【問題】Coyote容易被病毒入侵嗎?

[jastry]

我使用站上的免費路由器 Coyote (北美小銀狼)的方式給學生宿舍使用網路，最近網路突然很難連線，是連線狀態(網路沒有問題)，但是連線速度很慢很慢。(每台最大上傳64K，最大下載512K)

剛開始還在想說會不會是ISP的問題，打了電話確認了也不是ISP的問題，只知道有人使用這條線路寄出大量的信件(中華電信告知的)。

最後想到的就是區網內有人中毒，因為不知道是哪位學生的電腦有問題，也沒辦法一一的檢查每位同學的電腦，但是後來想想，就算是有電腦中毒了也應該會被系統的流量控制給控制住才對阿，為什麼還能利用我們的線路來寄大量的廣告信件呢?

想知道如何從Coyote主機中得知是哪台電腦中毒，還是從流量的大小來得知是哪台電腦佔用大量的網路資源?我是有使用SSH看到其中一台的InRate直最高，一直都維持在64.0~64.6之間，會有可能是這個MAC的電腦的問題嗎?

目前只想到使用關閉25號Port的方式來讓SMTP無法寄信，那還有什麼方式能處理這樣的情形呢?

請站上有經驗的大大們幫忙解決這棘手的問題，謝謝！

[linux_xp]

Coyote 不容易被病毒入侵

1.
它原先就是磁片版，嵌入式非常精簡系統
對外能夠登入的只有 SSH 服務
不像標準的 Linux，有很多對外的服務 (入侵窗口)

2.
假設 SSH 有對外開放，並且密碼被猜出來登入了
入侵者會發現：什麼系統指令也沒有....

當然也沒有 sendmial、postfix 這些 SMTP 服務
這是可以理解的，光一個 smtp 套件，就要幾十MB 了
強調磁片版的 coyote ，自然不可能去塞這些東西

只有 ls、cd、cp、mv、mount、iptables...這些最基本的指令
很難想像這些檔案操作的指令，能搞什麼破壞
頂多被設計一直去 ping 別人的電腦，造成 DDoS 攻擊

3.
假設入侵者自行放入病毒木馬，並且執行。
這要分兩方面來講：

磁片版的話
開機磁片容量是剛剛好 1.4MB 左右的
根本塞不下任何東西了
例如：要多塞一個 add-ones，它就說磁片已經滿了
那麼病毒木馬又怎麼可能塞的進去

所以磁片版可以說是最安全的
甚至磁片的防寫開關鎖住的話，還是唯讀的
(不過也不能儲存設定了...)

作成硬碟開機的話：
事實上，硬碟只會放映像擋
開機後就會創建一個 ramdisk
把 os 的映像擋解到 ramdisk 中
所以入侵者就算放入病毒，他還要回存硬碟才可以，不然一開機就洗掉了
(註：ram 中的資料，重開機後不能保留)


另外一點是，Linux 的防毒軟體很少
而且大多是用來掃 windows 病毒的 (用於檔案伺服器、mail伺服器)
win32 的病毒，無法感染 unix 系統
因為系統核心結構不同，運作方式不同的關係

Linux 防毒軟體少，不過也不是說不會中毒，只是機率很低
因為軟體大多是由官方伺服器免費下載的，保證無毒
而不會去亂抓一些破解版、試用版，來路不明的軟體來執行

就像 coyote ，除了裝 add-ones ，它還能裝什麼
不可能說在上面裝一套遊戲、或雜七雜八軟體之類的，因為根本沒得裝
但 add-one 多是官方網站提供的，很多人使用
如果有問題，早就會被提出來，所以可以看作是可信任的

--------------------------------------------------------------
以上都是廢話，解決方法如下：

這種情況，可以利用「紀錄功能」來抓奸

假設
對內 eth0
對外 eth1

開放 25 port 出去
新增以下規則

iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 25 -j LOG --log-prefix "** SMTP-OUT **"

規則說明：
由 eth0 進入，由 eth1 出去，tcp 封包，目標埠 25 ，就紀錄起來
紀錄行中，會含有 ** SMPT-OUT ** 這個字串

紀錄檔在 /etc/var/message
可以用 cat /etc/var/message 看
或是直接在瀏覽器中的「診斷工具」「系統訊息」看，也可以

出現最多的 IP，就是奸細！


ps.
HTB 型態的 QoS 的，最小管制單位為 1 KB
假設一封垃圾郵件 1KB，每秒送出一封
一天有 86,400 秒
一天可以寄出 8萬6千封 左右

就算一封垃圾郵件有 2KB，一天也能寄出 4萬封
圖片它用超連結就好了，純文字檔的 html 形式 mail，其實容量不大

[jastry]

感恩！讓我知道了一個方向，至少能從IP數的多寡來判定誰是奸細。

小弟先去看看紀錄是如何，下回再來報告處理的結果！

如有其他意見也請大家不吝指教！！