Traceroute MALUCO!

leuzimba
(usa Outra)

Enviado em 03/03/2013 - 21:47h

Estou com problema no TRACEROUTE, na verdade acredito que meu servidor esteja com algum worm, trojan ou qualquer coisa do tipo que possa influenciar nisso.

Veja só o tracert.

###########

Rastreando a rota para google.com.br [74.125.140.94]
com no máximo 30 saltos:

1 4294967173 ms 4294967173 ms 4294967173 ms 192.168.2.254
2 4294967174 ms 4294967174 ms 4294967174 ms 172.16.0.1
3 4294967179 ms 4294967180 ms 4294967179 ms 187.115.211.200
4 4294967180 ms 4294967180 ms 4294967183 ms 200.175.57.158
5 4294967193 ms 4294967192 ms 4294967193 ms 187.115.212.69
6 4294967189 ms 4294967197 ms 4294967196 ms 187.115.213.58
7 4294967191 ms 4294967189 ms 4294967189 ms 187.115.215.74
8 4294967201 ms 4294967196 ms 4294967197 ms 187.115.213.86
9 * * * Esgotado o tempo limite do pedido.
10 24 ms 4294967196 ms 4294967200 ms 209.85.243.198
11 7 ms 7 ms 7 ms 209.85.249.47
12 143 ms 19 ms 18 ms 216.239.48.192
13 159 ms 19 ms 18 ms 209.85.248.31
14 * * * Esgotado o tempo limite do pedido.
15 19 ms 19 ms 19 ms 74.125.140.94

Rastreamento concluído.

############

Alguém sabe me dizer o que pode ser isto ?

renato_pacheco
(usa Debian)

Enviado em 04/03/2013 - 11:07h

Pq maluco? Não vi ainda o problema...

albfneto
(usa openSUSE)

Enviado em 04/03/2013 - 11:11h

não vejo nenhum problema, rota normal. Apenas um pouco congestionado.
afinal é Google é o tráfego é forte.
Linux não pega worm, nem trojan, apenas uns pouquissimos rootkits, muito raros.

leuzimba
(usa Outra)

Enviado em 04/03/2013 - 11:44h

Mas qualquer site que eu tente fazer traceroute tá esse mesmo problema.. meu IFTOP tá maluco também.. vários IPs Externos usando meu SQUID, DNS.. e não consigo bloquear.. nem bloqueando com INPUT -j DROP

leuzimba
(usa Outra)

Enviado em 04/03/2013 - 11:47h

Olha os milesegundos.. qualquer site está assim..

renato_pacheco
(usa Debian)

Enviado em 04/03/2013 - 11:50h

Mas não tem nada a v uma coisa com a outra. Se estão usando seu Squid e DNS, é pq vc não bloqueou corretamente os acessos, disponibilizando-os externamente. Sobre o rastreamento das rotas, pra mim continua normal.

leuzimba
(usa Outra)

Enviado em 04/03/2013 - 12:25h

Renato, a meu ver,estou com essa lentidão talvez por nao estar bloqueando de forma certa... Como bloqueio esses acessos? E como verifico se tenho um rootkit?

Rootkit já verifiquei, nao tem nada.. Só meu iptables que não está 100%..

Debian 6.0.. as configurações utilizo em versão do UBUNTU e bloqueia tranquilamente.

renato_pacheco
(usa Debian)

Enviado em 04/03/2013 - 13:29h

Um rootkit vc v com o programa Rootkit Hunter (http://www.rootkit.nl/projects/rootkit_hunter.html). Poste suas regras d iptables aki.

leuzimba
(usa Outra)

Enviado em 04/03/2013 - 13:43h

### Limpando as regras ###

iptables -F INPUT

iptables -F OUTPUT

iptables -F FORWARD

echo "Limpando todas as regras .................[ OK ]"

# Definindo a Politica Default das Cadeias

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT

echo "Setando as regras padrao .................[ OK ]"



### Passo 2: Desabilitar o trafego IP entre as placas de rede ###

echo "0" > /proc/sys/net/ipv4/ip_forward

echo "Setando ip_foward ........................[ OK ]"



IADSL=eth0

IWAVE=eth4



ILAN1=eth1

ILAN2=eth2

ILAN3=eth3



ILocal=lo



# Redes Internas

LAN1=192.168.0.0/24

LAN2=192.168.1.0/24

LAN3=192.168.2.0/24



ADSL=172.16.0.2

WAVE=172.16.10.2





# Configurando a Protecao anti-spoofing

for spoofing in /proc/sys/net/ipv4/conf/*/rp_filter; do

	echo "1" > $spoofing

done

echo "Setando a protecao anti-spoofing .........[ OK ]"

# Impedimos que um atacante possa maliciosamente alterar alguma rota

echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

echo "Setando anti-redirecionamento ............[ OK ]"

# Utilizado em diversos ataques, isso possibilita que o atacante determine o "caminho" que seu

# pacote vai percorrer (roteadores) ate seu destino. Junto com spoof, isso se torna muito perigoso.

echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

echo "Setando anti_source_route.................[ OK ]"

# Protecao contra responses bogus

echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

echo "Setando anti-bogus_response ..............[ OK ]"

# Protecao contra ataques de syn flood (inicio da conexao TCP). Tenta conter ataques de DoS.

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

echo "Setando protecao anti_synflood ...........[ OK ]"



# Protecao contra port scanners ocultos

iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#iptables -A INPUT -s 0.0.0.0/0 -p icmp -j DROP



# Bloqueando tracertroute

#iptables -A INPUT -p udp -s 0/0 -i $IADSL --dport 33435:33525 -j DROP

#iptables -A INPUT -p udp -s 0/0 -i $IWAVE --dport 33435:33525 -j DROP



#Protecoes contra ataques

iptables -A INPUT -m state --state INVALID -j DROP

#iptables -A OUTPUT -p tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP //ERRO



#Ping da morte

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#Protecao contra Syn-floods

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT



### Passo 3: Carregando os modulos do iptables ###

modprobe ip_tables

modprobe iptable_filter

modprobe iptable_mangle

modprobe iptable_nat

modprobe ipt_MASQUERADE

modprobe ip_nat_ftp

modprobe ip_conntrack_ftp

modprobe ip_conntrack_irc

echo "Carregando modulos do iptables ...........[ OK ]"





### Passo 4: Agora, vamos definir o que pode passar e o que nao ###

# Cadeia de Entrada

# LOCALHOST - ACEITA TODOS OS PACOTES

iptables -A INPUT -i lo -j ACCEPT



# PORTA $http - ACEITA PARA A REDE LOCAL

iptables -A INPUT -i $ILAN1 -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -i $ILAN2 -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -i $ILAN3 -p tcp --dport 80 -j ACCEPT





# PORTA 22 - ACEITA PARA A REDE LOCAL

iptables -A INPUT -i $ILAN1 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -i $ILAN2 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -i $ILAN3 -p tcp --dport 22 -j ACCEPT

#iptables -A INPUT -i $IADSL -p tcp --dport 22 -j ACCEPT

#iptables -A INPUT -i $IWAVE -p tcp --dport 22 -j ACCEPT



# PORTA WTS

iptables -A INPUT -i $IADSL -p tcp --dport 3389 -j ACCEPT

iptables -A INPUT -i $IWAVE -p tcp --dport 3389 -j ACCEPT



#SAMBA

iptables -A INPUT -p tcp --dport 137:139 -j ACCEPT

iptables -A INPUT -p udp --dport 137:139 -j ACCEPT



#PING

#iptables -A INPUT -p ICMP -i $LAN1 -j ACCEPT

#iptables -A INPUT -p ICMP -i $LAN2 -j ACCEPT

#iptables -A INPUT -p ICMP -i $LAN3 -j ACCEPT

iptables -A INPUT -p ICMP -i $ADSL -j ACCEPT

iptables -A INPUT -p ICMP -i $WAVE -j ACCEPT



# No iptables, temos de dizer quais sockets sao validos em uma conexao

iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

iptables -A INPUT -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL: INPUT "



echo "Setando regras para INPUT ................[ OK ]"



################################

# Cadeia de Reenvio (FORWARD).

# Primeiro, ativar o mascaramento (nat).

#iptables -t nat -F POSTROUTING

iptables -t nat -A POSTROUTING -o lo -j ACCEPT



iptables -t nat -A POSTROUTING -s $LAN1 -o $ILAN1 -j ACCEPT

iptables -t nat -A POSTROUTING -s $LAN2 -o $ILAN2 -j ACCEPT

iptables -t nat -A POSTROUTING -s $LAN3 -o $ILAN3 -j ACCEPT



iptables -t nat -A POSTROUTING -s $LAN1 -o $IADSL -j MASQUERADE

iptables -t nat -A POSTROUTING -s $LAN2 -o $IADSL -j MASQUERADE

iptables -t nat -A POSTROUTING -s $LAN3 -o $IADSL -j MASQUERADE



iptables -t nat -A POSTROUTING -s $LAN1 -o $IWAVE -j MASQUERADE

iptables -t nat -A POSTROUTING -s $LAN2 -o $IWAVE -j MASQUERADE

iptables -t nat -A POSTROUTING -s $LAN3 -o $IWAVE -j MASQUERADE



iptables -t nat -A POSTROUTING -o $LAN1 -d $ILAN1 -j LOG --log-prefix "FIREWALL: SNAT unknown"

iptables -t nat -A POSTROUTING -o $LAN1 -d $ILAN1 -j DROP

iptables -t nat -A POSTROUTING -o $LAN2 -d $ILAN2 -j LOG --log-prefix "FIREWALL: SNAT unknown"

iptables -t nat -A POSTROUTING -o $LAN2 -d $ILAN2 -j DROP

iptables -t nat -A POSTROUTING -o $LAN3 -d $ILAN3 -j LOG --log-prefix "FIREWALL: SNAT unknown"

iptables -t nat -A POSTROUTING -o $LAN3 -d $ILAN3 -j DROP



iptables -t nat -A POSTROUTING -o $IADSL -j ACCEPT

iptables -t nat -A POSTROUTING -o $IWAVE -j ACCEPT



iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL: SNAT-LOG "

iptables -t nat -A POSTROUTING -j DROP

echo "Ativando mascaramento de IP ..............[ OK ]"



## Redireciona para SQUID 

#iptables -t nat -A PREROUTING -i $ILAN -p tcp --dport $http -j REDIRECT --to-port $squid

#iptables -t nat -A PREROUTING -i $ILAN -p tcp --dport $https -j REDIRECT --to-port $squid



# REDIRECIONAMENTOS

#WTS

iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth4 --dport 3389 -j DNAT --to-destination 192.168.2.1:3389

iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 3389 -j DNAT --to-destination 192.168.2.1:3389



#ACESSO SISTEMA

iptables -t nat -A PREROUTING -d xxx -p tcp --dport 80 -j DNAT --to 192.168.0.254

iptables -t nat -A PREROUTING -d xxx -p tcp --dport 80 -j DNAT --to 192.168.0.254





# Agora dizemos quem e o que podem acessar externamente

# No iptables, o controle do acesso a rede externa e feito na cadeia "FORWARD"

# Abre para a interface de loopback.

iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT



# Abre para uma faixa de enderecos da rede local

iptables -A INPUT -p tcp --syn -s $LAN1 -j ACCEPT

iptables -A INPUT -p tcp --syn -s $LAN2 -j ACCEPT

iptables -A INPUT -p tcp --syn -s $LAN3 -j ACCEPT



# ACEITA TODOS OS PACOTES

#iptables -A FORWARD -s 192.168.1.4 -j ACCEPT

iptables -A FORWARD -s $LAN1 -j ACCEPT

iptables -A FORWARD -s $LAN2 -j ACCEPT

iptables -A FORWARD -s $LAN3 -j ACCEPT







# ROTAS

iptables -A PREROUTING -i $ILAN1 -t mangle -s $LAN1 -j MARK --set-mark 201

iptables -t nat -A POSTROUTING -s $LAN1 -d 0/0 -j SNAT --to $ADSL

iptables -t nat -A POSTROUTING -s $LAN1 -d 0/0 -o eth0 -j MASQUERADE



iptables -A PREROUTING -i $ILAN2 -t mangle -s $LAN2 -j MARK --set-mark 201

iptables -t nat -A POSTROUTING -s $LAN2 -d 0/0 -j SNAT --to $ADSL

iptables -t nat -A POSTROUTING -s $LAN2 -d 0/0 -o eth0 -j MASQUERADE



iptables -A PREROUTING -i $ILAN3 -t mangle -s $LAN3 -j MARK --set-mark 200

iptables -t nat -A POSTROUTING -s $LAN3 -d 0/0 -j SNAT --to $WAVE

iptables -t nat -A POSTROUTING -s $LAN3 -d 0/0 -o $IWAVE -j MASQUERADE





# Qualquer outra origem de tráfego desconhecida indo para eth0 (conexões vindas 

# de eth3) são bloqueadas aqui

iptables -t nat -A POSTROUTING -o eth1 -d 192.168.0.0/24 -j LOG --log-prefix "FIREWALL: SNAT unknown "

iptables -t nat -A POSTROUTING -o eth1 -d 192.168.0.0/24 -j DROP

iptables -t nat -A POSTROUTING -o eth2 -d 192.168.2.0/24 -j LOG --log-prefix "FIREWALL: SNAT unknown "

iptables -t nat -A POSTROUTING -o eth2 -d 192.168.2.0/24 -j DROP

iptables -t nat -A POSTROUTING -o eth3 -d 192.168.3.0/24 -j LOG --log-prefix "FIREWALL: SNAT unknown "

iptables -t nat -A POSTROUTING -o eth3 -d 192.168.3.0/24 -j DROP





# PORTA 3128 - ACEITA PARA A REDE LOCAL

iptables -A FORWARD -i $ILAN1 -p tcp --dport 3128 -j ACCEPT

iptables -A FORWARD -i $ILAN2 -p tcp --dport 3128 -j ACCEPT

iptables -A FORWARD -i $ILAN3 -p tcp --dport 3128 -j ACCEPT

# PORTA 53 - ACEITA PARA A REDE LOCAL

iptables -A FORWARD -i $ILAN1 -p udp --dport 53 -j ACCEPT

iptables -A FORWARD -i $ILAN2 -p udp --dport 53 -j ACCEPT

iptables -A FORWARD -i $ILAN3 -p udp --dport 53 -j ACCEPT

# PORTA 110 - ACEITA PARA A REDE LOCAL

iptables -A FORWARD -i $ILAN1 -p tcp --dport 110 -j ACCEPT

iptables -A FORWARD -i $ILAN2 -p tcp --dport 110 -j ACCEPT

iptables -A FORWARD -i $ILAN3 -p tcp --dport 110 -j ACCEPT

# PORTA 25 - ACEITA PARA A REDE LOCAL

iptables -A FORWARD -i $ILAN1 -p tcp --dport 25 -j ACCEPT

iptables -A FORWARD -i $ILAN2 -p tcp --dport 25 -j ACCEPT

iptables -A FORWARD -i $ILAN3 -p tcp --dport 25 -j ACCEPT

# PORTA 587 - ACEITA PARA A REDE LOCAL

iptables -A FORWARD -i $ILAN1 -p tcp --dport 587 -j ACCEPT

iptables -A FORWARD -i $ILAN2 -p tcp --dport 587 -j ACCEPT

iptables -A FORWARD -i $ILAN3 -p tcp --dport 587 -j ACCEPT

# PORTA 995 - ACEITA PARA A REDE LOCAL

iptables -A FORWARD -i $ILAN1 -p tcp --dport 995 -j ACCEPT

iptables -A FORWARD -i $ILAN2 -p tcp --dport 995 -j ACCEPT

iptables -A FORWARD -i $ILAN3 -p tcp --dport 995 -j ACCEPT

# PORTA 465 - ACEITA PARA A REDE LOCAL

iptables -A FORWARD -i $ILAN1 -p tcp --dport 465 -j ACCEPT

iptables -A FORWARD -i $ILAN2 -p tcp --dport 465 -j ACCEPT

iptables -A FORWARD -i $ILAN3 -p tcp --dport 465 -j ACCEPT

# PORTA 443 - ACEITA PARA A REDE LOCAL

iptables -A FORWARD -i $ILAN1 -p tcp --dport 443 -j ACCEPT

iptables -A FORWARD -i $ILAN2 -p tcp --dport 443 -j ACCEPT

iptables -A FORWARD -i $ILAN3 -p tcp --dport 443 -j ACCEPT

# PORTA 21 - ACEITA PARA A REDE LOCAL

iptables -A FORWARD -i $ILAN1 -p tcp --dport 21 -j ACCEPT

iptables -A FORWARD -i $ILAN2 -p tcp --dport 21 -j ACCEPT

iptables -A FORWARD -i $ILAN3 -p tcp --dport 21 -j ACCEPT



echo "Liberando ping"

iptables -A FORWARD -p ICMP -i $ILAN1 -j ACCEPT

iptables -A FORWARD -p ICMP -i $ILAN2 -j ACCEPT

iptables -A FORWARD -p ICMP -i $ILAN3 -j ACCEPT

iptables -A FORWARD -p ICMP -i $ADSL -j ACCEPT

iptables -A FORWARD -p ICMP -i $WAVE -j ACCEPT

# No iptables, temos de dizer quais sockets sao validos em uma conexao

iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

echo "Setando regras para FOWARD ...............[ OK ]"



# Apesar do padrao do forward ser bloqueio. Aqui a regra eh duplicada para gerar log,

# ou seja, tudo o que eh bloqueado por default no forward eh logado aqui

iptables -A FORWARD -m limit --limit 2/m -j LOG --log-prefix "FORWARD: Bloqueio Padrao "

iptables -A FORWARD -j DROP





#PRIORIZA PACOTES

iptables -t mangle -A PREROUTING -p tcp --dport 5060 -j TOS --set-tos 16

iptables -t mangle -A PREROUTING -p udp --dport 1000:20000 -j TOS --set-tos 8

iptables -t mangle -A PREROUTING -p tcp --dport 80 -j TOS --set-tos 8

iptables -t mangle -A PREROUTING -p udp --dport 80 -j TOS --set-tos 8



iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 5060 -j TOS --set-tos 16

iptables -t mangle -A OUTPUT -o eth0 -p udp --dport 10000:20000 -j TOS --set-tos 8

iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 80 -j TOS --set-tos 8

iptables -t mangle -A OUTPUT -o eth0 -p udp --dport 80 -j TOS --set-tos 8



iptables -t mangle -A OUTPUT -o eth4 -p tcp --dport 5060 -j TOS --set-tos 16

iptables -t mangle -A OUTPUT -o eth4 -p udp --dport 10000:20000 -j TOS --set-tos 8

iptables -t mangle -A OUTPUT -o eth4 -p tcp --dport 80 -j TOS --set-tos 8

iptables -t mangle -A OUTPUT -o eth4 -p udp --dport 80 -j TOS --set-tos 8

# Finalmente: Habilitando o trafego IP, entre as Interfaces de rede

echo "1" > /proc/sys/net/ipv4/ip_forward

# Ignora qualquer pacote de entrada, vindo de qualquer endereco, a menos

# que especificado o contrario acima, Bloqueia tudo.

iptables -A INPUT -p tcp --syn -j DROP

iptables -A INPUT -p tcp -j DROP

iptables -A INPUT -p udp -j DROP

echo "Setando ip_foward: ON ....................[ OK ]"

echo "Firewall configurado com sucesso .........[ OK ]"

 

renato_pacheco
(usa Debian)

Enviado em 04/03/2013 - 14:37h

Faça diferente: com uma máquina q não esteja na sua rede, faça uma varredura d portas no IP externo da sua rede e comprove se o squid tá aberto msm. Use o Nmap.

leuzimba
(usa Outra)

Enviado em 04/03/2013 - 14:50h

Not shown: 1691 closed ports

PORT      STATE    SERVICE

21/tcp    open     ftp

22/tcp    open     ssh

25/tcp    filtered smtp

53/tcp    filtered domain

69/tcp    filtered tftp

80/tcp    open     http

135/tcp   filtered msrpc

136/tcp   filtered profile

137/tcp   filtered netbios-ns

138/tcp   filtered netbios-dgm

139/tcp   filtered netbios-ssn

445/tcp   filtered microsoft-ds

593/tcp   filtered http-rpc-epmap

1433/tcp  filtered ms-sql-s

1434/tcp  filtered ms-sql-m

3000/tcp  open     ppp

3128/tcp  filtered squid-http

3389/tcp  open     ms-term-serv

4444/tcp  filtered krb524

6588/tcp  filtered analogx

12345/tcp filtered NetBus

12346/tcp filtered NetBus

31337/tcp filtered Elite

 

Veja só.. mesmo com script aplicado.. continua tudo aberto

renato_pacheco
(usa Debian)

Enviado em 04/03/2013 - 14:59h

Kra, não sei pq q na varredura aparece "filtered", não deveria aparecer. Eu tou suspeitando q seja as seguintes regras:

iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

 

Comente-as, recarregue seu script e faça a varredura outra vez.