DNS Flood vers ip inconnue

DNS Flood vers ip inconnue - Sécurité - Réseaux grand public / SoHo

Marsh Posté le 02-06-2014 à 13:58:50    

Bonjour à tous  :)  
 
Je fais appel à vous car je me retrouve confronter à un problème sur mes serveurs de supervision (maquettage).
En gros, je travaille sur ma maquette accessible depuis l'extérieur. Je réalise cette maquette depuis Cloudstack (cloud computing).
J'ai donc accès depuis une interface http à la gestion de mes VMs et des problématiques de sécurité (configuration Firewall, NAT,load-balancing).
Mes VMs tournent sur CentOS sur un même réseau.  
 
Lors de la configuration Firewall et NAT, j'ai fait attention à n'avoir aucun service sensible d'ouvert (pas de SSH, ni telnet). Les ports ouverts (exclusivement TCP) sont ceux utilisés par mes services de supervision (dont le port 80 pour l'accès aux interfaces de visualisation). J'ai vérifié mes logs d'accès et là, rien à signaler.
 
Depuis peu, j'ai par intermittence des milliers de paquets UDP sortant de mon réseau vers le port 53 d'une IP inconnue  :ouch: . J'en déduis qu'il y a eu intrusion sur mon réseau et qu'un de mes serveurs s'est vu "zombifié".
Je me dis aussi que je ne peux pas être victime d'une attaque préparé, mais plutôt victime d'un script type "kiddies".  
 
Même si le problème est "résolu" en bloquant l'ensemble des flux sortants, un de mes serveurs reste vérolé  
J'ai donc plusieurs interrogations:
- Par quelles moyens peut-il envoyer des requêtes DNS sans accès au shell? (pas de ssh ni telnet)
- Le danger peut-il venir d'un port ouvert non utilisé?
- Le jour où ça a commencé, je venais d'installé telnet sur un de mes serveurs pour tester des connexions sur mon réseau en local (le port 23 étant fermé et non naté au niveau FW). Peut-il y avoir un lien?
 
Plus qu'une résolution du problème (parce que je peux simplement shooter mes VMs et les remonter), j'aimerais comprendre le comment (au moins des pistes).
Je ne suis pas spécialiste sécu, donc ça reste nébuleux pour moi, mais si quelqu'un a des réponses à apporter, je prends :D
 
Merci :)

Reply

Marsh Posté le 02-06-2014 à 13:58:50   

Reply

Marsh Posté le 03-06-2014 à 06:57:01    

Une de tes VMs est compromise et l'attaquant a obtenu un accès shell (peut-être pas root, mais pas besoin de root pour faire tourner un spambot ou un bot de DoS).
 
Un port ouvert en lui même ne pose pas de soucis, par contre si l'application écoutant sur ce port est vulnérable ou pas sécurisée (pas d'authentification) alors elle a pu être exploitée pour obtenir un accès shell et ainsi de suite.
 
J'ai pas compris ce que t'as fait au niveau de telnet mais si t'as utilisé telnet directement via Internet (et pas via un VPN ou un tunnel SSH) alors ton mot de passe a pu être intercepté pour être ensuite utilisé pour se connecter plus tard et installer le bot.
 
Essayes de voir avec netstat l'origine de ces paquets sur la machine compromise, et éventuellement voir avec top aussi (j'imagine qu'un truc comme ça utiliserait pas mal de CPU donc facilement remarquable).

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed