Re: [Sop.Tec.LinuxPPP] Problemas con Gusanos

To: <linux en linuxppp com>
Subject: Re: [Sop.Tec.LinuxPPP] Problemas con Gusanos
From: "Raúl Mario Santos Alvarez" <raul_mario en sonrye net>
Date: Mon, 3 May 2004 08:31:54 -0500 (CDT)
Importance: Normal
In-reply-to: <20040502040840.8724.qmail@web90103.mail.scd.yahoo.com>
List-archive: <http://mail.linuxppp.com/pipermail/linux/>
List-help: <mailto:linux-request@linuxppp.com?subject=help>
List-id: Soporte Tecnico LinuxPPP <linux.linuxppp.com>
List-post: <mailto:linux@linuxppp.com>
List-subscribe: <http://mail.linuxppp.com/mailman/listinfo/linux>, <mailto:linux-request@linuxppp.com?subject=subscribe>
List-unsubscribe: <http://mail.linuxppp.com/mailman/listinfo/linux>, <mailto:linux-request@linuxppp.com?subject=unsubscribe>
References: <20040502040840.8724.qmail@web90103.mail.scd.yahoo.com>
Reply-to: linux en linuxppp com
Sender: linux-admin en linuxppp com

bloquea los puertos a los que está enviando las
peticiones, si estas utilizando proxy tranparente
puede utilizar algo como esto

/sbin/iptables -t nat -A PREROUTING -p tcp --dport
1349 -j DROP
/sbin/iptables -t nat -A PREROUTING -p udp --dport
1349 -j DROP
/sbin/iptables -t nat -A PREROUTING -i eth0 -j block

esto bloquea el puerto 1349 de las peticiones de tus
clientes, esto es suponiendo que la interface local
es eth0 si es otra cambialo en la ultima linea

Saludos y espero te ayude

P.D. Si te sirvió por favor avisame, si no para
buscar otra forma


Alonso Tellez dijo:
> Buen día lista:
>
> Tengo un Squid ejecutando como Web Cache
> transparente, y en los últimos días hay momentos en
> que el servicio de cache se tumba, revisando el log
> encuentro muchas peticiones desde una maquina de mi
> lan hacia direcciones IP en internet, cuando lo
> normal es que desde una IP vea peticiones pero a
> nombres de dominio, ademas de que las peticiones
> son a muchas direcciones IP en un solo segundo (Eso
> no lo hace un humano)
>
> 1083273764.005 239853 12.34.56.78 TCP_MISS/504 1349
> GET
> http://80.73.118.163/ - NONE/- text/html
> 1083273764.005 239853 12.34.56.78 TCP_MISS/504 1351
> GET
> http://53.196.130.184/ - NONE/- text/html
> 1083273764.005 239853 12.34.56.78 TCP_MISS/504 1349
> GET
> http://74.232.56.194/ - NONE/- text/html
>
> Aqui pongo 3 lineas de mi log con las peticiones
> que la maquina de la LAN (12.34.56.78) hace a
> muchas IP, solo muestro 3, de las 100 ip que
> solicita en el mismo tiempo (1083273764.005)
>
> Le he aplicado al Squid ACL contra Red Code, pero
> no se como atacar este gusano que hay en lan,
> alguien tiene alguna liga con mas información para
> bloquear, ya sea desde Squid o IPtables.
>
> Saludos,
>
> Alonso.
>
> _________________________________________________________
> Do You Yahoo!?
> La mejor conexión a internet y 25MB extra a tu
> correo por $100 al mes. http://net.yahoo.com.mx --
> Lista de soporte de LinuxPPP
> Dirección email: Linux en linuxppp com
> Dirección web:
> http://mail.linuxppp.com/mailman/listinfo/linux
> Reglas de la lista: http://linuxppp.net/reglas.html


-- 
Raúl Mario Santos Alvarez
Webmaster www.sonrye.net

Mensaje(s) a continuación:
- Re: [Sop.Tec.LinuxPPP] Problemas con Gusanos
  - De: Alonso Tellez

Referencias:
- [Sop.Tec.LinuxPPP] Problemas con Gusanos
  - De: Alonso Tellez

Previo por Fecha: [Sop.Tec.LinuxPPP] Problemas con Gusanos
Siguiente por Fecha: Re: [Sop.Tec.LinuxPPP] Problemas con Gusanos
Previo por Hilo: [Sop.Tec.LinuxPPP] Problemas con Gusanos
Siguiente por Hilo: Re: [Sop.Tec.LinuxPPP] Problemas con Gusanos

[Hilos de Discusión] [Fecha] [Tema] [Autor]