इसलिए विश्वविद्यालय की आईटी सुरक्षा टीम और मैं इस पर और चारों ओर जा रहे हैं, जिसमें कोई टूट नहीं है ... किसी को भी इस पर कोई विचार है:
मैंने हाल ही में अपने लैब के लिए डेबियन 8.6 पर एक समर्पित कंप्यूटर पर एक छोटा फ़ाइल सर्वर स्थापित किया है (Intel Avoton C2550 प्रोसेसर - जरूरत पड़ने पर अधिक हार्डवेयर जानकारी प्रदान करने के लिए खुश, लेकिन मुझे लगता है कि अनावश्यक है)। डेबियन ने बिना किसी समस्या के स्थापित किया, और उस समय मैंने सांबा, एनटीपी, जेडएफएस और अजगर को भी स्थापित किया। चीजें ठीक लग रही थीं, इसलिए मैंने इसे कुछ हफ्तों के लिए लैब के कोने में बैठकर चलने दिया।
लगभग दो सप्ताह पहले, मुझे आईटी टीम से एक ईमेल मिला, जिसमें कहा गया था कि मेरे सर्वर को "समझौता" किया गया है और इसका उपयोग एनटीबी प्रवर्धन / DDoS हमले में किया जा रहा है (NTP Amplification Attacks Using CVE-2013-5211 जैसा कि https में वर्णित है : //www.us-cert.gov/ncas/alerts/TA14-013A )। उन्होंने जो संकेत दिया था वह पोर्ट 123 पर बहुत सारे NTPv2 ट्रैफ़िक का था। अजीब तरह से, आईपी एड्रेस जो उन्होंने इस ( *.*.*.233) से आने वाले आइडेंटिफ़ायर से पहचाना था, आईपी सर्वर से अलग था और ifconfig ( *.*.*.77) के माध्यम से रिपोर्ट किया गया था । फिर भी, कुछ बुनियादी समस्या निवारण से पता चला कि मेरा कंप्यूटर वास्तव में पोर्ट 123 (जैसा कि tcpdump द्वारा प्रकट किया गया था) पर यह ट्रैफ़िक उत्पन्न कर रहा था।
यहाँ वह जगह है जहाँ विचित्रता शुरू हुई। मैं पहली बार CVE-2013-5211 के लिए सुझाए गए "सुधार" के माध्यम से भाग गया (दोनों एनटीपी पिछले संस्करण को 4.2.7 अपडेट करने के साथ-साथ मोनलिस्ट कार्यक्षमता को अक्षम कर रहा है)। न ही ट्रैफिक का प्रवाह रोक दिया। मैंने तब IP तालिकाओं के माध्यम से UDP 123 पोर्ट को अवरुद्ध करने की कोशिश की:
$ /sbin/iptables -A INPUT -o eth0 -p udp --destination-port 123 -j DROP
$ /sbin/iptables -A OUTPUT -o eth0 -p udp --destination-port 123 -j DROP
लेकिन वह भी यातायात पर कोई प्रभाव नहीं पड़ा। मैंने अंततः सिस्टम से NTP को शुद्ध करने की कोशिश की, लेकिन ट्रैफ़िक पर इसका कोई प्रभाव नहीं पड़ा। इस दोपहर तक, नैम्प रिपोर्ट कर रहा था:
Starting Nmap 5.51 ( http://nmap.org ) at 2016-12-19 16:15 EST
Nmap scan report for *.233
Host is up (0.0010s latency).
PORT STATE SERVICE
123/udp open ntp
| ntp-monlist:
| Public Servers (2)
| 50.116.52.97 132.163.4.101
| Public Clients (39)
| 54.90.159.15 185.35.62.119 185.35.62.233 185.35.63.86
| 54.197.89.98 185.35.62.142 185.35.62.250 185.35.63.108
| 128.197.24.176 185.35.62.144 185.35.62.251 185.35.63.128
| 180.97.106.37 185.35.62.152 185.35.63.15 185.35.63.145
| 185.35.62.27 185.35.62.159 185.35.63.27 185.35.63.146
| 185.35.62.52 185.35.62.176 185.35.63.30 185.35.63.167
| 185.35.62.65 185.35.62.186 185.35.63.34 185.35.63.180
| 185.35.62.97 185.35.62.194 185.35.63.38 185.35.63.183
| 185.35.62.106 185.35.62.209 185.35.63.39 185.35.63.185
|_ 185.35.62.117 185.35.62.212 185.35.63.43
यह सब बहुत अजीब है क्योंकि एनटी को अब हफ्तों से सिस्टम से शुद्ध कर दिया गया है।
इस रास्ते पर एक मृत अंत मारने के बाद, मैंने पूरे आईपी-एड्रेस बेमेल मुद्दे के बारे में सोचना शुरू कर दिया। मेरा कंप्यूटर दोनों * .233 और * .77 IP पर बैठा प्रतीत हो रहा था (जैसा कि ईथरनेट केबल संलग्न दोनों के साथ सफलतापूर्वक पिंगिंग द्वारा पुष्टि की गई है और दोनों केबल अनप्लग के साथ अनुपलब्ध हैं), लेकिन * .233 ifconfig में कभी नहीं दिखाता है:
Link encap:Ethernet HWaddr d0:XX:XX:51:78:XX
inet addr:*.77 Bcast:*.255 Mask:255.255.255.0
inet6 addr: X::X:X:X:787a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:23023571 errors:0 dropped:1362 overruns:0 frame:0
TX packets:364849 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:7441732389 (6.9 GiB) TX bytes:44699444 (42.6 MiB)
Memory:df300000-df37ffff
* .233 / / / नेटवर्क / इंटरफेस का कोई संदर्भ नहीं है, इसलिए मैं नहीं देखता कि यह आईपी असाइनमेंट कहां से आ रहा है।
इसलिए, मेरे पास दो संभावित संबंधित प्रश्न हैं, मैं उम्मीद कर रहा हूं कि कोई मेरी मदद कर सकता है: 1) मैं अपनी पीठ से आईटी को हटाने के लिए अपने सर्वर से इस एनटीपी ट्रैफिक को कैसे खत्म कर सकता हूं? 2) इस दूसरे आईपी पते के साथ क्या हो रहा है, मेरा सर्वर चालू है और मैं इसे कैसे निकाल सकता हूं?
धन्यवाद, दोस्तों :)
अनुरोध: अनुरोध के अनुसार:
$iptables -L -v -n
Chain INPUT (policy ACCEPT 57 packets, 6540 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 27 packets, 2076 bytes)
pkts bytes target prot opt in out source destination
तथा $ip addr ls
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether d0:50:99:51:78:7a brd ff:ff:ff:ff:ff:ff
inet *.77/24 brd *.255 scope global eth0
valid_lft forever preferred_lft forever
inet *.167/24 brd *.255 scope global secondary dynamic eth0
valid_lft 24612sec preferred_lft 24612sec
inet6 X::X:X:X:787a/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN group default qlen 1000
link/ether d0:50:99:51:78:7b brd ff:ff:ff:ff:ff:ff
अद्यतन 2: मैं यह उल्लेख करने में विफल रहा कि आईपी पते के अलावा मेल नहीं खा रहा है, मैक आईडी भी मेल नहीं खाता। यह वास्तव में मुझे दो बार लगता है कि क्या यातायात वास्तव में मेरी मशीन से आ रहा था। हालाँकि: (1) नेटवर्क से मेरे सर्वर को अनप्लग करने से यातायात गायब हो गया; (2) एक अलग नेटवर्क पोर्ट पर जाएं और ट्रैफ़िक का अनुसरण करें; और (3) tcpdump port 123अब्रह्म यातायात दिखाया:
13:24:33.329514 IP cumm024-0701-dhcp-233.bu.edu.ntp > 183.61.254.77.44300: NTPv2, Reserved, length 440
13:24:33.329666 IP cumm024-0701-dhcp-233.bu.edu.ntp > 183.61.254.77.44300: NTPv2, Reserved, length 440
13:24:33.329777 IP cumm024-0701-dhcp-233.bu.edu.ntp > 183.61.254.77.44300: NTPv2, Reserved, length 296
अद्यतन 3:
$ss -uapn 'sport = :123'
State Recv-Q Send-Q Local Address:Port Peer Address:Port
(अर्थात, कुछ भी नहीं)
$sudo cat /proc/net/dev
Inter-| Receive | Transmit
face |bytes packets errs drop fifo frame compressed multicast|bytes packets errs drop fifo colls carrier compressed
lo: 327357 5455 0 0 0 0 0 0 327357 5455 0 0 0 0 0 0
eth1: 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
eth0: 13642399917 36270491 0 6522 0 0 0 2721337 45098276 368537 0 0 0 0 0 0
अद्यतन 4: वे पैकेट कुछ दिनों पहले विशिष्ट थे। आज (लेकिन हाँ, अभी भी बहुत अधिक):
20:19:37.011762 IP cumm024-0701-dhcp-233.bu.edu.ntp > 103.56.63.147.26656: NTPv2, Reserved, length 152
20:19:37.011900 IP cumm024-0701-dhcp-233.bu.edu.ntp > 202.83.122.78.58066: NTPv2, Reserved, length 152
20:19:37.012036 IP cumm024-0701-dhcp-233.bu.edu.ntp > 103.56.63.147.17665: NTPv2, Reserved, length 152
20:19:37.014539 IP cumm024-0701-dhcp-233.bu.edu.ntp > 202.83.122.78.27945: NTPv2, Reserved, length 152
20:19:37.015482 IP cumm024-0701-dhcp-233.bu.edu.ntp > 202.83.122.78.42426: NTPv2, Reserved, length 152
20:19:37.015644 IP cumm024-0701-dhcp-233.bu.edu.ntp > 103.56.63.147.16086: NTPv2, Reserved, length 152
$ sudo ss -uapn '( sport = :42426 or dport = :42426 )'
State Recv-Q Send-Q Local Address:Port Peer Address:Port
हां, मैं * .233 आईपी को पिंग कर सकता हूं:
$ping 128.197.112.233
PING 128.197.112.233 (128.197.112.233) 56(84) bytes of data.
64 bytes from 128.197.112.233: icmp_seq=1 ttl=64 time=0.278 ms
64 bytes from 128.197.112.233: icmp_seq=2 ttl=64 time=0.282 ms
64 bytes from 128.197.112.233: icmp_seq=3 ttl=64 time=0.320 ms
नहीं, MAC मेरे हार्डवेयर से मेल नहीं खाता MAC पता है: d0: 50: 99: 51: 78: 7a ट्रैफ़िक मैक के साथ संबद्ध है: bc: 5f: f4: fe: a1: 00
अद्यतन 5: जैसा कि अनुरोध किया गया है, * .233 के खिलाफ एक पोर्ट स्कैन:
Starting Nmap 6.00 ( http://nmap.org ) at 2016-12-20 20:38 EET
NSE: Loaded 17 scripts for scanning.
Initiating SYN Stealth Scan at 20:38
Scanning cumm024-0701-dhcp-233.bu.edu (128.197.112.233) [1024 ports]
Discovered open port 22/tcp on 128.197.112.233
Completed SYN Stealth Scan at 20:38, 9.79s elapsed (1024 total ports)
Initiating Service scan at 20:38
Scanning 1 service on cumm024-0701-dhcp-233.bu.edu (128.197.112.233)
Completed Service scan at 20:38, 0.37s elapsed (1 service on 1 host)
Initiating OS detection (try #1) against cumm024-0701-dhcp-233.bu.edu (128.197.112.233)
Initiating Traceroute at 20:38
Completed Traceroute at 20:38, 0.10s elapsed
NSE: Script scanning 128.197.112.233.
[+] Nmap scan report for cumm024-0701-dhcp-233.bu.edu (128.197.112.233)
Host is up (0.083s latency).
Not shown: 1013 filtered ports
PORT STATE SERVICE VERSION
21/tcp closed ftp
22/tcp open ssh OpenSSH 5.5p1 Debian 6+squeeze1 (protocol 2.0)
23/tcp closed telnet
25/tcp closed smtp
43/tcp closed whois
80/tcp closed http
105/tcp closed unknown
113/tcp closed ident
210/tcp closed z39.50
443/tcp closed https
554/tcp closed rtsp
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:kernel:2.6
OS details: DD-WRT v24-sp2 (Linux 2.6.19)
Uptime guess: 45.708 days (since Sat Nov 5 03:39:36 2016)
Network Distance: 9 hops
TCP Sequence Prediction: Difficulty=204 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: OS: Linux; CPE: cpe:/o:linux:kernel
TRACEROUTE (using port 25/tcp)
HOP RTT ADDRESS
1 0.95 ms router1-lon.linode.com (212.111.33.229)
2 0.70 ms 109.74.207.0
3 1.09 ms be4464.ccr21.lon01.atlas.cogentco.com (204.68.252.85)
4 1.00 ms be2871.ccr42.lon13.atlas.cogentco.com (154.54.58.185)
5 63.45 ms be2983.ccr22.bos01.atlas.cogentco.com (154.54.1.178)
6 63.60 ms TrusteesOfBostonUniversity.demarc.cogentco.com (38.112.23.118)
7 63.55 ms comm595-core-res01-gi2-3-cumm111-bdr-gw01-gi1-2.bu.edu (128.197.254.125)
8 63.61 ms cumm024-dist-aca01-gi5-2-comm595-core-aca01-gi2-2.bu.edu (128.197.254.206)
9 90.28 ms cumm024-0701-dhcp-233.bu.edu (128.197.112.233)
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 20.73 seconds
Raw packets sent: 557 (25.462KB) | Rcvd: 97 (8.560KB)
और UDP पर:
Starting Nmap 6.00 ( http://nmap.org ) at 2016-12-20 20:44 EET
NSE: Loaded 17 scripts for scanning.
Initiating Ping Scan at 20:44
Scanning 128.197.112.233 [4 ports]
Completed Ping Scan at 20:44, 1.10s elapsed (1 total hosts)
Initiating UDP Scan at 20:44
Scanning cumm024-0701-dhcp-233.bu.edu (128.197.112.233) [1024 ports]
Completed UDP Scan at 20:44, 6.31s elapsed (1024 total ports)
Initiating Service scan at 20:44
Scanning 1024 services on cumm024-0701-dhcp-233.bu.edu (128.197.112.233)
Service scan Timing: About 0.39% done
Service scan Timing: About 3.12% done; ETC: 22:12 (1:25:46 remaining)
Service scan Timing: About 6.05% done; ETC: 21:53 (1:04:39 remaining)
Service scan Timing: About 8.98% done; ETC: 21:46 (0:56:03 remaining)
Discovered open port 123/udp on 128.197.112.233
Discovered open|filtered port 123/udp on cumm024-0701-dhcp-233.bu.edu (128.197.112.233) is actually open
Completed Service scan at 21:31, 2833.50s elapsed (1024 services on 1 host)
Initiating OS detection (try #1) against cumm024-0701-dhcp-233.bu.edu (128.197.112.233)
Retrying OS detection (try #2) against cumm024-0701-dhcp-233.bu.edu (128.197.112.233)
NSE: Script scanning 128.197.112.233.
Initiating NSE at 21:31
Completed NSE at 21:31, 10.02s elapsed
[+] Nmap scan report for cumm024-0701-dhcp-233.bu.edu (128.197.112.233)
Host is up (0.089s latency).
Not shown: 1023 open|filtered ports
PORT STATE SERVICE VERSION
123/udp open ntp?
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port123-UDP:V=6.00%I=7%D=12/20%Time=58597D5C%P=x86_64-unknown-linux-gnu
SF:%r(NTPRequest,30,"\xe4\x02\x04\xee\0\0\x8a\xff\0:t\xd9\x84\xa3\x04e\xdb
SF:\xcaeEX\xdbC'\xc5O#Kq\xb1R\xf3\xdc\x03\xfb\xb8\+>U\xab\xdc\x03\xfb\xb8\
SF:+T\xd1\xe9")%r(Citrix,C,"\xde\xc0\x010\x02\0\xa8\xe3\0\0\0\0");
Too many fingerprints match this host to give specific OS details
Network Distance: 9 hops
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 2863.89 seconds
Raw packets sent: 175 (6.720KB) | Rcvd: 50 (10.088KB)
iptables -L -v -nऔरip addr ls।