Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1616 connectés 

  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Sécurité

  DNS Flood vers ip inconnue

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

DNS Flood vers ip inconnue

n°770406
mexures
Posté le 02-06-2014 à 13:58:50  profilanswer
 

Bonjour à tous  :)  
 
Je fais appel à vous car je me retrouve confronter à un problème sur mes serveurs de supervision (maquettage).
En gros, je travaille sur ma maquette accessible depuis l'extérieur. Je réalise cette maquette depuis Cloudstack (cloud computing).
J'ai donc accès depuis une interface http à la gestion de mes VMs et des problématiques de sécurité (configuration Firewall, NAT,load-balancing).
Mes VMs tournent sur CentOS sur un même réseau.  
 
Lors de la configuration Firewall et NAT, j'ai fait attention à n'avoir aucun service sensible d'ouvert (pas de SSH, ni telnet). Les ports ouverts (exclusivement TCP) sont ceux utilisés par mes services de supervision (dont le port 80 pour l'accès aux interfaces de visualisation). J'ai vérifié mes logs d'accès et là, rien à signaler.
 
Depuis peu, j'ai par intermittence des milliers de paquets UDP sortant de mon réseau vers le port 53 d'une IP inconnue  :ouch: . J'en déduis qu'il y a eu intrusion sur mon réseau et qu'un de mes serveurs s'est vu "zombifié".
Je me dis aussi que je ne peux pas être victime d'une attaque préparé, mais plutôt victime d'un script type "kiddies".  
 
Même si le problème est "résolu" en bloquant l'ensemble des flux sortants, un de mes serveurs reste vérolé  
J'ai donc plusieurs interrogations:
- Par quelles moyens peut-il envoyer des requêtes DNS sans accès au shell? (pas de ssh ni telnet)
- Le danger peut-il venir d'un port ouvert non utilisé?
- Le jour où ça a commencé, je venais d'installé telnet sur un de mes serveurs pour tester des connexions sur mon réseau en local (le port 23 étant fermé et non naté au niveau FW). Peut-il y avoir un lien?
 
Plus qu'une résolution du problème (parce que je peux simplement shooter mes VMs et les remonter), j'aimerais comprendre le comment (au moins des pistes).
Je ne suis pas spécialiste sécu, donc ça reste nébuleux pour moi, mais si quelqu'un a des réponses à apporter, je prends :D
 
Merci :)

mood
Publicité
Posté le 02-06-2014 à 13:58:50  profilanswer
 

n°770547
Profil sup​primé
Posté le 03-06-2014 à 06:57:01  answer
 

Une de tes VMs est compromise et l'attaquant a obtenu un accès shell (peut-être pas root, mais pas besoin de root pour faire tourner un spambot ou un bot de DoS).
 
Un port ouvert en lui même ne pose pas de soucis, par contre si l'application écoutant sur ce port est vulnérable ou pas sécurisée (pas d'authentification) alors elle a pu être exploitée pour obtenir un accès shell et ainsi de suite.
 
J'ai pas compris ce que t'as fait au niveau de telnet mais si t'as utilisé telnet directement via Internet (et pas via un VPN ou un tunnel SSH) alors ton mot de passe a pu être intercepté pour être ensuite utilisé pour se connecter plus tard et installer le bot.
 
Essayes de voir avec netstat l'origine de ces paquets sur la machine compromise, et éventuellement voir avec top aussi (j'imagine qu'un truc comme ça utiliserait pas mal de CPU donc facilement remarquable).


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Sécurité

  DNS Flood vers ip inconnue

 

Sujets relatifs
[Résolu] Imprimer vers une imprimante branchée sur routeurRedirection emails depuis domaine secondaire vers dom principal
Nom de domaine et enregistrement DNSDiriger un port vers un pc, puis de ce pc vers un autre
Migration Pages perso Free vers OVHServeur VPN et résolution des DNS
[résolu] TP-LINK en mode client vers AP smartphonedlink DNS-327L Fun_plug et debian squeeze
siemens s7 300 vers ABB freelance 2000help Newbie sur NAS : copie DD usb vers nas ?
Plus de sujets relatifs à : DNS Flood vers ip inconnue


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR