CPU a 100% e acesso indevido ao MK..

[bnet]

Caros amigos, to com o seguinte problema, de uma hora pra outra meus 02 mk´s começaram a mostrar CPU em 100%..fui dar uma olhada e o trafego no Link estava full UP e DOWN..

Tipico de acesso externo ao WEB_PROXY, mas ja não tinha este problema a mais de um ano quando implantei as regras de firewall para bloqueio externo de acesso ao firewall..tiradas aqui do Forum.

Bom quando fui ver constatei que as regras haviam sumido, recoloqueias no firewall, começou aparecer la no counter uma serie de Drop´s de tentativas de acesso ao mesmo..

Mas o link voltou a trafego normal.. Parecia tudo resolvido..

Mas o processamento de CPU que não passa dos 5% normalmente caiu por um breve período mas retornou a se elevar..

Peguei mais umas regras de bloqueio as portas 22, 23, 8291 aqui no forum, não as entendi muito bem, mas coloquei la pra testar...nada..

desabilitei ssh e telnet em IP/Services..

to colocando aqui minhas regras de Firewall..

se alguem tiver uma luz..

Muito Grato..

/ ip firewall filter
add chain=input action=drop in-interface="Link BrTelecom" dst-port=8080 protocol=tcp comment="Prote ao Externa \
Proxy,,," disabled=no
add chain=input action=drop in-interface="Link BrTelecom" dst-port=8081 protocol=tcp comment="Prote ao Externa \
Proxy,,," disabled=no

add chain=input action=drop dst-port=22 protocol=tcp src-address-list=black_list comment="DROP SSH BRUTE FORCE - to \
testando will, colocado por milton.." disabled=no
add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp \
src-address-list=ssh_stage3 address-list=black_list address-list-timeout=1d comment="" disabled=no
add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp \
src-address-list=ssh_stage2 address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
add chain=input action=add-src-to-address-list connection-state=new dst-port=22 protocol=tcp \
src-address-list=ssh_stage1 address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
add chain=input action=add-src-to-address-list connection-state=established dst-port=8291 protocol=tcp \
connection-limit=2,32 address-list="drop winbox" address-list-timeout=12h comment="" disabled=no
add chain=input action=add-src-to-address-list connection-state=established dst-port=80 protocol=tcp \
connection-limit=2,32 address-list="drop winbox" address-list-timeout=12h comment="" disabled=no
add chain=input action=add-src-to-address-list connection-state=established dst-port=23 protocol=tcp \
connection-limit=2,32 address-list=dropa address-list-timeout=12h comment="" disabled=no

add chain=forward action=accept connection-state=established comment="" disabled=no
add chain=forward action=accept connection-state=related comment="" disabled=no
add chain=forward action=drop connection-state=invalid comment="" disabled=no
add chain=forward action=drop tcp-flags=syn protocol=tcp connection-limit=15,32 src-address-list=limit-conexao \
comment="controle de conexo por cliente 15/32" disabled=no
add chain=forward action=drop p2p=all-p2p protocol=tcp connection-limit=10,32 comment="" disabled=no
add chain=forward action=accept protocol=icmp comment="" disabled=no
add chain=forward action=accept protocol=udp comment="" disabled=no
add chain=input action=accept connection-state=established comment="" disabled=no
add chain=input action=accept connection-state=related comment="" disabled=no
add chain=input action=accept protocol=udp comment="" disabled=no
add chain=input action=accept protocol=icmp comment="" disabled=no
add chain=output action=accept connection-state=related comment="" disabled=no
add chain=forward action=drop dst-port=135 protocol=udp comment="Drop Netbius e Similar" disabled=no
add chain=forward action=drop dst-port=135 protocol=tcp comment="" disabled=no
add chain=forward action=drop dst-port=137 protocol=udp comment="" disabled=no
add chain=forward action=drop dst-port=137 protocol=tcp comment="" disabled=no
add chain=forward action=drop dst-port=138 protocol=udp comment="" disabled=no
add chain=forward action=drop dst-port=138 protocol=tcp comment="" disabled=no
add chain=forward action=drop dst-port=139 protocol=udp comment="" disabled=no
add chain=forward action=drop dst-port=139 protocol=tcp comment="" disabled=no
add chain=forward action=drop dst-port=445 protocol=tcp comment="" disabled=no
add chain=forward action=drop dst-port=445 protocol=udp comment="" disabled=no
add chain=output action=log tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg ,!ece,!cwr protocol=tcp log-prefix="" comment="" \
disabled=no
add chain=input action=drop connection-state=invalid comment="" disabled=no
add chain=input action=drop dst-port=22 protocol=tcp comment="" disabled=no
add chain=input action=drop dst-port=23 protocol=tcp comment="" disabled=no
add chain=services action=accept src-address=127.0.0.1 dst-address=127.0.0.1 comment="accept localhost" disabled=no
add chain=services action=accept dst-port=20-21 protocol=tcp comment="allow ftp" disabled=no
add chain=services action=accept dst-port=80 protocol=tcp comment="allow http, webbox" disabled=no
add chain=services action=accept dst-port=8291 protocol=tcp comment="Allow winbox" disabled=no
add chain=services action=accept dst-port=20561 protocol=udp comment="allow MACwinbox " disabled=no
add chain=services action=accept dst-port=2000 protocol=tcp comment="Bandwidth server" disabled=no
add chain=services action=accept dst-port=1701 protocol=udp comment="allow L2TP" disabled=no
add chain=services action=accept dst-port=1723 protocol=tcp comment="allow PPTP" disabled=no
add chain=services action=accept dst-port=1900 protocol=udp comment="UPnP" disabled=no
add chain=services action=accept dst-port=2828 protocol=tcp comment="UPnP" disabled=no
add chain=services action=accept dst-port=67-68 protocol=udp comment="allow DHCP" disabled=no
add chain=services action=accept dst-port=8080 protocol=tcp comment="allow Web Proxy" disabled=no
add chain=services action=accept dst-port=123 protocol=tcp comment="allow NTP" disabled=no
add chain=services action=accept dst-port=161 protocol=tcp comment="allow SNMP" disabled=no
add chain=forward action=accept dst-port=443 protocol=tcp comment="allow https for Hotspot" disabled=no
add chain=services action=accept dst-port=1080 protocol=tcp comment="allow Socks for Hotspot" disabled=no
add chain=services action=accept dst-port=500 protocol=udp comment="allow IPSec connections" disabled=no
add chain=services action=accept dst-port=179 protocol=tcp comment="Allow BGP" disabled=no
add chain=services action=accept dst-port=520-521 protocol=udp comment="allow RIP" disabled=no
add chain=services action=accept dst-port=5000-5100 protocol=udp comment="allow BGP" disabled=no
add chain=services action=accept dst-port=1720 protocol=tcp comment="allow Telephony" disabled=no
add chain=services action=accept dst-port=1719 protocol=udp comment="allow Telephony" disabled=no
add chain=virus action=drop dst-port=135-139 protocol=tcp comment="Drop Blaster Worm" disabled=no
add chain=virus action=drop dst-port=135-139 protocol=udp comment="Drop Messenger Worm" disabled=no
add chain=virus action=drop dst-port=445 protocol=tcp comment="Drop Blaster Worm" disabled=no
add chain=virus action=drop dst-port=445 protocol=udp comment="Drop Blaster Worm" disabled=no
add chain=virus action=drop dst-port=593 protocol=tcp comment="________" disabled=no
add chain=virus action=drop dst-port=1024-1030 protocol=tcp comment="________" disabled=no
add chain=virus action=drop dst-port=1080 protocol=tcp comment="Drop MyDoom" disabled=no
add chain=virus action=drop dst-port=1214 protocol=tcp comment="________" disabled=no
add chain=virus action=drop dst-port=1363 protocol=tcp comment="ndm requester" disabled=no
add chain=virus action=drop dst-port=1364 protocol=tcp comment="ndm server" disabled=no
add chain=virus action=drop dst-port=1368 protocol=tcp comment="screen cast" disabled=no
add chain=virus action=drop dst-port=1373 protocol=tcp comment="hromgrafx" disabled=no
add chain=virus action=drop dst-port=1377 protocol=tcp comment="cichlid" disabled=no
add chain=virus action=drop dst-port=1433-1434 protocol=tcp comment="Worm" disabled=no
add chain=virus action=drop dst-port=2745 protocol=tcp comment="Bagle Virus" disabled=no
add chain=virus action=drop dst-port=2283 protocol=tcp comment="Drop Dumaru.Y" disabled=no
add chain=virus action=drop dst-port=2535 protocol=tcp comment="Drop Beagle" disabled=no
add chain=virus action=drop dst-port=2745 protocol=tcp comment="Drop Beagle.C-K" disabled=no
add chain=virus action=drop dst-port=3127-3128 protocol=tcp comment="Drop MyDoom" disabled=no
add chain=virus action=drop dst-port=3410 protocol=tcp comment="Drop Backdoor OptixPro" disabled=no
add chain=virus action=drop dst-port=4444 protocol=tcp comment="Worm" disabled=no
add chain=virus action=drop dst-port=4444 protocol=udp comment="Worm" disabled=no
add chain=virus action=drop dst-port=5554 protocol=tcp comment="Drop Sasser" disabled=no
add chain=virus action=drop dst-port=8866 protocol=tcp comment="Drop Beagle.B" disabled=no
add chain=virus action=drop dst-port=9898 protocol=tcp comment="Drop Dabber.A-B" disabled=no
add chain=virus action=drop dst-port=10080 protocol=tcp comment="Drop MyDoom.B" disabled=no
add chain=virus action=drop dst-port=12345 protocol=tcp comment="Drop NetBus" disabled=no

Estas duas regras abaixo apareceram no meu firewall não sei como, mas pelo que pesquizei, são utilizadas pel jogo warcraft
add chain=input action=passthrough src-port=6112 dst-port=6119 protocol=tcp comment="Muito \
suspeitas........................" disabled=yes
add chain=input action=passthrough src-port=6112 dst-port=6119 protocol=udp comment="" disabled=yes

[dougdoidao]

Já tive um problema parecido, com trafego 100% e processamento no servidor, estava nas configurações do meu web-proxy, uso a versão 3.2 e toda vez que eu habilitava o web-proxy com as configurações para que ele funcionasse direto no servidor, meu link ficava full e o processamento do servidor em 100% e a máquina é bem moderna e excelente configuração. Pra resolver, configurei um proxy externo em outro pc e voltou tudo ao normal, agora o processamento não passa de 5% e o link funcionando com perfeição.
Talvez possa ser o seu problema tmbm.

Citação:

Postado Originalmente por bnet

Caros amigos, to com o seguinte problema, de uma hora pra outra meus 02 mk´s começaram a mostrar CPU em 100%..fui dar uma olhada e o trafego no Link estava full UP e DOWN..

Tipico de acesso externo ao WEB_PROXY, mas ja não tinha este problema a mais de um ano quando implantei as regras de firewall para bloqueio externo de acesso ao firewall..tiradas aqui do Forum.

Bom quando fui ver constatei que as regras haviam sumido, recoloqueias no firewall, começou aparecer la no counter uma serie de Drop´s de tentativas de acesso ao mesmo..

Mas o link voltou a trafego normal.. Parecia tudo resolvido..

Mas o processamento de CPU que não passa dos 5% normalmente caiu por um breve período mas retornou a se elevar..

Peguei mais umas regras de bloqueio as portas 22, 23, 8291 aqui no forum, não as entendi muito bem, mas coloquei la pra testar...nada..

desabilitei ssh e telnet em IP/Services..

to colocando aqui minhas regras de Firewall..

se alguem tiver uma luz..

Muito Grato..

[renatocostas]

Seria a solução mais prática, ja é provado que o proxy no mk não é tanta vantagem, eu mesmo ja usei e não gostei, hoje eu uso o proxy em paralelo com o mk, e está funcionando a toda sem nenhum problema, para mim ficou até mais fácil salvar os logs de acesso que era uma preocupação que eu tinha, desative o seu proxy a nível de teste e poste o seu resultado.

Abraços,

Renato Costa.

[superxandaoce]

Cara, já me aconteceu de 100% de processamento em alguma cituações:
1ª Tava com o proxy externo aberto
2ª System/logging/web-proxy tava ativo...
3ª Firewall exagerado, eu tinha pegue um de um site americano, acho que bloqueava coisa demais

mais o que me deu mais trabalho por incrível que pareça foi a 2ª porque imaginei um monte de coisa, menos que um log de web-proxy tava me causando processamento exagerado.

Agora o seu caso, ta parecendo com o seguinte: você andou deixando o winbox com sua senha em algum cliente, o cara anda fazendo modificações no teu sistema, ou por curiosidade ou pra te prejudicar mesmo..