[Risolto] Trovare applicazione che invia dati

La rete, Internet, configurazione di Servizi e tutto ciò che permette la comunicazione tra macchine

[Risolto] Trovare applicazione che invia dati

Messaggioda wayout » 15/12/2017, 10:55

Salve,

ho un problema su un server. Guardanto l'output di nethogs vedo che ci sono dei processi che inviano dati e mi saturano la banda.

Codice: Seleziona tutto
?     root     10.10.20.11:41197-43.227.220.208:9001^[[19;213H0.011^[[225G0.000 KB/sec
?     root     10.10.20.11:42430-43.227.216.78:9001^[[20;213H0.013^[[225G0.000 KB/sec
?     root     10.10.20.11:27250-58.220.33.28:8001^[[21;213H0.021^[[225G0.000 KB/sec
?     root     10.10.20.11:39725-43.227.220.208:9001^[[22;213H0.018^[[225G0.000 KB/sec
?     root     10.10.20.11:35117-43.227.216.78:9001^[[23;213H0.011^[[225G0.000 KB/sec
?     root     10.10.20.11:5761-58.220.33.28:8001^[[24;213H0.018^[[225G0.000 KB/sec


Sopra c'è un estratto del log. Ci sono centinaia di righe come questa.
10.10.20.11 è il mio server.
come posso risalire ai processi in questione?

temo che venga eseguito qualche script a mia insaputa. Per ora ho bloccato le connessioni in uscita verso questi due IP con iptables. Però ho dovuto farlo a mano, neanche fail2ban aveva evidenziato niente di anomalo
Ultima modifica di wayout il 28/12/2017, 20:51, modificato 1 volta in totale.
wayout
Full Member
Full Member
 
Messaggi: 218
Iscritto il: 07/06/2008, 11:17

Re: Trovare applicazione che invia dati

Messaggioda mark » 15/12/2017, 12:31

banalmente
Codice: Seleziona tutto
 whois 58.220.33.28
 whois 43.227.220.208

ti dice qualcosa di significativo?
Avatar utente
mark
Hero Member
Hero Member
 
Messaggi: 595
Iscritto il: 10/01/2007, 16:53

Re: Trovare applicazione che invia dati

Messaggioda wayout » 15/12/2017, 12:52

mark ha scritto:banalmente
Codice: Seleziona tutto
 whois 58.220.33.28
 whois 43.227.220.208

ti dice qualcosa di significativo?


Avevo controllato, server Cinesi. Mi sa tanto che hanno bucato il server. Almeno vorrei vedere se hanno piazzato qualche app indesiderata
wayout
Full Member
Full Member
 
Messaggi: 218
Iscritto il: 07/06/2008, 11:17

Re: Trovare applicazione che invia dati

Messaggioda byte64 » 15/12/2017, 15:40

Puoi provare con chkrootkit e/o rkhunter.
Sono entrmabi pacchettizati per debian.
Se trovi qualche cosa, magari informaci......è sempre utile avere info su eventuali rootkit che girano.

Ciao
byte64
Sr. Member
Sr. Member
 
Messaggi: 351
Iscritto il: 07/01/2017, 19:02
Località: Bergamo

Re: Trovare applicazione che invia dati

Messaggioda ferdybassi » 18/12/2017, 8:46

Ma che server è?
Cosa fa?
A me era capitata una cosa del genere su un server Apache, si era messo a inviare tonnellate di mail.
Avevo risolto:
- impedendo che l'utente www-data potesse inviare email (per tamponare la cosa in attesa di trovare il problema)
- cercando lo script che inviava mail
Era saltato fuori che avevano bucato il Joomla di un cliente, che non aveva aggiornato né il core né i plugin.
Mi ero fatto un paio di appunti:
http://guide.debianizzati.org/index.php ... ver_Apache
http://guide.debianizzati.org/index.php ... viano_SPAM

Ciao
Immagine  Immagine
Avatar utente
ferdybassi
Administrator
Administrator
 
Messaggi: 3260
Iscritto il: 28/12/2006, 4:22
Località: S. Angelo Lodigiano (LO)

Re: Trovare applicazione che invia dati

Messaggioda wayout » 18/12/2017, 10:36

byte64 ha scritto:Puoi provare con chkrootkit e/o rkhunter.
Sono entrmabi pacchettizati per debian.
Se trovi qualche cosa, magari informaci......è sempre utile avere info su eventuali rootkit che girano.

Ciao


Grazie per l'aiuto. Purtroppo non mi sembra che esca fuori qualcosa di sospetto
wayout
Full Member
Full Member
 
Messaggi: 218
Iscritto il: 07/06/2008, 11:17

Re: Trovare applicazione che invia dati

Messaggioda wayout » 18/12/2017, 10:43

ferdybassi ha scritto:Ma che server è?
Cosa fa?
A me era capitata una cosa del genere su un server Apache, si era messo a inviare tonnellate di mail.
Avevo risolto:
- impedendo che l'utente www-data potesse inviare email (per tamponare la cosa in attesa di trovare il problema)
- cercando lo script che inviava mail
Era saltato fuori che avevano bucato il Joomla di un cliente, che non aveva aggiornato né il core né i plugin.
Mi ero fatto un paio di appunti:
http://guide.debianizzati.org/index.php ... ver_Apache
http://guide.debianizzati.org/index.php ... viano_SPAM

Ciao


E' un server di CRM (PHP) su cui è installato un'ambiente Java con una serie di applicazioni di utilità e reportistica.
Venerdì sera notai tanti collegamenti anomali che avevano come sorgente mysql e quindi per ora ho chiuso l'accesso a MySQL dall'esterno (non serviva più) facendo bind su 127.0.0.1

Ora provvedo a fare un hardening del server come consigliato e ne approfitto per farti i complimenti per la soluzione email, davvero semplice e geniale.

Grazie mille. Appena riesco a capire meglio cosa è successo o cambia qualcosa vi aggiorno
wayout
Full Member
Full Member
 
Messaggi: 218
Iscritto il: 07/06/2008, 11:17

Re: Trovare applicazione che invia dati

Messaggioda wayout » 18/12/2017, 10:45

Intanto scrivo una cosa banale che ho utilizzato ma che probabilmente potrebbe essere utile a qualcuno.
Per vedere i processi che utilizzano le porte di sistema:

Codice: Seleziona tutto
netstat -tulpn

vedere l'ultima colonna dove è mostrato il PID e dare il comando

Codice: Seleziona tutto
ls -l /proc/<PROC_PID>/exe

In modo da vedere l'applicazione a cui punta
wayout
Full Member
Full Member
 
Messaggi: 218
Iscritto il: 07/06/2008, 11:17

Re: Trovare applicazione che invia dati

Messaggioda ferdybassi » 18/12/2017, 11:06

wayout ha scritto:Intanto scrivo una cosa banale che ho utilizzato ma che probabilmente potrebbe essere utile a qualcuno.

Grazie!
Aggiungo alla guida :)
Immagine  Immagine
Avatar utente
ferdybassi
Administrator
Administrator
 
Messaggi: 3260
Iscritto il: 28/12/2006, 4:22
Località: S. Angelo Lodigiano (LO)

Re: [Risolto] Trovare applicazione che invia dati

Messaggioda wayout » 28/12/2017, 20:53

Per completezza vi aggiorno.

Ho reinstallato ex novo il Server con l'ultima debian e penato non poco per far funzionare le app.

Ho inserito nagios e netstat (inclusa la web gui) così da avere sotto controllo eventuali anomalie di rete e tarato iptables per lasciare aperte solo le porte strettamente necessarie.

Grazie a tutti per il supporto offertomi
wayout
Full Member
Full Member
 
Messaggi: 218
Iscritto il: 07/06/2008, 11:17


Torna a Network

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

cron