Re: Virus saindo pela rede. como descobrir?
Cara, sao essa portas que saem esses virus, pricipalmente a 445, se vc tem certeza que e realmente um virus, entao seu firewall esta com buraco, mas com certeza a melhor coisa que voce faz eh usar o tcpdump, como os amigos disseram, e olhar oque esta acontecendo...
Tente buscar as portas alvo de virus e escutar somente elas tipo...
# tcpdump -i eth0 net 10.10.10.0/8 and port 445
ou
# tcpdump -i eth0 port 445
ou
# tcpdump -i eth0 host 192.168.0.10 and port 445 and not port 22
enfim... alem disso, se vc pegar a dica do Stefano fica ainda melhor, voce pode filtrar varias portas de uma so vez... talvez voce tenha alguma regra que esta deixando passar trafego no FORWARD, tipo um RELATED,ESTABLISHED no lugar errado ou -j ACCEPT em uma rede ou uma regra errada... se voce tem um ponto de acesso para rede sem fio, te recomendo dropar qualquer trafego nas porta 137, 138, 139 e 445 em qualquer protocolo e entre qualquer maquina/rede
Re: Virus saindo pela rede. como descobrir?
as unicas regras no FORWARD sao essas:
iptables -A FORWARD -p tcp --dport 135:139 -j DROP
iptables -A FORWARD -p tcp --sport 135:139 -j DROP
iptables -A FORWARD -p udp --dport 135:139 -j DROP
iptables -A FORWARD -p udp --sport 135:139 -j DROP
iptables -A FORWARD -p tcp -m multiport --dport 31337,12345,36659,10000,17300,23232,32121,12065,28253,445 -j DROP
iptables -A FORWARD -p tcp -m multiport --sport 31337,12345,36659,10000,17300,23232,32121,12065,28253,445 -j DROP
iptables -A FORWARD -p udp -m multiport --dport 31337,12345,36659,10000,17300,23232,32121,12065,28253,445 -j DROP
iptables -A FORWARD -p udp -m multiport --sport 31337,12345,36659,10000,17300,23232,32121,12065,28253,445 -j DROP
a politica padrao é ACCEPT
nao sei qq ta acontecendo.
minha maquina ta bloqueada na spamhaus.org na XBL (http://www.spamhaus.org/xbl/index.lasso), que trata de virus, open proxies e etc...
acho que só pode ser virus mesmo =/
Re: Virus saindo pela rede. como descobrir?
então não usa o tcpdump e fica com o problema.........oras..........
vou ganhar um ponto negativo no karma....huauhahua
Re: Virus saindo pela rede. como descobrir?
Acho q todo mundo aqui vai concordar comigo que voce deve usar a policy padrao no FORWARD em DROP nao ACCEPT.