Mac address zoeken in netwerk

Geachte medetweakers, ik zit met een vervelend probleem, 1 van onze server is gehacked.
Deze neemt continue de verschillende gateways als ip in gebruik, waardoor het hele netwerk inklapt.
Ik heb het mac adress van de oorzaker (het zijn er trouwens meerdere), maar ik kom er niet achter waar hij zit.
Hoe kan ik makkelijk zien van welke server dit mac addy is ?

[ Voor 4% gewijzigd door CrankyGamerOG op 10-05-2008 11:31 ]

Anoniem: 100583 schreef op zaterdag 10 mei 2008 @ 11:36:
Je wilt weten welke server dit in je netwerk is of..? beetje vaag verhaal

dude ff serieus, is een compleet normale vraag

@ hierboven het zijn allemaal cisco's, een van de servers is dus gehackt waarschijnlijk en pakt steeds de gateway.

show mac had ik dus al, en het leid terug naar een apc, ik snap er even niks meer van
hij veranderd steeds van mac (lijkt dus te spoofen)
ik volg ze steeds maar kom steeds te laat, nu is het netwerk weer rustig maar heb het dus nog niet gevonden

[ Voor 30% gewijzigd door CrankyGamerOG op 10-05-2008 15:21 ]

idd, maar ik heb de boosdoener *denk ik gevonden (maar nog niet te hard roepen).
Er staat igg wel een binary op die er niet thuis hoort, maar nu komt de nog grotere vraag....
Hoe is deze daar in vredesnaam gekomen ..... tis geen server die in gebruik is voor commerciele doeleinden.
Bwz. er draaide niks op kwa services.

@iemand(zet zo de naam erbij )
Jah dat zou je denken he, maar geen enkele grafiek liet een buitengewone increase zien
dus zowel op de core als de individuele switches, kwa traffic was er niks loos (zo leek het althans)

Heb hem btw gevonden dmv een report van onze uplinkpartij (geweldige steun , ook al was het niet hun probleem ), deze detecteerde dus zoals ik zei een dubbele gateway.
Dat mac adress heb ik na lang zoeken via de core naar de uiteindelijk switch terug herleid en toen naar de server (hij was eerst bijv helemaal niet te vinden )
wat ik wel wist was dat het een supermicro moest zijn (vendor mac prefix , thnx razor )
maja zoek hem dan maar eens tussen 400+ supermicro servers

*Nu komt het ALLERERGSTE , ik kom aan @ DC, netwerk al 10 min rustig....
en ik heb tot 18:00 daar gezeten, zoeken en ondertussen bleef het dus gewoon rustig.
maar ik weet nu dus nog niet 100% zeker of dit het was......(naja kans is klein dat het iets anders was maar nog)


de binary was trouwens *two* genaamd. (letterlijk met sterretjes)


hier een ouput van strings $ bestand
lijstje werd wel erg lang dus ik heb hem op zon codedump gegooid
Klikderklik


* CrankyGamerOG is logs doorspitten


btw Trail, dat portsecurity is nog niet eens zon gek idee, thnx

ODF schreef op zaterdag 10 mei 2008 @ 11:51:
Bij een beetje server staan de MAC adressen op de backplate of de nic zelf als het een insteekkaart is op de slotplate. Op zo'n manier hou ik ik mijn serverpark overzichtelijk met 40 servers.

Nou we hebben alleen maar Supermicro's en geen enkele van de 400+ heeft dit zoals jij het beschrijft, maar wel briljant idee idd, meteen even uitzoeken hoe ik dit snel kan implementeren.

[ Voor 255% gewijzigd door CrankyGamerOG op 10-05-2008 21:33 ]

Hey Trailblazer,
nee ze hebben geen connectiviteit naar elkaar nodig,
dat kan namelijk goed via de interne switches, ik snap ook niet wie dit zo bedacht heeft, maar dat terzijde.

We hebben wel het rack met de windows machines (grrr) in een apart vlan, omdat ik ze niet vertrouwde (windows he (nee geen troll)

Ik moet zowieso eens het hele netwerk gaan nalopen, ik zal eens een nieuwe opzet gaan uitschetsen.
In ieder geval thnx voor je hulp en je adviezen, ze vallen niet op dovemans oren

Ik denk trouwens dat de bak die ik gister uit het rack heb getrokken de boosdoener is (zowieso was hij er deel van, mac adress) het is namelijk nu de hele tijd rustig gebleven.

[ Voor 8% gewijzigd door CrankyGamerOG op 11-05-2008 11:32 ]