Hack de mon DNS ?

Hack de mon DNS ? - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 16-02-2009 à 15:19:34    

Bonjour,
 
Depuis quelques jours j'ai de gros soucis de lenteurs sur Internet.
 
J'ai fait des recherches, et j'ai remarque des trucs bizares au niveau de mon serveur DNS local :
 
Passerelle:~ # tcpdump -i Internet port 53 :

Code :
  1. 18:25:35.144707 IP 192.168.1.4.63075 > HSIB.home.domain:  34374+% [1au] A? c3.nstld.com. (41)
  2. 18:25:35.144846 IP 192.168.1.4.3814 > HSIB.home.domain:  4292+% [1au] AAAA? c3.nstld.com. (41)
  3. 18:25:35.145022 IP 192.168.1.4.16368 > HSIB.home.domain:  19884+% [1au] A? d3.nstld.com. (41)
  4. 18:25:35.145197 IP 192.168.1.4.33484 > HSIB.home.domain:  52275+% [1au] AAAA? d3.nstld.com. (41)
  5. 18:25:35.153378 IP 192.12.94.30.domain > 192.168.1.4.8701:  16755- 0/8/10 (356)
  6. 18:25:35.153980 IP 192.168.1.4.49382 > HSIB.home.domain:  13275+% [1au] AAAA? Y.ARIN.NET. (39)
  7. 18:25:35.154379 IP 192.12.94.30.domain > 192.168.1.4.34377:  34106- 0/8/10 (356)
  8. 18:25:35.154938 IP 192.168.1.4.57962 > HSIB.home.domain:  3428+% [1au] AAAA? Z.ARIN.NET. (39)
  9. 18:25:35.155357 IP HSIB.home.domain > 192.168.1.4.2393:  29124* 1/0/0 A ns2.google.com (48)
  10. 18:25:35.166375 IP 192.12.94.30.domain > 192.168.1.4.12176:  54128- 0/8/10 (354)
  11. 18:25:35.166944 IP 192.168.1.4.7097 > HSIB.home.domain:  254+% [1au] AAAA? DILL.ARIN.NET. (42)
  12. 18:25:35.168376 IP 192.12.94.30.domain > 192.168.1.4.14979:  39711- 1/8/10 AAAA[|domain]
  13. 18:25:35.175114 IP 192.12.94.30.domain > 192.168.1.4.41744:  23205- 0/8/10 (360)
  14. 18:25:35.175673 IP 192.168.1.4.17923 > HSIB.home.domain:  25699+% [1au] AAAA? BASIL.ARIN.NET. (43)
  15. 18:25:35.181371 IP 192.12.94.30.domain > 192.168.1.4.5290:  63557- 0/8/10 (360)
  16. 18:25:35.181924 IP 192.168.1.4.29621 > HSIB.home.domain:  812+% [1au] AAAA? HENNA.ARIN.NET. (43)
  17. 18:25:35.182373 IP 192.12.94.30.domain > 192.168.1.4.49020:  33049- 0/8/10 (361)
  18. 18:25:35.182929 IP 192.168.1.4.3635 > HSIB.home.domain:  49324+% [1au] AAAA? INDIGO.ARIN.NET. (44)
  19. 18:25:35.188513 IP 192.168.1.4.60570 > b0.org.afilias-nst.org.domain:  7254% [1au] AAAA? blackhole-1.iana.org. (49)
  20. 18:25:35.188567 IP 192.168.1.4.57951 > b0.org.afilias-nst.org.domain:  31% [1au] AAAA? blackhole-2.iana.org. (49)
  21. 18:25:35.220352 IP HSIB.home.domain > 192.168.1.4.31255:  21094* 1/0/0 A ns3.google.com (48)
  22. 18:25:35.271340 IP HSIB.home.domain > 192.168.1.4.49906:  44751* 1/0/0 A ns4.google.com (48)
  23. 18:25:35.359334 IP b0.org.afilias-nst.org.domain > 192.168.1.4.60570:  7254- 0/5/3 (197)
  24. 18:25:35.359943 IP 192.168.1.4.35853 > HSIB.home.domain:  3059+% [1au] AAAA? blackhole-1.iana.org. (49)
  25. 18:25:35.360153 IP 192.168.1.4.10813 > HSIB.home.domain:  24451+% [1au] A? a.iana-servers.net. (47)
  26. 18:25:35.360321 IP HSIB.home.domain > 192.168.1.4.47601:  64914* 1/0/0 A m3.NSTLD.COM (46)
  27. 18:25:35.360389 IP 192.168.1.4.50015 > HSIB.home.domain:  45018+% [1au] AAAA? a.iana-servers.net. (47)
  28. 18:25:35.360556 IP 192.168.1.4.30493 > HSIB.home.domain:  41363+% [1au] A? c.iana-servers.net. (47)
  29. 18:25:35.360750 IP 192.168.1.4.46474 > HSIB.home.domain:  10859+% [1au] AAAA? c.iana-servers.net. (47)
  30. 18:25:35.360943 IP 192.168.1.4.7592 > HSIB.home.domain:  49181+% [1au] A? d.iana-servers.net. (47)
  31. 18:25:35.361136 IP 192.168.1.4.9828 > HSIB.home.domain:  29386+% [1au] AAAA? d.iana-servers.net. (47)
  32. 18:25:35.365333 IP b0.org.afilias-nst.org.domain > 192.168.1.4.57951:  31- 0/5/3 (197)
  33. 18:25:35.365792 IP 192.168.1.4.42676 > HSIB.home.domain:  13+% [1au] AAAA? blackhole-2.iana.org. (49)
  34. 18:25:35.419315 IP HSIB.home.domain > 192.168.1.4.63075:  34374* 1/0/0 A c3.NSTLD.COM (46)
  35. 18:25:35.470306 IP HSIB.home.domain > 192.168.1.4.16368:  19884* 1/0/0 A d3.NSTLD.COM (46)
  36. 18:25:35.740641 IP 192.168.1.4.55938 > HSIB.home.domain:  17008+ [1au] PTR? 12.4.33.192.in-addr.arpa. (53)
  37. 18:25:35.740719 IP 192.168.1.4.4818 > 192.12.94.30.domain:  56422% [1au] AAAA? ns.psi.net. (39)
  38. 18:25:35.740754 IP 192.168.1.4.39586 > 192.12.94.30.domain:  16502% [1au] AAAA? ns2.psi.net. (40)
  39. 18:25:35.758260 IP HSIB.home.domain > 192.168.1.4.10813:  24451* 1/0/0 A a.iana-servers.net (52)
  40. 18:25:35.810252 IP HSIB.home.domain > 192.168.1.4.30493:  41363* 1/0/0 A 139.91.1.10 (52)
  41. 18:25:35.862244 IP HSIB.home.domain > 192.168.1.4.7592:  49181* 1/0/0 A d.iana-servers.org (52)
  42. 18:25:35.922238 IP 192.12.94.30.domain > 192.168.1.4.4818:  56422- 0/2/3 (127)
  43. 18:25:35.922749 IP 192.168.1.4.57129 > HSIB.home.domain:  50379+% [1au] AAAA? ns.psi.net. (39)
  44. 18:25:35.922923 IP 192.168.1.4.7394 > HSIB.home.domain:  20544+% [1au] A? auth1.dns.cogentco.com. (51)
  45. 18:25:35.923042 IP 192.168.1.4.13938 > HSIB.home.domain:  11099+% [1au] AAAA? auth1.dns.cogentco.com. (51)
  46. 18:25:35.923188 IP 192.168.1.4.25817 > HSIB.home.domain:  42473+% [1au] A? auth2.dns.cogentco.com. (51)
  47. 18:25:35.923333 IP 192.168.1.4.22791 > HSIB.home.domain:  7137+% [1au] AAAA? auth2.dns.cogentco.com. (51)
  48. 18:25:35.929235 IP 192.12.94.30.domain > 192.168.1.4.39586:  16502- 0/2/3 (128)
  49. 18:25:35.929652 IP 192.168.1.4.8451 > HSIB.home.domain:  42186+% [1au] AAAA? ns2.psi.net. (40)
  50. 18:25:36.180193 IP HSIB.home.domain > 192.168.1.4.7394:  20544 1/0/1 A[|domain]
  51. 18:25:36.184192 IP HSIB.home.domain > 192.168.1.4.25817:  42473 1/0/1 A[|domain]
  52. 18:25:37.044730 IP 192.168.1.4.28957 > HSIB.home.domain:  11450+ [1au] PTR? 104.93.249.66.in-addr.arpa. (55)


 
J'ai bien peur que qu'el qu'un d'intru soit sur mon réseau :
J'ai coupé ma VM Windows pensé qu'lle etait infectée par un trojan, j'ai la même.
 
J'ai donc arrête mon PC portable principal, et démarrer ma Xbox : Pareil ces requettes folles apparaissent.
 
Je ne sait pas d'où ca vien, d'autant plus que j'ai un proxy et un privoxy.
 
Pensez vous déja qu'il est possible que squid ET/OU privoxy peuvent êtrehacké pour effectuer ce genre de chose ?
 
Je n'ai actuellement pas de passerelle de "secour" pour essaye sans.
 
Où pourraije regarder pour trouvé dejas d'où viennent (quel poste) ces requettes ?
 
Comment voir si je me suis pas fait rootkité ?
 
Merci.


Message édité par Galoula le 16-02-2009 à 15:25:50

---------------
http://www.galoula.com = LE site de Galoula France !
Reply

Marsh Posté le 16-02-2009 à 15:19:34   

Reply

Marsh Posté le 16-02-2009 à 15:25:51    

salut  
HSIB.home est le nom de la live box

Reply

Marsh Posté le 16-02-2009 à 15:31:32    

Je viens de le voir, mais j'ai edité juste un peut trop tard.
 
Je viens de couper privoxy, squid, bind9 (sur le serveur 1 et 2) et j'ai toujours ces requettes folles.
 
Ca mgave, car je me demande si Wanadoo peuvent me coupé la ligne cause de flood DNS ...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed