Servidor Centos atacado
Mi nombre es Carlos González, y aunque tengo conocimientos de Linux, no soy experto en seguridad. Tengo un servidor que está siendo atacado, y sospecho que están mandando correo masivo a través de mi máquina. Al ejecutar tcpdump, me encuentro muchas apariciones de algo que dice ns. Cayuco.NET y me gustaría saber cómo puedo bloquear ese dominio desde iptables. La linea completa que frecuentemente aparece es:
11:12:50.725481 IP ns. Cayuco.NET.http > dsl-189-253-74-67-dyn. Prod-infinitum.com.mx.51926: . 4356:5808(1452) ack 1 win 63
Gracias por la atención. Mi correo es [email protected]
11:12:50.725481 IP ns. Cayuco.NET.http > dsl-189-253-74-67-dyn. Prod-infinitum.com.mx.51926: . 4356:5808(1452) ack 1 win 63
Gracias por la atención. Mi correo es [email protected]
2 respuestas
Respuesta de chernandezba
1
Veo que, según el tcpdump, se conectan al puerto 25 (smtp)
Una manera fácil de bloquear desde iptables, para tu caso
iptables -I INPUT -s ns. Cayuco.NET -p tcp --dport 25 -j DROP
Esto generará que, cuando se intenten conectar desde esa ip, al puerto 25 de tu servidor, este les provoque un timeout, y no se puedan conectar
Si quieres bloquear cualquier tipo de acceso, no sólo http, puedes usar esta línea:
Iptables -I INPUT -s ns. Cayuco.NET -p tcp -j DROP
Piensa que cuando reinicies tu servidor, la regla se perderá y tendrás que volverla a agregar
Yo en tu caso también intentaría ver que tipo de paquetes (mensajes smtp) generan para poder enviar correos. Con un tcpdump tipo:
Tcpdump -i eth0 -x -X -s 32767 host ns. Cayuco.NET
La -x -X -s 32767 te proporcionará un volcado en Hex y ASCII de los paquetes que llegan (o van) hacia esa IP maliciosa
Cualquier duda, ya sabes donde estoy
Una manera fácil de bloquear desde iptables, para tu caso
iptables -I INPUT -s ns. Cayuco.NET -p tcp --dport 25 -j DROP
Esto generará que, cuando se intenten conectar desde esa ip, al puerto 25 de tu servidor, este les provoque un timeout, y no se puedan conectar
Si quieres bloquear cualquier tipo de acceso, no sólo http, puedes usar esta línea:
Iptables -I INPUT -s ns. Cayuco.NET -p tcp -j DROP
Piensa que cuando reinicies tu servidor, la regla se perderá y tendrás que volverla a agregar
Yo en tu caso también intentaría ver que tipo de paquetes (mensajes smtp) generan para poder enviar correos. Con un tcpdump tipo:
Tcpdump -i eth0 -x -X -s 32767 host ns. Cayuco.NET
La -x -X -s 32767 te proporcionará un volcado en Hex y ASCII de los paquetes que llegan (o van) hacia esa IP maliciosa
Cualquier duda, ya sabes donde estoy
Muchísimas gracias "Chernandezba" por tu información. Haré las pruebas que me sugieres y espero poder contar con tu apoyo. Mucha suerte y nuevamente muchas gracias.
Respuesta de cjolaya
1
Esa dirección responde a la IP 64.95.64.198 y puedes bloquearla así:
Iptables -I INPUT -p tcp -s 64.95.64.198 -j DROP
Pon esa línea en algún archivo que se ejecute al inicio, por ejemplo /etc/rc.d/rc.local
Sin embargo, si realmente están usando tu servidor de correo para enviar spam, lo mejor es configurar correctamente tu servidor de correo para que no permita enviar correo sino son estaciones que estén en tu red interna. Ya que otra IP podría tratar de hacer lo mismo como ocurre con esta que tienes el problema.
Iptables -I INPUT -p tcp -s 64.95.64.198 -j DROP
Pon esa línea en algún archivo que se ejecute al inicio, por ejemplo /etc/rc.d/rc.local
Sin embargo, si realmente están usando tu servidor de correo para enviar spam, lo mejor es configurar correctamente tu servidor de correo para que no permita enviar correo sino son estaciones que estén en tu red interna. Ya que otra IP podría tratar de hacer lo mismo como ocurre con esta que tienes el problema.
Perfecto. Mil gracias por tu tiempo y por tu ayuda. Voy a bloquear la IP como me lo recomiendas y me pondré a leer los manuales en los capítulos de seguridad. Por otro lado, no sé si vives en Méxio para saber si es posible que nos puedas brindar el servicio de asesoría y saber cuánto costaría tu ayuda.
Nuevamente mil gracias por tu tiempo y tu ayuda. Un saludo.
Nuevamente mil gracias por tu tiempo y tu ayuda. Un saludo.