Attaque port 53 et iptables
grouiiik
Messages postés
3
Date d'inscription
Statut
Membre
Dernière intervention
-
Nesty -
Nesty -
Bonjour,
J'ai un serveur SLES 10 avec un Zimbra ZCE 6 sur lequel transit depuis hier matin beaucoup de transfert réseau vers l'extérieur. J'ai réussi à déterminer que cela passai par le port 53 sans arriver a définir le processus à l'origine de cette faille.
Le flux était principalement vers l'extérieur, j'ai donc modifier mon IPTABLES pour bloquer le port 53.
j'ai donc modifié les lignes suivantes:
Après vérification, j'ai récupéré ma bande passante (qui au passage était complètement saturé, c'est comme cela que je me suis aperçu du problème) et plus rien en sortie, par contre, j'ai encore du flux entrant.... et ça je ne le comprends pas!
http://img203.imageshack.us/img203/2769/i2yg.jpg
Donc voici mes questions:
1/ Pourquoi l'entrée du port 53 n'est pas bloquée par mon IPTABLES?
2/ Qu'est ce qui peut provoquer ces transfert de données?
Merci de votre attention :)
J'ai un serveur SLES 10 avec un Zimbra ZCE 6 sur lequel transit depuis hier matin beaucoup de transfert réseau vers l'extérieur. J'ai réussi à déterminer que cela passai par le port 53 sans arriver a définir le processus à l'origine de cette faille.
Le flux était principalement vers l'extérieur, j'ai donc modifier mon IPTABLES pour bloquer le port 53.
j'ai donc modifié les lignes suivantes:
/usr/sbin/iptables -A INPUT -p TCP --sport 53 -j DROP /usr/sbin/iptables -A INPUT -p UDP --sport 53 -j DROP /usr/sbin/iptables -A INPUT -p TCP --dport 53 -j DROP /usr/sbin/iptables -A INPUT -p UDP --dport 53 -j DROP /usr/sbin/iptables -A OUTPUT -p TCP --dport 53 -j DROP /usr/sbin/iptables -A OUTPUT -p UDP --dport 53 -j DROP /usr/sbin/iptables -A OUTPUT -p TCP --sport 53 -j DROP /usr/sbin/iptables -A OUTPUT -p UDP --sport 53 -j DROP
Après vérification, j'ai récupéré ma bande passante (qui au passage était complètement saturé, c'est comme cela que je me suis aperçu du problème) et plus rien en sortie, par contre, j'ai encore du flux entrant.... et ça je ne le comprends pas!
http://img203.imageshack.us/img203/2769/i2yg.jpg
Donc voici mes questions:
1/ Pourquoi l'entrée du port 53 n'est pas bloquée par mon IPTABLES?
2/ Qu'est ce qui peut provoquer ces transfert de données?
Merci de votre attention :)
A voir également:
- Port 53 exploit
- +33 5 25 61 53 47 ✓ - Forum Mobile
- Wsd port ✓ - Forum Windows 7
- Port ping ✓ - Forum Réseaux sociaux
- Port icmp ✓ - Forum Réseau
- Ping bloqué : quel port ouvrir ? - Forum Réseau
6 réponses
Bonjour,
Normalement, le port 53 est celui du DNS.
Si ton port 53 était ouvert, il est possible que certains petits malins t'aient utilisé comme serveur DNS...
Par contre, je ne vois pas trop ce qui cloche sur ton iptables...
Il a bien bloqué la sortie mais pas l'entrée ??? C'est étrange. Tu as essayé de le recharger ?
Normalement, le port 53 est celui du DNS.
Si ton port 53 était ouvert, il est possible que certains petits malins t'aient utilisé comme serveur DNS...
Par contre, je ne vois pas trop ce qui cloche sur ton iptables...
Il a bien bloqué la sortie mais pas l'entrée ??? C'est étrange. Tu as essayé de le recharger ?
