From: Deniz CEVIK (deniz@intellect.com.tr)
Date: Tue 30 Sep 2003 - 06:31:36 EDT
Paketler TCP, neyse ataklari zaten otomatik olarak SANS storm center'a
update ediyordum, sanirim yakinda birseyler çikar.
Herkese Iyi Çalismalar
-----Original Message-----
From: linux-guvenlik-bounce@liste.linux.org.tr
[mailto:linux-guvenlik-bounce@liste.linux.org.tr]On Behalf Of Fatih Özavcı
Sent: Tuesday, September 30, 2003 4:25 PM
To: linux-guvenlik@liste.linux.org.tr
Subject: [linux-guvenlik] Re: Yeni bir virüs mü
On Tue, 2003-09-30 at 12:43, DoganZorlu wrote:
> DC> Selamlar,
> DC> Biraz linux disi bir konu olacak ama, dünden itibaren oldukça yogun
miktarda
> DC> internet üzerinden source IP adresi 127.0.0.1 olan destinationu
networkumde
> DC> herhangi bir makineye dogru paketler almaya basladim. Source portu 80
ve
> DC> hedef portu sürekli degisiyor.Saniyede 1000 üzeri benzer baglanti
istegi
> DC> aliyorum.
>
> 127.0.0.1 ? hiçbir router cihazı bu adresten gelen paketi route
> edemez/etmez. Cihazların loopback interface idir bu.. Ağa neyle
> bakıyorsunuz bu durumu anlamak için ?
>
> Eğer source ve dest ters olursa o zaman anlamlı oluyor. dest port 80 ve
yerel ağdan source ve değişik
> source portlar bildik tanıdık http bağlantılarına işaret ediyor. Ama
> sizin söylediğiniz senaryo biraz acayip...
Aslinda router cihazlar 127.0.0.1 veya diger private IP adreslerinden
gelen istekleri kesinlikle engellemezler, default olarak bununlar ilgili
bir packet filter rule var ise engellenir. Genelliklede router'larin
hizlanabilmesi icin uzerinde paket filtreleme yapilmaz. Source'a
bakilarak routing tanimlari cogunlukla (bilerek ve istenerek nadiren..)
yapilmaz.
Ancak hedef olmasi konusunda haklisin, hedefi private veya ozel olarak
tanimlanan IP adreslerinden biri ise drop olacaktir.
Deniz'in sorununa gelince, bu bir worm yada virus'ten kaynaklaniyor
olabilir. Cunku son gunlerde cikan 135/UDP gibi UDP portlari uzerinden
calisan servislerdeki aciklar IP Spoofing islemi ile de
calisabilmektedir. UDP protokolu geregi bir el sikisma yapmadigi icin bu
spoofing isleyecektir, guvenlik duvarlari yada benzeri tum filtreme
sistemleri dahil olarak, spoofing kurallari koyulmamis sistemlerde bu
paketler by-pass icin kullanilmaktadir.
Bazi worm'larin (ms blaster'in varyantlari) bu tur saldirilar icin
degistirilmis olabilir, boylece bircok paket filtreleme sistemini
gecerek hedefine ulasmis olacaktir.
Portlarin degisken olmasi ise bu ihtimali de goz ardi ediyor...
Kisaca bilinmeyen veya tanimlanamayan bir durum, tanimlamak icin paket
iceriklerini bir sniffer ile yakalayip incelemekte fayda var.
-- Fatih Ozavci IT Security Consultant ***************************************************************** Bu mesaj ve ekleri mesajda gonderildigi belirtilen kisi ya da kisilere ozeldir. Eger gonderilen mesajin muhatabi degilseniz, icerigini ve varsa ekindeki dosyalari kimseye aktarmayiniz ya da kopyalamayiniz. Boyle bir durumda lutfen gondereni uyarip, mesaji imha ediniz. ** Bu e-posta bilinen zararli icerige karsi kontrol edilmistir ** ***************************************************************** The contents of this email and any attachments are confidential. It is intended for the named recipient(s) only. If you have received this email in error please notify the system manager or the sender immediately and do not disclose the contents to any one or make copies. **This email is scanned for known vandals and malicious content** *****************************************************************