Página 3 de 3 PrimeiroPrimeiro 123
+ Responder ao Tópico



  1. #11
    felco
    Cara, sao essa portas que saem esses virus, pricipalmente a 445, se vc tem certeza que e realmente um virus, entao seu firewall esta com buraco, mas com certeza a melhor coisa que voce faz eh usar o tcpdump, como os amigos disseram, e olhar oque esta acontecendo...
    Tente buscar as portas alvo de virus e escutar somente elas tipo...

    # tcpdump -i eth0 net 10.10.10.0/8 and port 445
    ou
    # tcpdump -i eth0 port 445
    ou
    # tcpdump -i eth0 host 192.168.0.10 and port 445 and not port 22

    enfim... alem disso, se vc pegar a dica do Stefano fica ainda melhor, voce pode filtrar varias portas de uma so vez... talvez voce tenha alguma regra que esta deixando passar trafego no FORWARD, tipo um RELATED,ESTABLISHED no lugar errado ou -j ACCEPT em uma rede ou uma regra errada... se voce tem um ponto de acesso para rede sem fio, te recomendo dropar qualquer trafego nas porta 137, 138, 139 e 445 em qualquer protocolo e entre qualquer maquina/rede


  2. as unicas regras no FORWARD sao essas:

    iptables -A FORWARD -p tcp --dport 135:139 -j DROP
    iptables -A FORWARD -p tcp --sport 135:139 -j DROP

    iptables -A FORWARD -p udp --dport 135:139 -j DROP
    iptables -A FORWARD -p udp --sport 135:139 -j DROP

    iptables -A FORWARD -p tcp -m multiport --dport 31337,12345,36659,10000,17300,23232,32121,12065,28253,445 -j DROP
    iptables -A FORWARD -p tcp -m multiport --sport 31337,12345,36659,10000,17300,23232,32121,12065,28253,445 -j DROP

    iptables -A FORWARD -p udp -m multiport --dport 31337,12345,36659,10000,17300,23232,32121,12065,28253,445 -j DROP
    iptables -A FORWARD -p udp -m multiport --sport 31337,12345,36659,10000,17300,23232,32121,12065,28253,445 -j DROP


    a politica padrao é ACCEPT
    nao sei qq ta acontecendo.
    minha maquina ta bloqueada na spamhaus.org na XBL (http://www.spamhaus.org/xbl/index.lasso), que trata de virus, open proxies e etc...

    acho que só pode ser virus mesmo =/



  3. #13
    Super_Diaulas
    então não usa o tcpdump e fica com o problema.........oras..........

    vou ganhar um ponto negativo no karma....huauhahua

  4. #14
    felco
    Acho q todo mundo aqui vai concordar comigo que voce deve usar a policy padrao no FORWARD em DROP nao ACCEPT.






Tópicos Similares

  1. Respostas: 8
    Último Post: 18-10-2008, 04:11
  2. Como executar comandos em outras máquinas pela rede?
    Por maniero no fórum Linguagens de Programação
    Respostas: 3
    Último Post: 05-06-2007, 07:28
  3. como descobrir computadores na rede
    Por mcyberx no fórum Servidores de Rede
    Respostas: 9
    Último Post: 03-01-2005, 21:11
  4. Como instalar uma impressora pela rede ?
    Por GuE no fórum Servidores de Rede
    Respostas: 2
    Último Post: 20-10-2003, 14:24
  5. como instalar o linux cl8 em varias maquinas pela rede
    Por Leyzem no fórum Servidores de Rede
    Respostas: 1
    Último Post: 08-02-2003, 16:04

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L