[Debian - IpTables] Vreemde meldingen in logfile ip 0.0.0.0 - Linux en overige clients

donderdag 14 augustus 2003 09:41

Acties:

Verwijderd

Topicstarter

Systeem: Debian - Woody, Kernel 2.4.18, Ip-Tables.
Openstaand naar de buitenwereld:

ssh
apache-ssl

Sinds het RPC gebeuren van MS, kijk ik zo 's even iedere dag m'n firewall logs na,
nu blijkt dat er zo af en toe in eens een hele rits vreemde meldingen opduiken.

Voorbeeld melding:

code:

Aug 14 00:28:17 followme kernel: INPUT-REJECT:IN=eth0 OUT=
MAC=ff:ff:ff:ff:ff:ff:00:c0:02:79:24:03:08:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=44
TOS=0x00 PREC=0x00 TTL=63 ID=33026 PROTO=TCP SPT=33218 DPT=3626
WINDOW=3072 RES=0x00 ACK SYN URGP=0

Van deze melding komen er dan tientallen achterlkaar met iedere keer verschillende poortnummers.

Dat MAC address, komt zeker niet van een van mijn computers, nu zullen jullie
denken, zijn toch REJECTS, maak je niet druk. Waarom ik me druk maak is dat
er sinds dinsdag 18.00 uur ongeveer, bijna geen andere meldingen meer voorkomen in de logfile.
Iemand enig idee wat dit kan zijn, of zit er iemand in mijn @home segment te kloten?

donderdag 14 augustus 2003 10:30

Acties:

Wilke

Het IP 0.0.0.0 wordt dacht ik alleen gebruikt tijdens het booten, voordat dhcp gerund is. Het is verder iig geen geldig IP voor een werkend systeem.

Maar waar deze messages vandaan komen, beats me?

Je kunt eens proberen met ethereal te kijken of er verder nog wazig verkeer langskomt (qua ARP, ICMP e.d.)?

donderdag 14 augustus 2003 10:48

Acties:

Verwijderd

Topicstarter

Wilke schreef op 14 augustus 2003 @ 10:30:

Je kunt eens proberen met ethereal te kijken of er verder nog wazig verkeer langskomt (qua ARP, ICMP e.d.)?

Ik zal inderdaad eens kijken met ethereal, probleem is dat deze meldingen zo nu en dan in een golf langs komen. En de uitvoer van ethereal, is voor mij ook altijd
een hele puzzel. Maar idd je weet nooit wat er in voorkomt.

donderdag 14 augustus 2003 11:12

Acties:

moto-moi

Ja, ik haat jou ook :w

Je weet toch wel dat dat hele RPC gebeuren niets met je webserver te maken heeft he ? Ik bedoel, er is natuurlijk niets mis met je logfiles doorlopen, maar als je het doet om te kijken of je met RPC besmet bent, dan ben je in de verkeerde hoek aan het zoeken

God, root, what is difference? | Talga Vassternich | IBM zuigt

donderdag 14 augustus 2003 11:15

Acties:

Verwijderd

Topicstarter

moto-moi schreef op 14 August 2003 @ 11:12:
Je weet toch wel dat dat hele RPC gebeuren niets met je webserver te maken heeft he ? Ik bedoel, er is natuurlijk niets mis met je logfiles doorlopen, maar als je het doet om te kijken of je met RPC besmet bent, dan ben je in de verkeerde hoek aan het zoeken

Ja weet ik

, het is ook de toeval dat ik nu eens die logfiles na loop ( die rpc poorten werden dan ook keurig tegengehouden) , en dit tegenkom.

Collega van me , gaf ook al de opmerking dat eth0 de externe (internet) aansluiting is van de machine, en dat er iemand probeert te spoofen oid.

Ik denk dan ook dat ik gedeeltes van de log maar 's naar @home stuur, misschien
dat die wat kunnen met het mac address wat vermeld wordt.

donderdag 14 augustus 2003 11:37

Acties:

Verwijderd

Wat een raar soort verkeer

Geen source en destination adres, wel een SYN/ACK, 4 data bytes, en een destination poort die ik niet ken. (Volgens deze pagina is het een "bvControl Daemon" port)

/me wacht op de packet dumps...

edit:
Volgens deze pagina is het mac adres afkomstig van sercomm. Kan het niet toevallig zo zijn dat je router rare pakketten aan het genereren is?

[ Voor 33% gewijzigd door Verwijderd op 14-08-2003 11:46 ]

donderdag 14 augustus 2003 11:46

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 14 augustus 2003 @ 11:37:
Wat een raar soort verkeer Geen source en destination adres, wel een SYN/ACK, 4 data bytes, en een destination poort die ik niet ken. (Volgens deze pagina is het een "bvControl Daemon" port)

/me wacht op de packet dumps...

Packetdumps probeer ik vanavond wel even te posten, atlthans gedeeltes ervan.
Die poort is toeval, de poorten die vermeld worden hebben een vrij groot bereiuk/spectrum.

De log via fwanalog:

code:

#blocks: %blocks:          last time: blocked packet
-------: -------: ------------------: --------------
    811:  83.69%: Aug/14/03 12:51 AM: 0.0.0.0
    810:  83.59%: Aug/14/03 12:51 AM:   0.0.0.0/tcp
     30:   3.10%: Aug/14/03 12:43 AM:     0.0.0.0:33279/tcp
     30:   3.10%: Aug/14/03 12:23 AM:     0.0.0.0:33262/tcp
     30:   3.10%: Aug/14/03 12:33 AM:     0.0.0.0:33270/tcp
     29:   2.99%: Aug/14/03 12:27 AM:     0.0.0.0:33220/tcp
     28:   2.89%: Aug/14/03 12:24 AM:     0.0.0.0:33221/tcp
     28:   2.89%: Aug/14/03 12:18 AM:     0.0.0.0:33226/tcp
     28:   2.89%: Aug/14/03 12:03 AM:     0.0.0.0:33036/tcp
     24:   2.48%: Aug/14/03 12:39 AM:     0.0.0.0:33275/tcp
     22:   2.27%: Aug/14/03 12:28 AM:     0.0.0.0:33218/tcp
     22:   2.27%: Aug/14/03 12:36 AM:     0.0.0.0:33269/tcp
     20:   2.06%: Aug/14/03 12:45 AM:     0.0.0.0:33278/tcp
     20:   2.06%: Aug/14/03 12:51 AM:     0.0.0.0:33287/tcp
     20:   2.06%: Aug/14/03 12:06 AM:     0.0.0.0:32803/tcp
     19:   1.96%: Aug/14/03 12:09 AM:     0.0.0.0:32802/tcp
     18:   1.86%: Aug/14/03 12:33 AM:     0.0.0.0:3630/tcp
     18:   1.86%: Aug/14/03 12:16 AM:     0.0.0.0:33229/tcp
     17:   1.75%: Aug/14/03 12:43 AM:     0.0.0.0:3632/tcp
     15:   1.55%: Aug/14/03 12:27 AM:     0.0.0.0:3778/tcp
     15:   1.55%: Aug/14/03 12:23 AM:     0.0.0.0:3627/tcp
     14:   1.44%: Aug/14/03 12:24 AM:     0.0.0.0:3775/tcp
     14:   1.44%: Aug/14/03 12:18 AM:     0.0.0.0:3777/tcp
     14:   1.44%: Aug/14/03 12:03 AM:     0.0.0.0:3624/tcp
     12:   1.24%: Aug/14/03 12:10 AM:     0.0.0.0:33217/tcp
     12:   1.24%: Aug/14/03 12:39 AM:     0.0.0.0:3514/tcp
     12:   1.24%: Aug/14/03 12:30 AM:     0.0.0.0:33267/tcp
     12:   1.24%: Aug/14/03 12:30 AM:     0.0.0.0:3520/tcp
     12:   1.24%: Aug/14/03 12:09 AM:     0.0.0.0:3521/tcp
     11:   1.14%: Aug/14/03 12:28 AM:     0.0.0.0:3626/tcp
     11:   1.14%: Aug/14/03 12:45 AM:     0.0.0.0:3511/tcp
     11:   1.14%: Aug/14/03 12:36 AM:     0.0.0.0:3517/tcp
     10:   1.03%: Aug/14/03 12:51 AM:     0.0.0.0:3634/tcp
     10:   1.03%: Aug/14/03 12:06 AM:     0.0.0.0:3522/tcp
      9:   0.93%: Aug/14/03 12:16 AM:     0.0.0.0:3782/tcp
      9:   0.93%: Aug/14/03 12:30 AM:     0.0.0.0:sometimes-rpc9 (32773)/tcp
      8:   0.83%: Aug/14/03 12:46 AM:     0.0.0.0:33284/tcp
      6:   0.62%: Aug/14/03 12:41 AM:     0.0.0.0:4100/tcp
      6:   0.62%: Aug/14/03 12:47 AM:     0.0.0.0:4106/tcp
      6:   0.62%: Aug/14/03 12:41 AM:     0.0.0.0:sometimes-rpc11 (32774)/tcp
      6:   0.62%: Aug/14/03 12:51 AM:     0.0.0.0:32768/tcp
      6:   0.62%: Aug/14/03 12:25 AM:     0.0.0.0:4082/tcp
      1:   0.10%: Aug/14/03 12:02 AM:   0.0.0.0/icmp
      1:   0.10%: Aug/14/03 12:02 AM:     0.0.0.0/icmp, type 3

Ben nu aan het luisteren op deze manier:

code:

1	tethereal -i eth0 -f 'src 0.0.0.0' -V > src0.log

Vang ik zo het goede op?

[ Voor 86% gewijzigd door Verwijderd op 14-08-2003 18:37 ]

donderdag 14 augustus 2003 18:48

Acties:

Verwijderd

Topicstarter

Voorbeeldje:

code:

Frame 1 (60 on wire, 60 captured)
    Arrival Time: Aug 14, 2003 18:00:39.588348000
    Time delta from previous packet: 0.000000000 seconds
    Time relative to first packet: 0.000000000 seconds
    Frame Number: 1
    Packet Length: 60 bytes
    Capture Length: 60 bytes
Ethernet II
    Destination: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
    Source: 00:03:93:b2:39:34 (Apple_b2:39:34)
    Type: ARP (0x0806)
    Trailer: 55555555555555555555555555555555...
Address Resolution Protocol (request)
    Hardware type: Ethernet (0x0001)
    Protocol type: IP (0x0800)
    Hardware size: 6
    Protocol size: 4
    Opcode: request (0x0001)
    Sender MAC address: 00:03:93:b2:39:34 (Apple_b2:39:34)
    Sender IP address: 0.0.0.0 (0.0.0.0)
    Target MAC address: 00:00:00:00:00:00 (cpXXXX-a.landg1.lb.home.nl)
    Target IP address: cpXXXX-a.landg1.lb.home.nl (213.51.29.XXX)

[ip en hostname weggewerkt., target is niet mijn ip-adres]

Maar deze komen zo nu en dan binnen, behoren dus niet bij die hele rits.

[ Voor 101% gewijzigd door Verwijderd op 14-08-2003 18:58 ]

donderdag 14 augustus 2003 19:26

Acties:

Verwijderd

Heb je een wireless router?

donderdag 14 augustus 2003 19:29

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 14 August 2003 @ 19:26:
Heb je een wireless router?

nee, gewoon @Home Kabel -> Com21 -> Linux [debian] bak -> Client PC's (WinXP)
niks wireless

maandag 18 augustus 2003 01:41

Acties:

deadinspace

The what goes where now?

Even twee dingen:

- 0.0.0.0 is doorgaans broadcast iirc (dus bedoeld voor iedereen die het hoort, zoals bijvoorbeeld DHCP requests).
- Je realiseert je dat kernel 2.4.18 een local root exploit heeft?

maandag 18 augustus 2003 01:50

Acties:

Verwijderd

Topicstarter

deadinspace schreef op 18 augustus 2003 @ 01:41:
Even twee dingen:

- 0.0.0.0 is doorgaans broadcast iirc (dus bedoeld voor iedereen die het hoort, zoals bijvoorbeeld DHCP requests).
- Je realiseert je dat kernel 2.4.18 een local root exploit heeft?

De meldingen zijn verdwenen, heb gereboot, en nieuwe kernel gecompiled (en de 2.4.18-13 sources gedownload),
wat houdt die local root exploit precies in? (heb je een linkje ?)
Ik bedoel ik zie een aantal dingen staan op debian.org, maar niets wat direct met dit verschijnsel verband houdt (voor mij danwel).

Heb chkrootkit gedraaid, en er wordt niks gevonden.

Collega van me zei, geen zorgen te maken, omdat het allemaal rejects op m'n eth0 (externe nic) zijn.

[ Voor 25% gewijzigd door Verwijderd op 18-08-2003 01:57 ]

maandag 18 augustus 2003 09:55

Acties:

Verwijderd

die local exploit kan geabused worden door locale gebruikers op je systeem.
meer info te vinden met google, zoeken op ptrace exploit.

Ik raad je aan te updaten naar 2.4.21

maandag 18 augustus 2003 22:16

Acties:

Verwijderd

Debian backport security fixes voor oudere kernel releases. Als je dus de laatste 2.4.18 kernel packages van Debian installeert is de ptrace bug ook gefixed.

Trouwens niet alleen Debian doet dit, maar bijna elke Linux distro bouwer. Dus puur aan de hand van een versienummer zeggen dat iets lek is gaat niet altijd op.

maandag 18 augustus 2003 23:08

Acties:

_JGC_

voor zover ik weet is kernel-source-2.4.18 nog steeds ptrace vatbaar: debian weigert dat ding te patchen, omdat ie volgens hun niet buggy is: de module autoloader compileren ze zelf niet mee, dus is hun kernel niet vatbaar voor ptrace. Als je dat ding zelf compileert en dat ding aanzet is ie dat wel.

als er in /usr/share/doc/kernel-source-2.4.18/changelog.Debian.gz helemaal nix over ptrace staat, is ie niet gepatcht en is je kernel lek.

maandag 18 augustus 2003 23:44

Acties:

deadinspace

The what goes where now?

Verwijderd schreef op 18 augustus 2003 @ 01:50:
wat houdt die local root exploit precies in? (heb je een linkje ?)

Nou, vooruit dan... Dat is zelf ook wel te vinden eigenlijk

_JGC_ schreef op 18 August 2003 @ 23:08:
voor zover ik weet is kernel-source-2.4.18 nog steeds ptrace vatbaar: debian weigert dat ding te patchen

http://www.debian.org/security/2003/dsa-311

Het staat btw ook in de changelog van kernel-source-2.4.18. De binary pkg zijn afaik ook geupdate, al weet ik dat niet 100% zeker... Ik gebruik ze niet.

maandag 18 augustus 2003 23:47

Acties:

Verwijderd

Topicstarter

deadinspace schreef op 18 August 2003 @ 23:44:
[...]

Nou, vooruit dan... Dat is zelf ook wel te vinden eigenlijk

had ik ook al gevonden, maar thnx anyway.

[...]

http://www.debian.org/security/2003/dsa-311
Het staat btw ook in de changelog van kernel-source-2.4.18. De binary pkg zijn afaik ook geupdate, al weet ik dat niet 100% zeker... Ik gebruik ze niet.

Is alweer tijdje oud dus, ik draai de laatste van een paar dagen terug nu.

Wat ik me echter afvraag, is chkrootkit nu de enige manier om te checken of je gerooted ben , of zijn er meer methoden ?
(jaja, ik ga zelf ook ff ijverig op zoek

)