Se me agregan rutas desconocidas

Imagen de iknaxio

Forums: 

Saludos Foreros,

Este fin de semana, e incluso ayer estuve con un problema con mi servidor web. No se dejaba ver por nada del mundo como se encuentra tras un checkpoint pensé que el problema en si era él. Luego al hacer un route -n me aparecieron un poco de hosts desconocidos:


[root@web procesos]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
84.174.158.190 - 255.255.255.255 !H 0 - 0 -
59.10.228.96 - 255.255.255.255 !H 0 - 0 -
122.47.108.41 - 255.255.255.255 !H 0 - 0 -
222.100.248.63 - 255.255.255.255 !H 0 - 0 -
68.119.211.3 - 255.255.255.255 !H 0 - 0 -
219.91.71.135 - 255.255.255.255 !H 0 - 0 -
220.94.166.179 - 255.255.255.255 !H 0 - 0 -
60.232.137.198 - 255.255.255.255 !H 0 - 0 -
88.73.2.165 - 255.255.255.255 !H 0 - 0 -
84.13.98.97 - 255.255.255.255 !H 0 - 0 -
222.252.219.41 - 255.255.255.255 !H 0 - 0 -
124.155.151.82 - 255.255.255.255 !H 0 - 0 -
217.132.3.59 - 255.255.255.255 !H 0 - 0 -
168.226.238.42 - 255.255.255.255 !H 0 - 0 -
121.156.57.178 - 255.255.255.255 !H 0 - 0 -
205.209.136.178 - 255.255.255.255 !H 0 - 0 -
212.116.176.226 - 255.255.255.255 !H 0 - 0 -
88.230.52.110 - 255.255.255.255 !H 0 - 0 -

Intento eliminarlas con:

route del -net 88.230.52.110 netmask 255.255.255.255

pero es necesario ponerle el Gateway pero no me indica cual es. Estoy casi seguro de que se trata de algún ataque estoy revisando en el google, pero a lo mejor alguno de ustedes ya se topo con algo de esto y me pueda dar luces.

con nmap?

Imagen de iknaxio

si utilizo el nmap me sale:

[root@web procesos]# nmap localhost

Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2007-05-02 10:21 ECT
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1649 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
1/tcp open tcpmux
11/tcp open systat
15/tcp open netstat
21/tcp open ftp
22/tcp open ssh
79/tcp open finger
111/tcp open rpcbind
119/tcp open nntp
143/tcp open imap
540/tcp open uucp
635/tcp open unknown
1080/tcp open socks
1524/tcp open ingreslock
2000/tcp open callbook
3306/tcp open mysql
6667/tcp open irc
12345/tcp open NetBus
12346/tcp open NetBus
27665/tcp open Trinoo_Master
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
54320/tcp open bo2k

Nmap finished: 1 IP address (1 host up) scanned in 0.114 seconds


He intentado parar los servicios que no necesito pero no encuentro para el irc una referencia en el /etc/init.d

Hasta cuando seremos los pacíficos dueños de tanto absurdo.

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

nmap a la direccion IP

Imagen de iknaxio

Yo creo que ese nmap no es el que necesitaba, lo hice a la direccion ip que tiene el servidor dentro de la DMZ y esto es lo que me da:

[root@web procesos]# nmap 192.168.xx.xx

Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2007-05-02 10:34 ECT
Interesting ports on xxxx.xxxxx.com.ec (192.168.xx.xx):
(The 1647 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
1/tcp open tcpmux
11/tcp open systat
15/tcp open netstat
21/tcp open ftp
22/tcp open ssh
79/tcp open finger
80/tcp open http
111/tcp open rpcbind
119/tcp open nntp
143/tcp open imap
443/tcp open https
540/tcp open uucp
635/tcp open unknown
1080/tcp open socks
1524/tcp open ingreslock
2000/tcp open callbook
3306/tcp open mysql
6667/tcp open irc
12345/tcp open NetBus
12346/tcp open NetBus
27665/tcp open Trinoo_Master
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
54320/tcp open bo2k

Nmap finished: 1 IP address (1 host up) scanned in 0.087 seconds

Como puedo parar los servicios que no necesito?, como ya dije no los encuentro en /etc/init.d. Unicamente necesito es el ssh, ftp, http, https, mysql y nada mas

Hasta cuando seremos los pacíficos dueños de tanto absurdo.

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

Revise el xinetd.d/

Imagen de iknaxio

Revise el directorio xinetd.d/ y todos los demonios estan disable = yes, y no aparece po ejemplo irc

Hasta cuando seremos los pacíficos dueños de tanto absurdo.

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

Tienes todito abierto!

Imagen de acl

Tienes todos los servicios del mundo corriendo. Como instalaste, mandaste todos los paquetes? Hubiera bastado con "ps aux" para ver los procesos en ejecucion.

Ya estaba instalado

Imagen de iknaxio

El problema es que ya estaba instalado cuando llegue. Cuando aplico un ps aux me da:

USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 2012 688 ? Ss May01 0:01 init [3]
root 2 0.0 0.0 0 0 ? S May01 0:00 [migration/0]
root 3 0.0 0.0 0 0 ? SN May01 0:00 [ksoftirqd/0]
root 4 0.0 0.0 0 0 ? S May01 0:00 [watchdog/0]
root 5 0.0 0.0 0 0 ? S May01 0:00 [migration/1]
root 6 0.0 0.0 0 0 ? SN May01 0:00 [ksoftirqd/1]
root 7 0.0 0.0 0 0 ? S May01 0:00 [watchdog/1]
root 8 0.0 0.0 0 0 ? S May01 0:00 [migration/2]
root 9 0.0 0.0 0 0 ? SN May01 0:00 [ksoftirqd/2]
root 10 0.0 0.0 0 0 ? S May01 0:00 [watchdog/2]
root 11 0.0 0.0 0 0 ? S May01 0:00 [migration/3]
root 12 0.0 0.0 0 0 ? SN May01 0:00 [ksoftirqd/3]
root 13 0.0 0.0 0 0 ? S May01 0:00 [watchdog/3]
root 14 0.0 0.0 0 0 ? S< May01 0:00 [events/0]
root 15 0.0 0.0 0 0 ? S< May01 0:00 [events/1]
root 16 0.0 0.0 0 0 ? S< May01 0:00 [events/2]
root 17 0.0 0.0 0 0 ? S< May01 0:00 [events/3]
root 18 0.0 0.0 0 0 ? S< May01 0:00 [khelper]
root 19 0.0 0.0 0 0 ? S< May01 0:00 [kthread]
root 25 0.0 0.0 0 0 ? S< May01 0:00 [kblockd/0]
root 26 0.0 0.0 0 0 ? S< May01 0:00 [kblockd/1]
root 27 0.0 0.0 0 0 ? S< May01 0:00 [kblockd/2]
root 28 0.0 0.0 0 0 ? S< May01 0:00 [kblockd/3]
root 29 0.0 0.0 0 0 ? S< May01 0:00 [kacpid]
root 113 0.0 0.0 0 0 ? S< May01 0:00 [cqueue/0]
root 114 0.0 0.0 0 0 ? S< May01 0:00 [cqueue/1]
root 115 0.0 0.0 0 0 ? S< May01 0:00 [cqueue/2]
root 116 0.0 0.0 0 0 ? S< May01 0:00 [cqueue/3]
root 119 0.0 0.0 0 0 ? S< May01 0:00 [khubd]
root 121 0.0 0.0 0 0 ? S< May01 0:00 [kseriod]
root 193 0.0 0.0 0 0 ? S May01 0:00 [pdflush]
root 194 0.0 0.0 0 0 ? S May01 0:00 [pdflush]
root 195 0.0 0.0 0 0 ? S< May01 0:00 [kswapd0]
root 196 0.0 0.0 0 0 ? S< May01 0:00 [aio/0]
root 197 0.0 0.0 0 0 ? S< May01 0:00 [aio/1]
root 198 0.0 0.0 0 0 ? S< May01 0:00 [aio/2]
root 199 0.0 0.0 0 0 ? S< May01 0:00 [aio/3]
root 354 0.0 0.0 0 0 ? S< May01 0:00 [kpsmoused]
root 359 0.0 0.0 1972 660 ? Ss May01 0:00 /bin/nash /init rhgb
root 401 0.0 0.0 0 0 ? S< May01 0:00 [scsi_eh_0]
root 437 0.0 0.0 0 0 ? S< May01 0:00 [scsi_eh_1]
root 513 0.0 0.0 0 0 ? S< May01 0:00 [kmirrord]
root 529 0.0 0.0 0 0 ? S< May01 0:00 [kjournald]
root 567 0.0 0.0 0 0 ? S< May01 0:00 [kauditd]
root 592 0.0 0.0 2352 792 ? S

Hasta cuando seremos los pacíficos dueños de tanto absurdo.

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

Replanteando

Imagen de iknaxio

Claro pero eso me serviria para matar el servicio, pero como evito que se levante.

Ahora el problema principal sigue siendo las rutas fantasmas que aparecen en mi tabla de ruteo.

Hasta cuando seremos los pacíficos dueños de tanto absurdo.

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

PortSentry el culpable

Imagen de iknaxio

Hace rato que solucione esto pero no me habia dado el tiempo de postear, realmente no encontraba en Ecualug el bendito hilo.

Todo se debia a que estaba instalado el PortSentry.

Hasta cuando seremos los pacíficos dueños de tanto absurdo.

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

Páginas