attaque port 53 et iptablesFermé

Question

Bonjour, 

J'ai un serveur SLES 10 avec un Zimbra ZCE 6 sur lequel transit depuis hier matin beaucoup de transfert réseau vers l'extérieur. J'ai réussi à déterminer que cela passai par le port 53 sans arriver a définir le processus à l'origine de cette faille.
Le flux était principalement vers l'extérieur, j'ai donc modifier mon IPTABLES pour bloquer le port 53.

j'ai donc modifié les lignes suivantes:

/usr/sbin/iptables -A INPUT -p TCP --sport 53 -j DROP
/usr/sbin/iptables -A INPUT -p UDP --sport 53 -j DROP
/usr/sbin/iptables -A INPUT -p TCP --dport 53 -j DROP
/usr/sbin/iptables -A INPUT -p UDP --dport 53 -j DROP
/usr/sbin/iptables -A OUTPUT -p TCP --dport 53 -j DROP
/usr/sbin/iptables -A OUTPUT -p UDP --dport 53 -j DROP
/usr/sbin/iptables -A OUTPUT -p TCP --sport 53 -j DROP
/usr/sbin/iptables -A OUTPUT -p UDP --sport 53 -j DROP


Après vérification, j'ai récupéré ma bande passante (qui au passage était complètement saturé, c'est comme cela que je me suis aperçu du problème) et plus rien en sortie, par contre, j'ai encore du flux entrant.... et ça je ne le comprends pas!

http://img203.imageshack.us/img203/2769/i2yg.jpg

Donc voici mes questions:
1/ Pourquoi l'entrée du port 53 n'est pas bloquée par mon IPTABLES?
2/ Qu'est ce qui peut provoquer ces transfert de données?

Merci de votre attention :)

MrYAU31 · Answer

Bonjour,
Normalement, le port 53 est celui du DNS.
Si ton port 53 était ouvert, il est possible que certains petits malins t'aient utilisé comme serveur DNS...

Par contre, je ne vois pas trop ce qui cloche sur ton iptables...
Il a bien bloqué la sortie mais pas l'entrée ??? C'est étrange. Tu as essayé de le recharger ?

grouiiik · Answer

Oui je l'ai rechargé 3 ou 4 fois oui.... je piges pas non plus

Autant de trafic pour du DNS?? jusqu'à saturer ma bande passante (qui n'est pas énorme malgré tout)

Y a pas un système de transfert de fichier via le port 53 qui se ferai des fois?

MrYAU31 · Answer

Système de transfert de fichiers ? Si tu as des utilisateurs qui ont des logiciels de P2P par exemple ? Ils peuvent très bien le configuré sur le port 53. Rien ne les empêche.
Est-ce que tu as essayé de capturer le trafic pour voir les trames qui transitent sur le port 53 ? Avec Wireshark par exemple.

grouiiik · Answer

Désolé de ne pas avoir répondu plus tôt, j'étais en déplacement....

Bref, pour le FORWARD je n'ai que cette commande

/usr/sbin/iptables -P FORWARD DROP


Pas encore mis de Wireshark, mais il semblerai que ces attaques aient cessés, le fait d'avoir coupé la sortie DNS ai suffit a décourager le processus qui nous attaquait. 

En tout cas merci de vos réponses!

MrYAU31 · Answer

Avec plaisir ;-)

Si cela se reproduit, essaye d'(analyser les trames qui passent pour savoir exactement qu'elle en est la source. Ça aidera sûrement.

Nesty · Answer

Il n'y a pas de hack là dedans, ça vient de la box, ou d'un site, qui recherche s'il y a un nom de domaine, bloquer le port 53? en TCP à la rigueur, pas en UDP.

Attaque port 53 et iptables

6 réponses

Discussions similaires

Newsletters