Portál AbcLinuxu, 14. května 2025 02:00

Dotaz: divny traffic

10.4.2006 14:14 maros
divny traffic
Přečteno: 88×
Odpovědět | Admin
Dnes mi z nicoho nic zacal SNORT vyhadzovat hlasky BAD-TRAFFIC same SRC/DST [Classification: Potentially Bad Traffic].

Ide o komunikaciu, kde zdroj aj ciel su tie iste IP.

Divna je komunikacia medzi vnutornou IP (192.168.1.1) servera, ide to z portu mysql/3306 na vysoke porty (okolo 41000, 60000), ktore sa menia, niekedy systematicky 60001, 60002, 60003....

MySQL demon nebezi, tcpdump -ni eth0 dst host 192.168.1.1 nic nezachyti.

V logoch sa to objavuje kazdych 5 minut.

Tiez takymto principom ide o komunikaciu medzi verejnou IP servera, tentoraz z portu 80 -> na vysoke porty a naopak, teda z vysokych portov -> 80.

Apache bezi na vnutornej i verejnej IP adrese.

Spustal som chkrootkit - nenasiel nic.
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

10.4.2006 16:08 secido | skóre: 27
Rozbalit Rozbalit vše Re: divny traffic
Odpovědět | | Sbalit | Link | Blokovat | Admin
Skus tcpdump -ni lo dst host 192.168.1.1 pripadne netstat.
11.4.2006 09:13 maros
Rozbalit Rozbalit vše Re: divny traffic
tcpdump na lo mi nic nepovedal a taktiez netstat.

Dnesny problem je, uzivatelia sa pripajaju k MySQL cez PHP. V PHP riadne uzatvaraju spojenia, ale aj tak, ked niekolkokrat refreshnu stranku s PHP skriptom, tak sa prekroci max_connectionns (nastavene na 15).

To znamena, ze kazdy refresh = nove spojenie. Ale ved v skripte je mysql_close();

Vysledok funkcie mysql_close() v skripte je TRUE.

Nesuvisi to s tym traffic z 3306/mysql portu?
11.4.2006 09:33 maros
Rozbalit Rozbalit vše Re: divny traffic
Ale predsa tcpdump tcpdump -nei lo dst host 192.168.1.1 dal nejaky vystup a dost husty.

09:30:02.752314 00:00:00:00:00:00 > 00:00:00:00:00:00, ethertype IPv4 (0x0800), length 75: IP 192.168.1.1.3306 > 192.168.1.1.47408: P 4422:4431(9) ack 2482 win 8192 nop,nop,timestamp 83528538 83528538

Vidite tam tie divne MAC adresy?

BTW pocitac padol pri vypadku elektriny.
11.4.2006 10:59 secido | skóre: 27
Rozbalit Rozbalit vše Re: divny traffic
Hod sem vypis netstat -atp.
11.4.2006 11:10 maros
Rozbalit Rozbalit vše Re: divny traffic
Hlasky isli aj ked MySQL demon bol shutdownuty. 
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State                                                                       PID/Program name
tcp        0      0 *:imaps                 *:*                     LISTEN                                                                      5856/dovecot
tcp        0      0 192.168.1.1:mysql       *:*                     LISTEN                                                                      16319/mysqld
tcp        0      0 *:http                  *:*                     LISTEN                                                                      5732/apache2
tcp        0      0 *:ftp                   *:*                     LISTEN                                                                      6200/vsftpd                                                                      
tcp        0      0 *:smtp                  *:*                     LISTEN                                                                      6029/master
tcp        0      0 *:https                 *:*                     LISTEN                                                                      5732/apache2

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.