Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: linhost274.prod.mesa1.secureserv  (gelezen 835 keer)

Offline paulkater

  • Lid
linhost274.prod.mesa1.secureserv
« Gepost op: 2011/01/31, 18:55:31 »
Hallo allemaal

Ik krijg steeds bezoek van een machine op linhost274.prod.mesa1.secureserv:80.
Wie weet wat dat is? Als dat ding op visite komt dan krijg ik een bult dataverkeer te verduren dat het niet normaal is. Het loopt echt in de honderden megabytes per keer, en dat is zowat dagelijks voor zover ik kan zien.

Via iptraf heb ik dit achterhaald, maar heeft iemand een idee hoe ik dit kan blokkeren? Ik heb de hostnaam en het IPadres (208.109.14.77) al in /etc/hosts.deny gezet, maar dat heeft geen effect, en ik vind dit gedoe niet prettig.

Als iemand een idee of tip heeft... alvast bedankt.

Paul

Re: linhost274.prod.mesa1.secureserv
« Reactie #1 Gepost op: 2011/01/31, 20:02:05 »
Met iptables kan je het inkomende verkeer blokkeren.
De exacte syntax ken ik ook niet vanbuiten.
http://leerubuntu.org (ubuntu zonder moeilijke woorden)
VoidWarranties (Hackerspace) Antwerpen
Microsoft isn't evil, they just make really crappy operating systems. - Linus Torvalds

Offline Johan van Dijk

  • Administrator
    • johanvandijk
Re: linhost274.prod.mesa1.secureserv
« Reactie #2 Gepost op: 2011/02/01, 02:27:53 »
Om wat voor computer gaat het precies? Is het je desktop of laptop, of is het een webserver? Iets anders?
Welke versie van Ubuntu draai je? Op welke poort komt het verkeer van die server terecht? Welke service draait daar achter?

Ik weet verder niet of je een firewall in gebruik hebt en zo ja welke, maar via UFW kan je dit soort dingen vrij eenvoudig blokkeren.
Zie ook de wiki: http://wiki.ubuntu-nl.org/community/UbuntuFirewall

In dit geval kan je met dit commando het verkeer blokkeren:
sudo ufw deny in from 208.109.14.77 to any
Hou er wel rekening mee dat je jezelf niet buitensluit als het om een server in een datacentrum gaat. Sta dus eerst toe dat je via SSH in kan loggen.

Offline paulkater

  • Lid
Re: linhost274.prod.mesa1.secureserv
« Reactie #3 Gepost op: 2011/02/01, 05:32:50 »
Het is een desktop die als server fungeert voor een aantal mensen. Ubuntu 10.04 draait erop.
Ik heb de standaard ubuntu firewall draaien, dus dank je voor de tip, ik zal het commando erop loslaten en dan in de gaten houden of dit gedoe over is.

Het IP zoals iptraf het rapporteert is 208.109.14.77:80 dus lijkt het op http binnen te komen, maar het rare is dat ik apache2 heb gestopt toen ik dit een keer zag en de transfer ging gewoon door. Ik heb zelfs een keer volledig eth0 plat gelegd (dat werkt) maar na opnieuw aanzetten pakte die transfer weer gewoon op en ging vrolijk door met pompen.

Bedankt!

Offline Rachid

  • Lid
    • rachidbm
    • Mijn blog
Re: linhost274.prod.mesa1.secureserv
« Reactie #4 Gepost op: 2011/02/01, 10:34:02 »
Ben je ook blij dat Ubuntu zo toegankelijk en gratis is, en wil je graag net als ik iets terugdoen, kijk dan eens rond bij mwanzo, dé poort naar het bijdragen aan Ubuntu en haar gemeenschap!

Offline paulkater

  • Lid
Re: linhost274.prod.mesa1.secureserv
« Reactie #5 Gepost op: 2011/02/01, 11:06:55 »
Hoi Rachid,

Dank je. Ik had via WHOIS al ontdekt dat die server onder de vleugels van godaddy.com staat geregistreerd. Ik heb ook gemaild naar abuse@godaddy.com maar daar (niet verwonderlijk) nooit iets op terug gehoord.

Ook heel raar: op dat ding (linhost etc) draait een webserver, en als je die bezoekt zie je een melding dat alles in orde is en een nummer. Zegt helemaal niets...

Offline Johan van Dijk

  • Administrator
    • johanvandijk
Re: linhost274.prod.mesa1.secureserv
« Reactie #6 Gepost op: 2011/02/01, 18:07:12 »
Er schijnen nogal wat websites achter dat IP te zitten, dus het is ook nog mogelijk dat een gebruiker één van die websites bezoekt. Zie bijv. hier: http://www.robtex.com/ip/208.109.14.77.html

Een andere mogelijkheid is dat die server gehackt is (lekke website oid) en dat die inbreekt via de remote desktop functionaliteit op je server. Daarom is het handig om uit te zoeken op welke poort op de server hij verbinding maakt.
Dan kan je uitzoeken wat er naar die poort luistert (SSH, VNC, iets anders) en of dat een veiligheidslek is.

Offline paulkater

  • Lid
Re: linhost274.prod.mesa1.secureserv
« Reactie #7 Gepost op: 2011/02/01, 18:15:26 »
Goeie help, want een lijst! Ik zal de zaak hier eens nakijken. Alles zou dicht moeten staan, op een paar services na.
Dank voor alle hulp!