Forum

Linux makineye bula...
 
Bildirimler
Hepsini Temizle

Linux makineye bulaşmış rootkit

6 Yazılar
2 Üyeler
0 Reactions
754 Görüntüleme
(@VolkanCelebi)
Gönderiler: 104
Estimable Member
Konu başlatıcı
 

Merhaba arkadaşlar,

 

ağda centos 7 bulunan bir makinede sanırım rootkit var. Sürekli çindeki değişik adreslere paket yolluyor ve ağ trafiğin mahfediyor. Teker teker iptables ile kapatıyorum bir süre sonra başka bir IP'ye veri gönderiyor. ckrootkit ile tarattım bir şey bulamadım. Ne yapmamı tavsiye dersiniz

 
Gönderildi : 17/12/2016 14:38

(@VolkanCelebi)
Gönderiler: 104
Estimable Member
Konu başlatıcı
 

 

 

chkrootkit bir şey bulamadı

rootkit hunter da elle tutulur bir şey bulamadı. Şimdi sizin çözümü deneyeceğim. Şuan geoip çin kuralı ekledim yarım saattir script çalışıyor. Zira makine o kadar yavaş ki telnette en basit komutu bile vermekte zorlanıyorum.

 
Gönderildi : 17/12/2016 15:30

(@VolkanCelebi)
Gönderiler: 104
Estimable Member
Konu başlatıcı
 

Geo IP filtreleme yaptım 2 saat kadar sürdü ama hala kaçırdığı çin IP'leri var. Yani bir sonuç alamadım. Acana iptables konusunda yardımcı olabilecek bir arkadaş var mı. Yapmak istediğim ağdaki bu makineye dışardan 2 external IP haricinde OUTPUT tüm trafiğ kesmek. Internal trafik ise etkilenmemesi gerekiyor.

nasıl yapabilirim 

 
Gönderildi : 17/12/2016 17:51

(@turancoskun)
Gönderiler: 4100
Üye
 

merhaba,

kullandığınız public gw tercihiniz nedir ?

veya centos üzerinde public adres mi sonlandırıyorsunuz ?

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 17/12/2016 19:01

(@VolkanCelebi)
Gönderiler: 104
Estimable Member
Konu başlatıcı
 

merhaba,

kullandığınız public gw tercihiniz nedir ?

veya centos üzerinde public adres mi sonlandırıyorsunuz ?

routerın arkasında 1 transcode server ve iptv streamer var. IPTV streamer Routerdan 192'li IP alıyor. Ben sadece putty ile bağlanıp gerekli komutları kullanıyorum. Bu makinein normalde Internete çıkmasına gerek yok. DVB Capture paketlerini Transcode Servere gönderiyor. Onu da sadece 1 port ile yapıyor. Problem bu makine üzerinde 2 tane Ağ kartı var 1Gbit olarak. Bu makinada Centos var. Ağa takıldığında sanırım scan sonucu rootkit bulaşmış zira ben default passwordleri değiştirmeden önce de yavaşlık vardı. 

Şuan cn zone iptablese girdi ama bu zona da bulunmayan ip blocklarından halen kurtamadım. 

3 adet rootkit silen program ile taradım ama malesef bir sonuç alamadım.

 

1.5 sözünü ettiğim makinenin 1. ağ kartı (2yi takmadık)

CP 192.168.1.5 46514 122.246.16.61 80 Unclassified   927 0
TCP 192.168.1.5 46888 122.246.16.61 80 Unclassified   921 0
TCP 192.168.1.5 49723 122.246.16.61 80 Unclassified   920 0
TCP 192.168.1.5 36788 122.246.16.61 80 Unclassified   897 0
TCP 192.168.1.5 55399 122.246.16.61 80 Unclassified   922 0
TCP 192.168.1.5 53443 122.246.16.61 80 Unclassified   888 0
TCP 192.168.1.5 36820 122.246.16.61 80 Unclassified   917 0
TCP 192.168.1.5 20535 122.246.16.61 80 Unclassified   920 0
TCP 192.168.1.5 16029 122.246.16.61 80 Unclassified   898 0
TCP 192.168.1.5 53257 122.246.16.61 80 Unclassified   920 0
TCP 192.168.1.5 45359 122.246.16.61 80 Unclassified   925 0
TCP 192.168.1.5 63375 122.246.16.61 80 Unclassified   931 0
TCP 192.168.1.5 22791 122.246.16.61 80 Unclassified   935 0
TCP 192.168.1.5 43621 122.246.16.61 80 Unclassified   902 0
TCP 192.168.1.5 28386 122.246.16.61 80 Unclassified   898 0
TCP 192.168.1.5 49602 122.246.16.61 80 Unclassified   895 0
TCP 192.168.1.5 65001 122.246.16.61 80 Unclassified   929 0
TCP 192.168.1.5 58721 122.246.16.61 80 Unclassified   897 0

122.246.0.0/24 e IPTABLES Output drop tanımladıma ma nedense o da çalışmıyor.
 
Gönderildi : 17/12/2016 19:15

(@turancoskun)
Gönderiler: 4100
Üye
 

sorunlu centos host nerede konumlandırıldı ? dc/local

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 19/12/2016 13:05

Paylaş: