MK-auth consumindo todo upload (não é hotsite nem dns)

Venho monitorando o mk-auth de um cliente que desde ontem está consumindo os 100Mbps de upload do link. Pesquisei aqui no fórum e vi que poderia ser ataque DNS ou ao Hotsite. Fiz o bloqueio de requisições externas de DNS no servidor mikrotik e desativei o hotsite parando o serviço do apache no mk-auth e o problema continuou. Deixei o torch do mikrotik rodando na interface que se comunica com o mk-auth e quando ativo a internet do mk-auth ele faz mais de 15000 conexões para os ips: 108.162.192.153 e 108.162.193.153 na porta 80 cada conexão consumindo por volta de 3kbps. É como se algum vírus dentro do mk-auth estivesse fazendo diversas requisições para a internet.

Pesquisei por arquivos suspeitos como alguns que relataram aqui no fórum e não achei, o que fiz foi criar uma regra no iptables do debian onde está o mk-auth e dropar toda comunicação de dentro do mk-auth pra fora na porta 80, resolveu em partes mas não solucionou o problema. Gostaria de saber o que pode tá ocasionando isso. Não tem nada instalado no mk-auth e de repente começou com esse consumo todo mesmo com o apache (hotsite) parado.

Por enquanto deixei o mk-auth dele sem internet para os clientes continuarem se autenticando, mas isso vai atrapalhar as baixas automáticas do gerencianet, acesso externo ao site e geração de carnês (que necessitam da internet).

Respostas

Leandro Cesar Souza Junho 18, 2019 9:46

Vai no mikrotik e dá um torch na interface do mk-auth e posta aqui. Torch com porta e IP.
José carlos Junho 16, 2019 16:56

Amigo boa tarde. vc conseguio resolver o prob do ataque do upload?

estou com o mesmo prob aqui.

desde ja agradeço pela ateção
Eni Setembro 17, 2015 14:13

da proxima vez dropa o ip de ataque usando a regra abaixo.

se for varios ips, dropa a range mudando o final para 0/24

/ip firewall filter
add action=drop chain=forward comment="BLOQUEIO ATAQUE EXTERNO" dst-address=IP_QUE_VAI_DROPAR
Marcio Jose Setembro 17, 2015 12:03

Montei outra maquina e instalei o mk auth e nao coloquei acesso externo por enquanto resolveu mas vou continuar monitorando agradeço a ajuda de todos
Duh ( Josevaldo ) Setembro 16, 2015 20:37

acompanhado.
Marco (TI e C) Setembro 16, 2015 16:57

Poste aqui o resultado do seguinte comando:

netstat -tape
Pedro Filho Setembro 14, 2015 20:21

na porta 80 tem o hotsite, vc tem que dropar o acesso externo a ela...

Marcio Jose disse:

Olá pedro continuo com o mesmo problema pois já desativei acesso externo fiz o drop da porta 53 mas continua fiz o touch na ether do mk-auth fica conectando com vários ip pela porta 80 tem alguma ideia do que seja este problema?
Marcio Jose Setembro 10, 2015 20:58

Olá pedro continuo com o mesmo problema pois já desativei acesso externo fiz o drop da porta 53 mas continua fiz o touch na ether do mk-auth fica conectando com vários ip pela porta 80 tem alguma ideia do que seja este problema?
Pedro Filho Agosto 20, 2015 11:19

por padrão o mk-auth não usa a porta 8080

Cordeiro Neto disse:

Fiz um drop no iptables do servidor mk-auth dropando todo acesso partindo dele pra porta 80 e liberei apenas o ip de atualizações automáticas e o ip do gerencianet.. mas o ataque agora já de adaptou e tá sugando tudo pela porta 8080, olha o torch
MK-Ninja Agosto 18, 2015 20:13

#!/bin/bash

#libera acesso do mkauth ao servidor de atualizações
iptables -A OUTPUT -p tcp --dport 80 -d 69.28.82.199 -j ACCEPT

#bloqueia o acesso do mkauth a porta 80
iptables -A OUTPUT -p tcp --dport 80 -j DROP

#bloqueia o acesso do mkauth a porta 8080
iptables -A OUTPUT -p tcp --dport 8080 -j DROP

#bloqueia o acesso do mkauth a porta 3128
iptables -A OUTPUT -p tcp --dport 3128 -j DROP

de 2

This reply was deleted.