Forum
Bildirimler
Hepsini Temizle
Linux & Unix
6
Yazılar
2
Üyeler
0
Reactions
735
Görüntüleme
Konu başlatıcı
Merhaba arkadaşlar,
ağda centos 7 bulunan bir makinede sanırım rootkit var. Sürekli çindeki değişik adreslere paket yolluyor ve ağ trafiğin mahfediyor. Teker teker iptables ile kapatıyorum bir süre sonra başka bir IP'ye veri gönderiyor. ckrootkit ile tarattım bir şey bulamadım. Ne yapmamı tavsiye dersiniz
Gönderildi : 17/12/2016 14:38
Konu başlatıcı
chkrootkit bir şey bulamadı
rootkit hunter da elle tutulur bir şey bulamadı. Şimdi sizin çözümü deneyeceğim. Şuan geoip çin kuralı ekledim yarım saattir script çalışıyor. Zira makine o kadar yavaş ki telnette en basit komutu bile vermekte zorlanıyorum.
Gönderildi : 17/12/2016 15:30
Konu başlatıcı
Geo IP filtreleme yaptım 2 saat kadar sürdü ama hala kaçırdığı çin IP'leri var. Yani bir sonuç alamadım. Acana iptables konusunda yardımcı olabilecek bir arkadaş var mı. Yapmak istediğim ağdaki bu makineye dışardan 2 external IP haricinde OUTPUT tüm trafiğ kesmek. Internal trafik ise etkilenmemesi gerekiyor.
nasıl yapabilirim
Gönderildi : 17/12/2016 17:51
merhaba,
kullandığınız public gw tercihiniz nedir ?
veya centos üzerinde public adres mi sonlandırıyorsunuz ?
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 17/12/2016 19:01
Konu başlatıcı
merhaba,
kullandığınız public gw tercihiniz nedir ?
veya centos üzerinde public adres mi sonlandırıyorsunuz ?
routerın arkasında 1 transcode server ve iptv streamer var. IPTV streamer Routerdan 192'li IP alıyor. Ben sadece putty ile bağlanıp gerekli komutları kullanıyorum. Bu makinein normalde Internete çıkmasına gerek yok. DVB Capture paketlerini Transcode Servere gönderiyor. Onu da sadece 1 port ile yapıyor. Problem bu makine üzerinde 2 tane Ağ kartı var 1Gbit olarak. Bu makinada Centos var. Ağa takıldığında sanırım scan sonucu rootkit bulaşmış zira ben default passwordleri değiştirmeden önce de yavaşlık vardı.
Şuan cn zone iptablese girdi ama bu zona da bulunmayan ip blocklarından halen kurtamadım.
3 adet rootkit silen program ile taradım ama malesef bir sonuç alamadım.
1.5 sözünü ettiğim makinenin 1. ağ kartı (2yi takmadık)
| CP | 192.168.1.5 | 46514 | 122.246.16.61 | 80 | Unclassified | 927 | 0 | |
| TCP | 192.168.1.5 | 46888 | 122.246.16.61 | 80 | Unclassified | 921 | 0 | |
| TCP | 192.168.1.5 | 49723 | 122.246.16.61 | 80 | Unclassified | 920 | 0 | |
| TCP | 192.168.1.5 | 36788 | 122.246.16.61 | 80 | Unclassified | 897 | 0 | |
| TCP | 192.168.1.5 | 55399 | 122.246.16.61 | 80 | Unclassified | 922 | 0 | |
| TCP | 192.168.1.5 | 53443 | 122.246.16.61 | 80 | Unclassified | 888 | 0 | |
| TCP | 192.168.1.5 | 36820 | 122.246.16.61 | 80 | Unclassified | 917 | 0 | |
| TCP | 192.168.1.5 | 20535 | 122.246.16.61 | 80 | Unclassified | 920 | 0 | |
| TCP | 192.168.1.5 | 16029 | 122.246.16.61 | 80 | Unclassified | 898 | 0 | |
| TCP | 192.168.1.5 | 53257 | 122.246.16.61 | 80 | Unclassified | 920 | 0 | |
| TCP | 192.168.1.5 | 45359 | 122.246.16.61 | 80 | Unclassified | 925 | 0 | |
| TCP | 192.168.1.5 | 63375 | 122.246.16.61 | 80 | Unclassified | 931 | 0 | |
| TCP | 192.168.1.5 | 22791 | 122.246.16.61 | 80 | Unclassified | 935 | 0 | |
| TCP | 192.168.1.5 | 43621 | 122.246.16.61 | 80 | Unclassified | 902 | 0 | |
| TCP | 192.168.1.5 | 28386 | 122.246.16.61 | 80 | Unclassified | 898 | 0 | |
| TCP | 192.168.1.5 | 49602 | 122.246.16.61 | 80 | Unclassified | 895 | 0 | |
| TCP | 192.168.1.5 | 65001 | 122.246.16.61 | 80 | Unclassified | 929 | 0 | |
| TCP | 192.168.1.5 | 58721 | 122.246.16.61 | 80 | Unclassified | 897 | 0 |
122.246.0.0/24 e IPTABLES Output drop tanımladıma ma nedense o da çalışmıyor.
Gönderildi : 17/12/2016 19:15
sorunlu centos host nerede konumlandırıldı ? dc/local
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 19/12/2016 13:05
