Problema con Una Ip

Forums: 

Tengo una ip de la red que me esta generando full trafico, sin estar nadie en esa maquina

si le hago un tail -f /var/log/squid/access.log


1190322922.579 8119 192.168.1.132 TCP_MISS/000 0 POST http://208.66.195.83/login.php - DIRECT/208.66.195.83 -
1190322946.374 187 192.168.1.132 TCP_MISS/000 0 POST http://192.168.100.254/upnphost/udhisapi.dll? - DIRECT/192.168.100.254 -
1190322951.920 20510 192.168.1.132 TCP_MISS/000 0 POST http://208.66.195.83/login.php - DIRECT/208.66.195.83 -
1190322960.849 8167 192.168.1.132 TCP_MISS/000 0 POST http://192.168.100.254/upnphost/udhisapi.dll? - DIRECT/192.168.100.254 -
1190322971.729 37 192.168.1.132 TCP_MISS/000 0 POST http://192.168.100.254/upnphost/udhisapi.dll? - DIRECT/192.168.100.254 -
1190322980.231 20112 192.168.1.132 TCP_MISS/000 0 POST http://208.66.195.83/login.php - DIRECT/208.66.195.83 -
1190322998.455 713 192.168.1.132 TCP_MISS/000 0 POST http://192.168.100.254/upnphost/udhisapi.dll? - DIRECT/192.168.100.254 -
1190323011.926 2417 192.168.1.132 TCP_MISS/000 0 POST http://208.66.195.83/login.php - DIRECT/208.66.195.83 -
1190323017.522 52 192.168.1.132 TCP_MISS/000 0 POST http://192.168.100.254/upnphost/udhisapi.dll? - DIRECT/192.168.100.254 -
1190323038.294 2 192.168.1.132 TCP_MISS/000 0 POST http://192.168.100.254/upnphost/udhisapi.dll? - DIRECT/192.168.100.254 -
1190323046.584 48 192.168.1.132 TCP_MISS/000 0 POST http://192.168.100.254/upnphost/udhisapi.dll? - DIRECT/192.168.100.254 -
1190323061.086 3880 192.168.1.132 TCP_MISS/200 263 GET http://208.72.168.233/404.txt - DIRECT/208.72.168.233 -
1190323063.316 7 192.168.1.132 TCP_MISS/000 0 POST http://208.66.195.83/login.php - DIRECT/208.66.195.83 -
1190323067.591 10486 192.168.1.132 TCP_MISS/000 0 POST http://192.168.100.254/upnphost/udhisapi.dll? - DIRECT/192.168.100.254 -
1190323078.011 28231 192.168.1.132 TCP_MISS/000 0 POST http://208.66.195.83/login.php - DIRECT/208.66.195.83 -
1190323080.611 0 192.168.1.132 TCP_MISS/000 0 POST http://192.168.100.254/upnphost/udhisapi.dll? - DIRECT/192.168.100.254 -

y haciendo un tcpdump


16:18:41.148903 IP 192.168.21.7 > 192.168.16.132: ICMP echo reply, id 512, seq 24536, length 520
16:18:41.151380 IP 192.168.15.142 > 192.168.16.132: ICMP echo reply, id 512, seq 24280, length 520
16:18:41.165234 IP 192.168.23.127 > 192.168.16.132: ICMP echo reply, id 512, seq 14040, length 520
16:18:41.400489 IP 192.168.11.122 > 192.168.16.132: ICMP echo reply, id 512, seq 25816, length 520
16:18:41.408690 IP 192.168.13.10 > 192.168.16.132: ICMP echo reply, id 512, seq 25816, length 520
16:18:41.409436 IP 192.168.23.70 > 192.168.16.132: ICMP echo reply, id 512, seq 16088, length 520
16:18:41.410368 IP 192.168.23.136 > 192.168.16.132: ICMP echo reply, id 512, seq 32984, length 520
16:18:41.411253 IP 192.168.23.35 > 192.168.16.132: ICMP echo reply, id 512, seq 25816, length 520
16:18:41.647861 IP 192.168.23.78 > 192.168.16.132: ICMP echo reply, id 512, seq 23512, length 520
16:18:41.654439 IP 192.168.23.78 > 192.168.16.132: ICMP echo reply, id 512, seq 23768, length 520
16:18:41.656255 IP 192.168.23.70 > 192.168.16.132: ICMP echo reply, id 512, seq 32984, length 520
16:18:41.656354 IP 192.168.23.124 > 192.168.16.132: ICMP echo reply, id 512, seq 25048, length 520
16:18:41.661042 IP 192.168.23.124 > 192.168.16.132: ICMP echo reply, id 512, seq 32984, length 520
16:18:41.663247 IP 192.168.23.124 > 192.168.16.132: ICMP echo reply, id 512, seq 33496, length 520
16:18:41.684957 IP 192.168.23.52 > 192.168.16.132: ICMP echo reply, id 512, seq 34008, length 520
16:18:41.685263 IP 192.168.23.40 > 192.168.16.132: ICMP echo reply, id 512, seq 48343, length 520
16:18:41.687693 IP 192.168.10.58 > 192.168.16.132: ICMP echo reply, id 512, seq 13272, length 520
16:18:41.689941 IP 192.168.17.174 > 192.168.16.132: ICMP echo reply, id 512, seq 32984, length 520
16:18:41.930798 IP 192.168.23.136 > 192.168.16.132: ICMP echo reply, id 512, seq 35288, length 520
16:18:42.170619 IP 192.168.16.132.netbios-ns > 192.168.16.135.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
16:18:42.340323 IP 192.168.17.118 > 192.168.16.132: ICMP echo reply, id 512, seq 43992, length 520
16:18:42.343365 IP 192.168.10.58 > 192.168.16.132: ICMP echo reply, id 512, seq 34776, length 520
16:18:42.348787 IP 192.168.23.42 > 192.168.16.132: ICMP echo reply, id 512, seq 35288, length 520
16:18:42.353135 IP 192.168.18.58 > 192.168.16.132: ICMP echo reply, id 512, seq 15832, length 520
16:18:42.355408 IP 192.168.23.103 > 192.168.16.132: ICMP echo reply, id 512, seq 16088, length 520
16:18:42.355902 IP 192.168.23.42 > 192.168.16.132: ICMP echo reply, id 512, seq 36056, length 520
16:18:42.359536 IP 192.168.18.58 > 192.168.16.132: ICMP echo reply, id 512, seq 16088, length 520
16:18:42.365733 IP 192.168.23.127 > 192.168.16.132: ICMP echo reply, id 512, seq 33496, length 520
16:18:42.377465 IP 192.168.19.50 > 192.168.16.132: ICMP echo reply, id 512, seq 23768, length 520
16:18:42.377531 IP 192.168.23.103 > 192.168.16.132: ICMP echo reply, id 512, seq 23512, length 520
16:18:42.380069 IP 192.168.16.132 > 255.255.255.255: ICMP echo request, id 512, seq 44248, length 520


y no para de correr el tcpdump con esa ip.

Bloqueo la ip de mil manera y nada, sigue el tràfico.. Alquien me podiar dar una ayuda..

Le agradecerìa..

Saludos

estoy ciego o no... pero no

Imagen de Tul0X

estoy ciego o no... pero no veo que sea la misma ip. una es 192.168.16.132 y la otra 192.168.1.132
cual es la maquina realmente que no interactua con ningun usuario ?

en el log de tcpdumd se aprecia un posible DOS hacia 192.168.16.132
lo mas probable es que tengas un gusano en tu red completa... no solamente una maquina.

Saludos

Saludos

((Tul0X))

Parece que la una se

Imagen de acl

Parece que la una se desmanda queriendo salir por el proxy y la otra esta enviando paquetes de echo-request al broadcast.

Estoy de acuerdo, esta gusaneada esa red.
--
haber != a ver
ha != a

Como bloqueas a la maquina?

Imagen de misho

Como estas bloqueando la maquina?? normalmente agregala con una linea tan facil ke seria

route add -host 192.168.1.132 reject
y con eso ya no te debe llegar request de esa maquina
igual para quitarle el bloqueo pones
route del -host 192.168.1.132 reject

y pues revisa esas maquinas lo mas seguro es que tengan virus o spyware, utiliza el spybot search and destroy es muy bueno y el hijackthis.

Si la bloqueo de esa manera,

Si la bloqueo de esa manera, solo daría una solución momentánea, ahora quisiera dar una solución definitiva, si que esa maquina no quede bloqueada.

Ahora me van a decir, Bloquea esa ip y pásale un antivirus, un spyware, etc. pero si se infecto toda la red..???

Saludos