56:138        0.0.0.0:*                           1801/nmbd       
udp        0      0 192.168.2.56:138        0.0.0.0:*                           1801/nmbd       
udp        0      0 192.168.122.1:138       0.0.0.0:*                           1801/nmbd       
udp        0      0 0.0.0.0:138             0.0.0.0:*                           1801/nmbd       
udp        0      0 0.0.0.0:1812            0.0.0.0:*                           7195/freeradius
udp        0      0 0.0.0.0:1813            0.0.0.0:*                           7195/freeradius
udp        0      0 0.0.0.0:1814            0.0.0.0:*                           7195/freeradius
udp        0      0 0.0.0.0:1947            0.0.0.0:*                           2107/hasplmd   
udp        0      0 0.0.0.0:2727            0.0.0.0:*                           1333/asterisk   
udp        0      0 0.0.0.0:4520            0.0.0.0:*                           1333/asterisk   
udp        0      0 192.168.122.1:53        0.0.0.0:*                           6156/named     
udp        0      0 192.168.2.56:53         0.0.0.0:*                           6156/named     
udp        0      0 192.168.1.56:53         0.0.0.0:*                           6156/named     
udp        0      0 xx.xx.xx.xx:53        0.0.0.0:*                           6156/named     
udp        0      0 127.0.0.1:53            0.0.0.0:*                           6156/named     
udp        0      0 192.168.122.1:53        0.0.0.0:*                           1622/dnsmasq   
udp        0      0 0.0.0.0:3130            0.0.0.0:*                           12778/squid     
udp        0      0 0.0.0.0:51008           0.0.0.0:*                           2107/hasplmd   
udp        0      0 0.0.0.0:67              0.0.0.0:*                           1622/dnsmasq   
udp        0      0 0.0.0.0:5060            0.0.0.0:*                           1333/asterisk   
udp        0      0 0.0.0.0:69              0.0.0.0:*                           1796/in.tftpd   
udp        0      0 127.0.0.1:11211         0.0.0.0:*                           4174/memcached 
udp        0      0 0.0.0.0:4569            0.0.0.0:*                           1333/asterisk   
udp6       0      0 fe80::e852:4dff:fe8:123 :::*                                1692/ntpd       
udp6       0      0 fe80::205:5dff:fe4c:123 :::*                                1692/ntpd       
udp6       0      0 fe80::20d:88ff:fe65:123 :::*                                1692/ntpd       
udp6       0      0 ::1:123                 :::*                                1692/ntpd       
udp6       0      0 fe80::215:f2ff:fe31:123 :::*                                1692/ntpd       
udp6       0      0 :::123                  :::*                                1692/ntpd       
udp6       0      0 ::1:56064               ::1:56064               ESTABLISHED 1475/postgres: ebox
Пользователей с UID=0 кроме рута никого.
Левых ключей в /root/.ssh/ нет
Проверка /var/log/rkhunter.log

Code: [Select]

07:55:25] Performing filesystem checks
[07:55:25] Info: Starting test name 'filesystem'
[07:55:25] Info: SCAN_MODE_DEV set to 'THOROUGH'
[07:55:25]   Checking /dev for suspicious file types         [ Warning ]
[07:55:25] Warning: Suspicious file types found in /dev:
[07:55:25]          /dev/shm/pulse-shm-1675745118: AmigaOS bitmap font
[07:55:26]   Checking for hidden files and directories       [ Warning ]
[07:55:26] Warning: Hidden directory found: /dev/.udev
[07:55:26] Warning: Hidden directory found: /dev/.initramfs
[07:55:26]
[07:55:26] Info: Test 'apps' disabled at users request.
[07:55:26]
[07:55:26] System checks summary
[07:55:26] =====================
[07:55:26]
[07:55:26] File properties checks...
[07:55:26] Files checked: 133
[07:55:26] Suspect files: 0
[07:55:26]
[07:55:26] Rootkit checks...
[07:55:26] Rootkits checked : 245
[07:55:26] Possible rootkits: 0
[07:55:26]
[07:55:26] Applications checks...
[07:55:26] All checks skipped
[07:55:26]
[07:55:26] The system checks took: 4 minutes and 33 seconds

И в итоге, что это? Моя паранойя или все-таки идет какая-то рассылка?

Как еще можно проверить, куда залезть, что посмотреть, заранее огромное спасибо.

[GriefNorth]

Блииин, люди добрые помогите. А то даже гугл забанил. Никак не пойму откуда идет паразитный трафик.

[GriefNorth]

Из-за этого еще в lightsquid'е в отчетах появилась куча всяких IP, которые не относятся к моей сетке. Че делать? куда бечь?

[Neksi]

Программы не имеющие отношения к Zentyal
Посмотри для чего используется порт 1830
Что в сервере делает wine?

[GriefNorth]

Программы не имеющие отношения к Zentyal
Посмотри для чего используется порт 1830
Что в сервере делает wine?

Проверял netstat -anp | grep LISTEN | grep 1830 ничем не используется, ды он и закрыт вроде.
А вайн от ключа hasp, но как такого его и нет.

[Neksi]

Разве не ты писал
"... что куча пакетов идет с порта 1830 на домен mail.nns.net.ru, ..."

Этот порт в локальной сети кто-то использует и выходит через прокси , возможно торрент клиент, агент с рекламмой  или просто зараза

у моего клиента с этого и еще нескольких других служебных портов шла рассылка после посещения нехороших сайтов

[GriefNorth]

Разве не ты писал
"... что куча пакетов идет с порта 1830 на домен mail.nns.net.ru, ..."

Этот порт в локальной сети кто-то использует и выходит через прокси , возможно торрент клиент, агент с рекламмой  или просто зараза

у моего клиента с этого и еще нескольких других служебных портов шла рассылка после посещения нехороших сайтов

Хорошо, допустим и такое. А как можно обезопасить себя от этого, допустим оставить только нужные порты для http? https, почты, короче все только для работы никакого bittorenta, и по возможности Танчиков.

[GriefNorth]

Разве не ты писал
"... что куча пакетов идет с порта 1830 на домен mail.nns.net.ru, ..."

Этот порт в локальной сети кто-то использует и выходит через прокси , возможно торрент клиент, агент с рекламмой  или просто зараза

у моего клиента с этого и еще нескольких других служебных портов шла рассылка после посещения нехороших сайтов

А теперь самое веселое, вечером в 11, конекчусь из дома к шлюзу на работе по ssh. Запускаю iptraf по eth1 - 0 активности, по eth2 - 0 активности. И на сладенькое по eth0 через сквидовский порт лезет все та же дрянь, по разным адресам и портам. Что за бяда ? Стоит остановить сквид, вся активность прекращается.

[logdog]

поставить что-то в духе bandwidthd - и убедиться, что паразитный траффик идёт не с машины в локальной сети...

может это поможет: http://www.corrupteddatarecovery.com/Port/1830-Port-Type-tcpudp-net8-cman.asp

[GriefNorth]

поставить что-то в духе bandwidthd - и убедиться, что паразитный траффик идёт не с машины в локальной сети...

может это поможет: http://www.corrupteddatarecovery.com/Port/1830-Port-Type-tcpudp-net8-cman.asp

Извини, но все забыли про 1830 порт, отловил я его еще днем, в локалке дрянь сидела, сейчас же сетевой активности вообще нет, а вот через сквид трафик идет. Возможен ли такой вариант, что кто-то из вне, сконнектился на порт сквида и юзает его в своих целях? Под кем-то, я понимаю каких либо ботов.

[logdog]

А что в наcтройках фаервола вообще? (Правила фильтрации из внешних сетей на Zentyal)
Что в журналах фаервола?

[GriefNorth]

А что в наcтройках фаервола вообще? (Правила фильтрации из внешних сетей на Zentyal)
Что в журналах фаервола?

Все по дефолту стоит.

Code: [Select]

Deny   Any POP Transparent proxy --      
Deny   Any jabber --        
Deny   Any Mail Submission --        
Deny   Any Incoming Mail --        
Accept Any ! SMTP --        
Deny   Any VoIP --
настроено лишь перенаправление портов. Руками еще закрыл 3128 порт, вроде пока чисто и тихо, буду наблюдать дальше. Но в отчетах lightsquid все равно есть левый IPшники...

[rubic]

Зайдите в Network - Interfaces - eth0 и убедитесь, что стоит галка External (WAN)

   

[GriefNorth]

Zentyal тупанул и я вместе с ним, притом непростительно тупанул, у него наружу были открыты порты сквида и дансгвардиана, тобишь 3128 и 3129. Закрыл и все нормально стало.
Следом возникает вопрос, как перекрыть весь входящий и исходящий трафик только по нужным портам. Особенно интересует UDP трафик.