[CentOS-pt-br] RES: tcpdump

Marcelo Gondim gondim em linuxinfo.com.br
Terça Outubro 6 01:10:33 UTC 2009


Ummmmm isso tá bem estranho. Esse seu servidor é também um servidor de DNS
para alguma rede sua? Já checou os processos para ver se não tem nada de
estranho rodando no seu servidor? Ele possui algum firewall? Está 100%
atualizado? Porque se não está atualizado e tiver alguma possibilidade de
acesso remoto através da Internet, ele pode ter sido comprometido. Mas é
complexo de afirmar isso sem olhar o sistema.
Instala também o rkhunter para checar se tem algum rootkit conhecido,
instalado no seu servidor. Eu sei que são palavras pessimistas meu amigo mas
temos que pensar em tudo e checar tudo. :)
Faz esse comando pra ver se pelo menos param os acessos:

iptables -I OUTPUT -p udp --dport 53 -d 72.232.177.66 -j DROP


-----Mensagem original-----
De: centos-pt-br-bounces em centos.org [mailto:centos-pt-br-bounces em centos.org]
Em nome de ASalomao
Enviada em: segunda-feira, 5 de outubro de 2009 20:41
Para: centos-pt-br em centos.org
Assunto: [CentOS-pt-br] tcpdump

Opa,

Eu de novo, seguinte não manjo muito do tcpdump, mas meu servidor centos 
5.2 tem apresentado um certo consumo de banda alto, após muito procurar 
a única anormalidade que encontrei foi essa:

IP (tos 0x0, ttl  64, id 0, offset 0, flags [DF], proto: UDP (17), 
length: 29) xxx.xxx.xxx.xxx.43226 > 72.232.177.66.domain: [udp sum ok] 
[|domain]

ao rodar qquer comando no tcpdump ele só tem esse IP, aprox umas 200 
requisições por segundo

Tentei bloquear o IP no IPTables, mas pelo visto não adiantou.

ABs



__________ Information from ESET NOD32 Antivirus, version of virus signature
database 4482 (20091005) __________

The message was checked by ESET NOD32 Antivirus.

http://www.eset.com


_______________________________________________
CentOS-pt-br mailing list
CentOS-pt-br em centos.org
http://lists.centos.org/mailman/listinfo/centos-pt-br
 

__________ Informação do ESET NOD32 Antivirus, versão da vacina 4482
(20091005) __________

A mensagem foi verificada pelo  ESET NOD32 Antivirus.

http://www.eset.com
 
 

__________ Informação do ESET NOD32 Antivirus, versão da vacina 4482
(20091005) __________

A mensagem foi verificada pelo  ESET NOD32 Antivirus.

http://www.eset.com
 



Mais detalhes sobre a lista de discussão CentOS-pt-br