Attaque port 53 et iptables

Fermé
grouiiik Messages postés 3 Date d'inscription vendredi 2 août 2013 Statut Membre Dernière intervention 9 août 2013 - 2 août 2013 à 16:44
 Nesty - 14 août 2013 à 08:07
Bonjour,

J'ai un serveur SLES 10 avec un Zimbra ZCE 6 sur lequel transit depuis hier matin beaucoup de transfert réseau vers l'extérieur. J'ai réussi à déterminer que cela passai par le port 53 sans arriver a définir le processus à l'origine de cette faille.
Le flux était principalement vers l'extérieur, j'ai donc modifier mon IPTABLES pour bloquer le port 53.

j'ai donc modifié les lignes suivantes:

/usr/sbin/iptables -A INPUT -p TCP --sport 53 -j DROP
/usr/sbin/iptables -A INPUT -p UDP --sport 53 -j DROP
/usr/sbin/iptables -A INPUT -p TCP --dport 53 -j DROP
/usr/sbin/iptables -A INPUT -p UDP --dport 53 -j DROP
/usr/sbin/iptables -A OUTPUT -p TCP --dport 53 -j DROP
/usr/sbin/iptables -A OUTPUT -p UDP --dport 53 -j DROP
/usr/sbin/iptables -A OUTPUT -p TCP --sport 53 -j DROP
/usr/sbin/iptables -A OUTPUT -p UDP --sport 53 -j DROP


Après vérification, j'ai récupéré ma bande passante (qui au passage était complètement saturé, c'est comme cela que je me suis aperçu du problème) et plus rien en sortie, par contre, j'ai encore du flux entrant.... et ça je ne le comprends pas!

http://img203.imageshack.us/img203/2769/i2yg.jpg

Donc voici mes questions:
1/ Pourquoi l'entrée du port 53 n'est pas bloquée par mon IPTABLES?
2/ Qu'est ce qui peut provoquer ces transfert de données?

Merci de votre attention :)
A voir également:

6 réponses

MrYAU31 Messages postés 3808 Date d'inscription samedi 23 février 2013 Statut Membre Dernière intervention 8 juillet 2017 1 613
2 août 2013 à 16:57
Bonjour,
Normalement, le port 53 est celui du DNS.
Si ton port 53 était ouvert, il est possible que certains petits malins t'aient utilisé comme serveur DNS...

Par contre, je ne vois pas trop ce qui cloche sur ton iptables...
Il a bien bloqué la sortie mais pas l'entrée ??? C'est étrange. Tu as essayé de le recharger ?
0