Arveluttavaa kaistankulutusta

[MrFukov]

Nyt olen jo hetken ihmetellyt miksi ubuntu palvelimeni kuluttaa kaistaa, vaikkei kävijöitä pitäisi paljoa olla.
Aloin selvittämään asiaa ja Ethereal antaa analyysissään kauhean kasan yhteyksiä Puolaan. Aloinkin epäilemään onko palvelimella jokin haittaohjelma ja nyt onkin enään epäselvää mikä?
Eli Yhteyksiä syntyy puolaan vähän väliä. Firestarer näyttää yhtyksiä olevan aivan oudosti portteihin 4600-4700. Vaikka lisään portit firestarterin kiellettyihin ei se auta.
Ajattelin että tiettyjen puolalaisten osoitteiden blockaaminen auttaa.. mutta niitä tuntuu tulevan loputtomasti. Eli aina kun saan yhden katkaistua tulee toinen pinenellä viiveellä.
Ja todellakaan en halua että palvelinkonettani käytetään mihinkään zombiverkostoon yms.

Firestarterin versio 1.0.0 mietityttää.. kun siitä on jo julkaistu 1.0.3. Ainoa ongelma on etten saa sitä asennettua niin mistään. apt-get ei löydä (löytää mutta paketti puuttuu palvelimelta) ja muualla neuvotaan vain apt-get:ia käyttämään.. joten jos joku tietää osoitteen mistä saan sen ladattua ubuntulle sopivana olisin kiitollinen osoitteesta.

Palvelimella on apache2, php4, mysql, win4lin9x. Sivulla pyörii phpbb ja gallery 2.01

Kiitos jo etukäteen

[juuso65]

jokin palvelinmatohan on liikkeellä ....

http://keskustelu.afterdawn.com/thread_view.cfm/255184
http://www.raja-antura.org/modules.php?op=modload&name=News&file=article&sid=1183&mode=thread&order=0&thold=0

mutta noissa kyllä mainitaan eri portit ... joten... 

[stfu]

Katsoitko chkrootkitillä löytyykö mitään tunnettuja?

http://www.rootkit.nl/projects/rootkit_hunter.html

Löytyy myös repoista.

[LittleLion]

Firestarer näyttää yhtyksiä olevan aivan oudosti portteihin 4600-4700. Vaikka lisään portit firestarterin kiellettyihin ei se auta.

Kumpaan suuntaan nuo yhteydet on? Koneesta ulospäin vain koneeseen sisäänpäin? Käskyllä: netstat -tnp voit katsoa
mitä yhteyksiä on tällä hetkellä auki ja mihin suuntaa.  jos lisäät parametriksi vielä a:n niin näet myös mitä portteja koneesi kuuntelee.

Ajattelin että tiettyjen puolalaisten osoitteiden blockaaminen auttaa.. mutta niitä tuntuu tulevan loputtomasti. Eli aina kun saan yhden katkaistua tulee toinen pinenellä viiveellä. Ja todellakaan en halua että palvelinkonettani käytetään mihinkään zombiverkostoon yms.

Hyökkäys yrityksiä rajoittaa aika tehokkaasti se, kun estät sen vastaamasta pingiin. Ja jos vielä käytössä dhcp:ltä tuleva ip-osoite
niin käytät koneesi kiinni ja resetoit adsl/kaapeli/mikä_sulla_lie_onkaan modeemin niin saat uuden ip:n.

Firestarterin versio 1.0.0 mietityttää.. kun siitä on jo julkaistu 1.0.3. Ainoa ongelma on etten saa sitä asennettua niin mistään. apt-get ei löydä (löytää mutta paketti puuttuu palvelimelta) ja muualla neuvotaan vain apt-get:ia käyttämään.. joten jos joku tietää osoitteen mistä saan sen ladattua ubuntulle sopivana olisin kiitollinen osoitteesta.

Onhan käytössä Breezy? Synapticista voit pakottaa sen käyttäämään uusinta versiota kohtasta: Force Version

Palvelimella on apache2, php4, mysql, win4lin9x. Sivulla pyörii phpbb ja gallery 2.01

Ja näiden kaikkien uusimmat versiot on asennettuna? Siis uusimmat mitä resposta löytyy ja ne ohjelmat mitkä ei löydy resposta niin muuten vaan
uusimmat versiot.


Ja onhan sulla pakettilistassa myös updates ja security lähteet käytössä? Toimivan pakettilistan löydät vaikka täältä: http://forum.ubuntu-fi.org/index.php?topic=672.0

[mrfukov]

Eli lähdetään siitä että päivitykset olivat osittain vanhentuneita (muutama kuukausi max). Tämä johtui taas ubuntuguide.org:n virheellisestä lähdeluettelosta joka on nykyisin taas toimiva. Eli päivityksiä tuli lähen kaikkeen.

Ongelma ei kuitenkaan hävinnyt. Portit 4600-4700 eivät enään häiritse.. Nykyisin kaikki liikenne kulkee portin 80 kautta (apache), mutta olisiko mahdollista että apache olisi saanut jonkin tartunnan.. uudelleenasennus ei auttanut ja conffien tarkistukset osoittautuivat turhiksi.

Rootkit antoi muuten puhtaan tuloksen, mutta win4lin:in kohdalla tuli pitkä floodi. Ohjelma ei kuitenkaan sano että siellä vika olisi, vaan antaa pitkäs listan eri tiedostoista. olisikohan syytä kokeilla win4lin:n uudelleenasennusta? (vaikka sen sammuttaa liikennöinti ei pysähdy)

[LittleLion]

Eli lähdetään siitä että päivitykset olivat osittain vanhentuneita (muutama kuukausi max). Tämä johtui taas ubuntuguide.org:n virheellisestä lähdeluettelosta joka on nykyisin taas toimiva. Eli päivityksiä tuli lähen kaikkeen.

Olethan tarkistanut sen /tmp kansion, että siellä ei ole mitää lupii tai vastaavaa tiedostoa/kansiota? Se on se uusi Linux virus mitä ei tuo chkrootkit:kään tunnista.
Jos se löytyy kannattaa googlettaa ohjeita tuon poistamiseksi. Jos ei löydy ei hätää.

Ongelma ei kuitenkaan hävinnyt. Portit 4600-4700 eivät enään häiritse.. Nykyisin kaikki liikenne kulkee portin 80 kautta (apache), mutta olisiko mahdollista että apache olisi saanut jonkin tartunnan.. uudelleenasennus ei auttanut ja conffien tarkistukset osoittautuivat turhiksi.

Jos konellasi on apache palvelu pyörimässä on normaalia, että 80 porttiin tulee liikennettä. (eihän se muuten toimi)

Ongelma varmaakin johtuu siitä, että joku yrittää palvelunestohyökkäystä koneellesi ja liikennettä tulee älyttömän paljon.
Knock ohjelmalla voi rajoittaa jostakin IP-osoitteesta sallittujen yhtäaikaisten yhteyksien määrää: http://www.zeroflux.org/cgi-bin/cvstrac/knock/wiki

Ja edelleen muistutan, että suurin osa palvelunestohyökkäyksien tekijöistä testaa ensin ping:illä onko kone ylhäällä, joten jos estät konettasi vastaamasta ping:iin
julkisesta verkosta turhaliikenne varmastikkin vähenee. (tuohan ei vaikuta palvelun toimivuuteen millään tavalla)

[mrfukov]

Eilen illalla sain koneeni tarpeeksi jumiin etten päässyt edes gnomeen.. varmuuskopiot ftp:n yli ja täysi uudelleenasennus.
Eli nyt on puhdas kone ja päivä sen säätämiseen meni.. Nykyisinkin puolalaiset häiritsevät, mutta tälläkertaa yhteydet menevät asiallisesti apache:n kautta (sulkiessa apachen katkeavat yhteydetkin toisin kuin aikaisemmin).

edelleen muistutan, että suurin osa palvelunestohyökkäyksien tekijöistä testaa ensin ping:illä onko kone ylhäällä, joten jos estät konettasi vastaamasta ping:iin
julkisesta verkosta turhaliikenne varmastikkin vähenee. (tuohan ei vaikuta palvelun toimivuuteen millään tavalla)

Miten tuo pingiin vastaaminen kiellettiin..  ei nyt heti tullut mieleen.
Eihän kukaan sattuisi tietämään miten saisi estettyä esim kaikki puolasta tulevat yhteydet, vaikkakin nyt näyttää niiden määrä tippuvan. (uskoakseni minun palvelimella ei ole mitään heille hyödyllistä)

[LittleLion]

Miten tuo pingiin vastaaminen kiellettiin..  ei nyt heti tullut mieleen.

Firestarterilla onnistuu

Eihän kukaan sattuisi tietämään miten saisi estettyä esim kaikki puolasta tulevat yhteydet, vaikkakin nyt näyttää niiden määrä tippuvan.

En usko, että on mahdollista.

(uskoakseni minun palvelimella ei ole mitään heille hyödyllistä)

Haluavat liittää sen osaksi zombiverkkoa.

[moonstone]

Kannattaa lukea ohjeita palvelimen pystyttämisestä ja sen suojaamisesta.
http://www.tldp.org

Sieltä etsi.

Paljon pitää tehdä, että palvelimesta saapi turvallisen.

[mrfukov]

Nyt on kone muuten kunnossa. mysql 4.1:tä en käytä koska se toimii aina yhden bootin verran. Eli asennuksen jälkeen se on käynnissä mutta restart ei toimi.
Nyt on taas muutama uudelleenasennus takana ja lähes kaikki siis toimii. Ainoa ongelma on, etten saa palautettua MySQL Administrator ohjelmalla tekemiäni varmuuskopioita (koneessa oli silloin mysql 4.1). Ohjelma ei tunnista merkistöä ja ei siis osaa palauttaa.
Ilmeisesti pitää vain yrittää kaikenlaista. (phpmyadmin ei valita mutta ei myöskään toimi:)

Kiitos neuvoista ja vinkeistä. Eiköhän tässä jo pärjäillä.
(niin ja ne oudot verkkoyhteydet kanssa hävisivät uudelleenasennuksen ja pingin kiellon jälkeen)