【問題】Coyote容易被病毒入侵嗎?



贊助商連結


jastry
2006-10-20, 06:14 PM
我使用站上的免費路由器 Coyote (北美小銀狼)的方式給學生宿舍使用網路,最近網路突然很難連線,是連線狀態(網路沒有問題),但是連線速度很慢很慢。(每台最大上傳64K,最大下載512K)

剛開始還在想說會不會是ISP的問題,打了電話確認了也不是ISP的問題,只知道有人使用這條線路寄出大量的信件(中華電信告知的)。

最後想到的就是區網內有人中毒,因為不知道是哪位學生的電腦有問題,也沒辦法一一的檢查每位同學的電腦,但是後來想想,就算是有電腦中毒了也應該會被系統的流量控制給控制住才對阿,為什麼還能利用我們的線路來寄大量的廣告信件呢?

想知道如何從Coyote主機中得知是哪台電腦中毒,還是從流量的大小來得知是哪台電腦佔用大量的網路資源?我是有使用SSH看到其中一台的InRate直最高,一直都維持在64.0~64.6之間,會有可能是這個MAC的電腦的問題嗎?

目前只想到使用關閉25號Port的方式來讓SMTP無法寄信,那還有什麼方式能處理這樣的情形呢?

請站上有經驗的大大們幫忙解決這棘手的問題,謝謝!

贊助商連結


linux_xp
2006-10-20, 11:29 PM
Coyote 不容易被病毒入侵

1.
它原先就是磁片版,嵌入式非常精簡系統
對外能夠登入的只有 SSH 服務
不像標準的 Linux,有很多對外的服務 (入侵窗口)

2.
假設 SSH 有對外開放,並且密碼被猜出來登入了
入侵者會發現:什麼系統指令也沒有....

當然也沒有 sendmial、postfix 這些 SMTP 服務
這是可以理解的,光一個 smtp 套件,就要幾十MB 了
強調磁片版的 coyote ,自然不可能去塞這些東西

只有 ls、cd、cp、mv、mount、iptables...這些最基本的指令
很難想像這些檔案操作的指令,能搞什麼破壞
頂多被設計一直去 ping 別人的電腦,造成 DDoS 攻擊

3.
假設入侵者自行放入病毒木馬,並且執行。
這要分兩方面來講:

磁片版的話
開機磁片容量是剛剛好 1.4MB 左右的
根本塞不下任何東西了
例如:要多塞一個 add-ones,它就說磁片已經滿了
那麼病毒木馬又怎麼可能塞的進去

所以磁片版可以說是最安全的
甚至磁片的防寫開關鎖住的話,還是唯讀的
(不過也不能儲存設定了...)

作成硬碟開機的話:
事實上,硬碟只會放映像擋
開機後就會創建一個 ramdisk
把 os 的映像擋解到 ramdisk 中
所以入侵者就算放入病毒,他還要回存硬碟才可以,不然一開機就洗掉了
(註:ram 中的資料,重開機後不能保留)


另外一點是,Linux 的防毒軟體很少
而且大多是用來掃 windows 病毒的 (用於檔案伺服器、mail伺服器)
win32 的病毒,無法感染 unix 系統
因為系統核心結構不同,運作方式不同的關係

Linux 防毒軟體少,不過也不是說不會中毒,只是機率很低
因為軟體大多是由官方伺服器免費下載的,保證無毒
而不會去亂抓一些破解版、試用版,來路不明的軟體來執行

就像 coyote ,除了裝 add-ones ,它還能裝什麼
不可能說在上面裝一套遊戲、或雜七雜八軟體之類的,因為根本沒得裝
但 add-one 多是官方網站提供的,很多人使用
如果有問題,早就會被提出來,所以可以看作是可信任的

--------------------------------------------------------------
以上都是廢話,解決方法如下:

這種情況,可以利用「紀錄功能」來抓奸

假設
對內 eth0
對外 eth1

開放 25 port 出去
新增以下規則

iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 25 -j LOG --log-prefix "** SMTP-OUT **"

規則說明:
由 eth0 進入,由 eth1 出去,tcp 封包,目標埠 25 ,就紀錄起來
紀錄行中,會含有 ** SMPT-OUT ** 這個字串

紀錄檔在 /etc/var/message
可以用 cat /etc/var/message 看
或是直接在瀏覽器中的「診斷工具」「系統訊息」看,也可以

出現最多的 IP,就是奸細!
:p

ps.
HTB 型態的 QoS 的,最小管制單位為 1 KB
假設一封垃圾郵件 1KB,每秒送出一封
一天有 86,400 秒
一天可以寄出 8萬6千封 左右

就算一封垃圾郵件有 2KB,一天也能寄出 4萬封
圖片它用超連結就好了,純文字檔的 html 形式 mail,其實容量不大

jastry
2006-10-21, 04:13 PM
感恩!讓我知道了一個方向,至少能從IP數的多寡來判定誰是奸細。

小弟先去看看紀錄是如何,下回再來報告處理的結果!

如有其他意見也請大家不吝指教!!