|
[ borismax @ 12.02.2002. 15:37 ] @
| The nightmare is back!!! I ranije sam imao problema (vidi diskusiju "Windows NT4.0 i Cisco 767 router") sa ruterom (pomenuti Cisco 767) koji drzi otvorenu liniju sa Internet provajderom. Sad se sve ponavlja...
Provajder uporno tvrdi da je uzrok svemu Code Red worm, koga ja definitivno nemam na mom sistemu. Ne postoji nista drugo na sistemu sto bi okidalo ruter da zapocinje konekciju. Da bih dokazao ovo, ja u petak popodne oborim ceo sistem, pogasim sve masine zajedno sa sve serverom i u log fajlu (kod provajdera) se u ponedeljak pokaze da smo od petka popodne maltene sve vreme bili na vezi - na stotine konekcija od po 3 minuta, sve jedna za drugom!!! Ruter je naravno setovan da prekine vezu ako nema saobracaja 3 minuta.
I sad se svadjam sa ovim provajderima, cija je odgovornost u ovom slucaju... Ako je moja mreza totalno oborena, a nas napada Code Red ili ko zna sta, jeli obaveza administratora ili provajdera da to spreci?
Sta ja kao administrator mogu da radim, da gasim ruter svaki put kad zavrsavamo radno vreme, ili jos gore - da ga palim samo onda kad neko hoce na Internet? Mnogo mi je seljacka varijanta, morate priznati... |
[ U--G @ 12.02.2002. 15:58 ] @
1. To je tvoja obaveza da se zastitis od Code Red-a.
2. Da li si siguran da su sve masine bile iskljucene? Dovoljan je jedna masina sa OE koja ce svaki minut gledati postu i veza ce ti biti non-stop otvorena.
3. Posalji configuraciju routera, ovako mozemo samo da nagadjamo gde je greska
4. Break point izmedju ISDN i lease-line je negde oko 4 on-line sata (tako je barem bilo pre 5 godina u Norveskoj)
[ borismax @ 12.02.2002. 17:36 ] @
Citat: U--G:
1. To je tvoja obaveza da se zastitis od Code Red-a.
Pa kako da se zastitim? Je li dovoljno da mu zatvorim port 80 za dolazeci saobracaj, npr. sledecom linijom
set ip filter tcp out source=0.0.0.0/0:80 ignore
Ima li neki patch za Cisco 7** seriju rutera?
Citat:
2. Da li si siguran da su sve masine bile iskljucene? Dovoljan je jedna masina sa OE koja ce svaki minut gledati postu i veza ce ti biti non-stop otvorena.)
Znam da je dovoljna i jedna masina da ruter "ne bi mogao da spava". Zato sam naravano siguran da su sve masine bile iskljucene.
Citat:
3. Posalji configuraciju routera, ovako mozemo samo da nagadjamo gde je greska)
Nije problem, mogu da iskopiram ceo startup-config. Ili postoji neka sekcija koja je relevantna?!?
Citat:
4. Break point izmedju ISDN i lease-line je negde oko 4 on-line sata (tako je barem bilo pre 5 godina u Norveskoj)
Sa ovim zadnjim napadima, mi izadjemo na preko 600 sati konekcije mesecno (iako kad se gleda saobracaj to je ispod svake normale posto je u principu veza otvorena ali bez saobracaja). U log fajlu mi se pojavljuju konekcije od po 70 pa cak i od po 100 sati neprekidno on-line!!!
[ U--G @ 12.02.2002. 18:20 ] @
Ovde ces naci patch za Code Red
http://www.microsoft.com/techn...security/bulletin/ms01-033.asp
Ako si 100% siguran da je sve iskljuceno onda nije Code Red u pitanju!!
Posalji sve za svaki slucaj, mada bi trebalo da se nalazi u BRI sekciji.
600 sati? Uzimaj Lease-line!!!!!!!!!!!!!!!
I opisi malo mrezu, sta imas tamo i za cega koristis ISDN?
[ borismax @ 12.02.2002. 18:39 ] @
To je patch za IIS koji cak nije ni podignut na mom serveru. Ako nesto treba da se patch-uje, to je onda IOS na samom ruteru jer je problem do njega. Razgranicili smo da problem nije u LAN-u jer kad je cela mreza oborena, ruter i dalje drzi konekciju.
Citat: U--G:
Ako si 100% siguran da je sve iskljuceno onda nije Code Red u pitanju!!
Sta bi jos moglo da bude ako nije Code Red? Na Code Red sumnjamo zato sto trigger za otvaranje konekcije dolazi spolja - verovatno Code Red hoce da se kopira na IIS za koji misli da se nalazi iza rutera, pa posto ga ne nalazi (nema ga ili je mreza oborena) on svaki put pokusava istu stvar ispocetka. Mozda gresim?!?
Citat: U--G:
I opisi malo mrezu, sta imas tamo i za cega koristis ISDN?
Mreza je najprostija moguca - NT 4.0 server (Service Pack 6) i 4 radne stanice sa NT Workstation. ISDN sa Cisco 767 ruterom se koristi iskljucivo da bi svi racunari mogli da izadju na Internet. Znam da ima i drugih resenja za to ali ovo je zateceno stanje...
[ U--G @ 12.02.2002. 19:03 ] @
Ako nema IIS-a onda nema ni Code Red-a, to nije da ne pisemo vise o njemu.
Kako si video da trigger dolazi spolja, ako dolazi spolja onda ti ne placas poziv? Provajder (obicno) nema opciju na svom routeru da pravi dial-up konekciju, to bi onda njih kostalo mnogo. Da li mozes da vidis, a to bi trebalo da mozes (trazi specifikaciju od Telnora), odakle dolazi poziv?
Cisco 767 nije pravi router, to je ISDN access kutija, malo je drugaciji od "pravog" routera. Pogledaj da li mozes negde da iskljucis opciju da tebe neko zove.
[ borismax @ 12.02.2002. 22:08 ] @
Citat: U--G:
Ako nema IIS-a onda nema ni Code Red-a, to nije da ne pisemo vise o njemu.
Negde sam citao da Code Red osim IIS napada i Cisco 600 seriju rutera. Ne znam kako i sta im radi ali stoje na listi ugrozenih...
Citat: U--G:
Kako si video da trigger dolazi spolja, ako dolazi spolja onda ti ne placas poziv? Provajder (obicno) nema opciju na svom routeru da pravi dial-up konekciju, to bi onda njih kostalo mnogo. Da li mozes da vidis, a to bi trebalo da mozes (trazi specifikaciju od Telnora), odakle dolazi poziv?
Stani, ako su svi kompjuteri u mrezi iskljuceni, onda trigger mora da dolazi spolja. Kabal iz njega vodi u ISDN kutiju, da li ona moze da bude izvor problema? Ako ne, onda ga "nesto" od spolja cacka pa on zapocinje konekcije ali posto nema saobracaja, nakon 3 minuta je gasi da bi odmah sledece sekunde zapoceo novu. I tako u nedogled...
Sta bi to jos moglo da dolazi spolja? I zasto ruter onda bira spoljni broj, jer u osnovi je ipak Dial-up konekcija?
[ U--G @ 12.02.2002. 22:27 ] @
Cisco 600 serija je DSL router, znaci da nema dial-up, i on je osetljiv na DDoS attack.
Da bi neko spolja poceo da "cacka" mora prvo da uspostavi vezu sa tobom, znaci mora da zove. Ako imas dva broja na ISDN-u prebaci ga na drugi broj da budes siguran. Ko ti je na drugoj strani????? ISP ili neki drugi router u WAN-u? Odakle dolazi taj prvi poziv? Da nemas nesto kao auto reconnect?
Predpostavljam da si ga vec jednom iskljucio i ponovo ukljucio i da si proverio kablove ;o)
[ borismax @ 12.02.2002. 22:50 ] @
Citat: U--G:
Cisco 600 serija je DSL router, znaci da nema dial-up, i on je osetljiv na DDoS attack.
Da bi neko spolja poceo da "cacka" mora prvo da uspostavi vezu sa tobom, znaci mora da zove. Ako imas dva broja na ISDN-u prebaci ga na drugi broj da budes siguran. Ko ti je na drugoj strani????? ISP ili neki drugi router u WAN-u? Odakle dolazi taj prvi poziv? Da nemas nesto kao auto reconnect?
Predpostavljam da si ga vec jednom iskljucio i ponovo ukljucio i da si proverio kablove ;o)
Upppsss, ode mi prazna poruka malopre... Nego, U--G, da ti se zahvalim prvo na interesovanju i dosadasnjoj pomoci na ovom problemu. Veruj mi da nije nesto banalno, tipa kablovi, ostavljen otvoren Outlook Express na nekom racunaru i tako to. Problem je sto ne postoji nikakva povezanost medju dogadjajima, potpuno su slucajni. Npr. prosli mesec je ruter drzao otvorenu konekciju citavih 78 sati, pa onda nakon toga narednih nekoliko dana se sam od sebe konektuje u toku noci ili popodneva kada nikog nema u firmi na po 20 i vise minuta. Kad ja to primetim, pocnem da cackam, ispitujem, prevezujem kablove i onda niceg nema neprirodnog jedno dve nedelje. Posle toga sam ga cekao i svako popodne gasio kompletan sistem dok se nije "upecao" prosli cetvrtak. Iz cista mira se aktivira u sred noci (makar tako kaze log file provajdera) i drzi otvorenu konekciju 3 minuta ali bez saobracaja. U petak u toku radnog vremena normalno prikazuje sve korisnicke sesije a onda nakon gasenja svih racunara, od petka popodne do ponedeljka ujutru, konektuje se na svakih 3 minuta i drzi otvorenu liniju bez saobracaja. Cudno, zar ne?
Sa druge strane je ISP (Nextra, odnosno Telenor) i njihovo jedino objasnjenje je - Code Red!
[ U--G @ 12.02.2002. 23:09 ] @
Nisam ni mislio ali rekoh da pitam da znamo da to nije razlog.
Elem o Code Red i Cisco imas vise ovde http://www.cisco.com/warp/publ.../cisco-code-red-worm-pub.shtml
Probaj drugi router da negde nadjes na par dana, ako je Code Red ili bilo sta drugo onda mora i na tom routeru da bude, ako nije mozda je greska u samom routeru. Ja cu probati sutra na poslu da se raspitam da li je neko od mojih kolega nesto tako cuo.
E da, jos o telefonskom broju, ne znam kako se router ponasa ako ga neko (nesto) drugo zove, npr. fax.
Mozda pricam gluposti ali fax salje isto handshake, e ako ga ne dobije nazad nema veze (to sto se tice faxa) a kako se router ponasa to ne znam. Mozes jednom da probas. posalji fax na router, pa vidi da li ce posle poziva pokusavati da uspostavi konekciju.
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|