ntp ddos

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
rubylnik
рядовой
Сообщения: 48
Зарегистрирован: 2013-11-02 12:57:14

ntp ddos

Непрочитанное сообщение rubylnik » 2014-09-16 13:36:15

Добрый день.
При просмотре трафика tcpdump был выявлен аномальный трафик исходящий с моего сервера, что в последствии запивал весь канал. Проанализировав трафик было выявлено что это уязвимость ntpd старой версии. По этим причинам был остановлен сервис ntpd и в конфиг добавлены следующие строки

Код: Выделить всё

restrict default kod limited nomodify notrap nopeer noquery
restrict -6 default kod limited nomodify notrap nopeer noquery
restrict 127.0.0.1
restrict -6 ::1
disable monitor
Это частично снизило трафик.
ntpd-остановлен.
После были добавлены правила закрывающие порты(кроме необходимых почты) на коммутаторе.
Проблема осталась.

небольшая выгрузка tcpdump

Код: Выделить всё

14:30:51.207574 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.208980 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.209079 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.210701 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.211340 IP customer.vivo-trade.co.uk.22125 > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.212150 IP customer.vivo-trade.co.uk.25741 > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.213330 IP v-64-94-100-239.unman-vds.internap-la.nfoservers.com.5121 > X.X.X.X.ntp: NTPv2, Reserved, length 8
14:30:51.214374 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.214654 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.216445 IP customer.vivo-trade.co.uk.37188 > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.216535 IP customer.vivo-trade.co.uk.22579 > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.218247 IP customer.vivo-trade.co.uk.10316 > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.219387 IP customer.vivo-trade.co.uk.58705 > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.221150 IP 203.182.198.203.static.netvigator.com.41235 > X.X.X.X.smtp: Flags [P.], ack 212, win 3216, options [nop,nop,TS val 366694034 ecr 3308651991], length 46
14:30:51.222550 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.223916 IP customer.vivo-trade.co.uk.elan > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.224055 IP X.X.X.X.smtp > 203.182.198.203.static.netvigator.com.41235: Flags [P.], ack 90, win 8208, options [nop,nop,TS val 3308652025 ecr 366694034], length 14
14:30:51.224267 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.224349 IP customer.vivo-trade.co.uk.http > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:51.224809 IP customer.vivo-trade.co.uk.54345 > X.X.X.X.ntp: NTPv2, Reserved, length 12
14:30:50.980042 IP 172.30.0.14 > customer.vivo-trade.co.uk: ICMP 172.30.0.14 udp port ntp unreachable, length 36
14:30:50.980044 IP customer.vivo-trade.co.uk.http > 172.30.0.14.ntp: NTPv2, Reserved, length 12
14:30:50.980046 IP 172.30.0.14 > customer.vivo-trade.co.uk: ICMP 172.30.0.14 udp port ntp unreachable, length 36
14:30:50.980048 IP customer.vivo-trade.co.uk.http > 172.30.0.14.ntp: NTPv2, Reserved, length 12
14:30:50.980069 IP 172.30.0.14 > customer.vivo-trade.co.uk: ICMP 172.30.0.14 udp port ntp unreachable, length 36
14:30:50.980422 IP customer.vivo-trade.co.uk.6335 > 172.30.0.14.ntp: NTPv2, Reserved, length 12
14:30:50.980424 IP 172.30.0.14 > customer.vivo-trade.co.uk: ICMP 172.30.0.14 udp port ntp unreachable, length 36
14:30:51.016403 IP v-64-94-100-239.unman-vds.internap-la.nfoservers.com.5121 > 172.30.0.14.ntp: NTPv2, Reserved, length 8
14:30:51.017202 IP host68-192-static.52-88-b.business.telecomitalia.it.44600 > 172.30.0.14.smtp: Flags [.], ack 49, win 64493, length 0
14:30:51.017229 IP host68-192-static.52-88-b.business.telecomitalia.it.44679 > 172.30.0.14.smtp: Flags [.], ack 49, win 64580, length 0
где x.x.x.x ip моего сервера

Нужна ваша помощь. Куда копать, как посмотреть кто посылает этот трафик.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

ev
ст. лейтенант
Сообщения: 1322
Зарегистрирован: 2008-07-27 17:11:30
Откуда: Москва

Re: ntp ddos

Непрочитанное сообщение ev » 2014-09-16 14:21:50

https://www.freebsd.org/security/adviso ... 2.ntpd.asc

Код: Выделить всё

FreeBSD-SA-14:02.ntpd                                       Security Advisory
                                                          The FreeBSD Project

Topic:          ntpd distributed reflection Denial of Service vulnerability

Category:       contrib
Module:         ntpd
Announced:      2014-01-14
Affects:        All supported versions of FreeBSD.
Corrected:      2014-01-14 19:04:33 UTC (stable/10, 10.0-PRERELEASE)
                2014-01-14 19:12:40 UTC (releng/10.0, 10.0-RELEASE)
                2014-01-14 19:12:40 UTC (releng/10.0, 10.0-RC5-p1)
                2014-01-14 19:12:40 UTC (releng/10.0, 10.0-RC4-p1)
                2014-01-14 19:12:40 UTC (releng/10.0, 10.0-RC3-p1)
                2014-01-14 19:12:40 UTC (releng/10.0, 10.0-RC2-p1)
                2014-01-14 19:12:40 UTC (releng/10.0, 10.0-RC1-p1)
                2014-01-14 19:20:41 UTC (stable/9, 9.2-STABLE)
                2014-01-14 19:42:28 UTC (releng/9.2, 9.2-RELEASE-p3)
                2014-01-14 19:42:28 UTC (releng/9.1, 9.1-RELEASE-p10)
                2014-01-14 19:20:41 UTC (stable/8, 8.4-STABLE)
                2014-01-14 19:42:28 UTC (releng/8.4, 8.4-RELEASE-p7)
                2014-01-14 19:42:28 UTC (releng/8.3, 8.3-RELEASE-p14)
CVE Name:       CVE-2013-5211

guest
проходил мимо

Re: ntp ddos

Непрочитанное сообщение guest » 2014-09-16 14:58:23

Кто посылает у Вас видно из tcpdump, ну или поставьте trafshow и смотрите.

Трафик сразу не прекратиться, даже если Вы закроете порты, долбеж ИЗВНЕ будет продолжаться некоторое время,
ибо это автоматы, часто брошенные и входящие пакеты будут идти, ну и соответственно трафик.
Чтобы избавиться:

1) Можете снимать ip и находить через whois чья сеть и отписывать письма с просьбой принять меры.
2) Можете отписать провайдеру чтобы они у себя прикрыли на время

rubylnik
рядовой
Сообщения: 48
Зарегистрирован: 2013-11-02 12:57:14

Re: ntp ddos

Непрочитанное сообщение rubylnik » 2014-09-17 8:10:56

Трафик сразу не прекратиться, даже если Вы закроете порты, долбеж ИЗВНЕ будет продолжаться некоторое время,
Дело в том что мой сервер и посылает пакеты.
Сделано , кроме установки нового ntpd, и обновления системы, но ntpd выключен.

guest
проходил мимо

Re: ntp ddos

Непрочитанное сообщение guest » 2014-09-17 10:04:26

rubylnik писал(а):
Трафик сразу не прекратиться, даже если Вы закроете порты, долбеж ИЗВНЕ будет продолжаться некоторое время,
Дело в том что мой сервер и посылает пакеты.
ну значит Вас взломали.
Установите сетевой монитор и смотрите исходящий и входящий трафик, поймете - Вы его генерите или
это входящий, если Вы - ищите ЧТО его генерит.

rubylnik
рядовой
Сообщения: 48
Зарегистрирован: 2013-11-02 12:57:14

Re: ntp ddos

Непрочитанное сообщение rubylnik » 2014-09-17 11:46:34

guest писал(а): ну значит Вас взломали.
Установите сетевой монитор и смотрите исходящий и входящий трафик, поймете - Вы его генерите или
это входящий, если Вы - ищите ЧТО его генерит.
Да, именно ЧТО(какая программа, процесс, др..) его генерит.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35182
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ntp ddos

Непрочитанное сообщение Alex Keda » 2014-09-17 20:33:18

вам же написали
Установите сетевой монитор и смотрите исходящий и входящий трафик, поймете - Вы его генерите или
это входящий, если Вы - ищите ЧТО его генерит.
Убей их всех! Бог потом рассортирует...