Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    ¡¡¡me explotaron el pfsense…!!!

    Scheduled Pinned Locked Moved Español
    5 Posts 3 Posters 2.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      johnnatan
      last edited by

      Hola saludos de nuevo…

      ultimamente estoy usando putty para ver los .log del filter.... y muestra continuamente unas IP  ajenas a las redes especificadas por mi, queriendo salir o entar por diferentes puertos y pienso que me han explotado el pfsense.

      estos son los log que les comento:

      366544 rule 94/0(match): block in on vr0: 161.196.183.3.80 > xxx.xxx.xxx.xxx.21952: [|tcp]
      512344 rule 94/0(match): block in on vr0: 161.196.183.3.80 > xxx.xxx.xxx.xxx.21487:  tcp 1400 [bad hdr length 0 - too short, < 20]
      296190 rule 94/0(match): block in on vr0: 10.114.0.1.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 324

      he hecho cat para userlog y hay un usuario  charlie que usa &:/root/bin/sh

      el cual no lo he creado yo.

      si alguien tiene una idea que puede estar pasando…Gracias de antemano..

      1 Reply Last reply Reply Quote 0
      • L
        leoalfa09
        last edited by

        por que puerto tienes publicado el ssh

        1 Reply Last reply Reply Quote 0
        • belleraB
          bellera
          last edited by

          Creo que auditaste mal…

          1. Charlie el el nombre de pila del usuario root en todos los UNIX:

          cat /etc/passwd | grep Charlie

          root:*:0:0:Charlie &:/root:/bin/sh

          http://lists.freebsd.org/pipermail/freebsd-questions/2005-September/098373.html

          2. ¿Qué interfase es vr0 en tu pfsense? Si se trata de tu WAN y tiene una IP pública es normal que vea "de todo" y bloquee lo que no toca. Si es tu LAN entonces tienes las reglas mal configuradas porque están llegando cosas indebidas.

          1 Reply Last reply Reply Quote 0
          • J
            johnnatan
            last edited by

            vr0 es la WAN… umm bueno queria salir de dudas....es que antes no tenia esas inssistencias por la vr0....
            y lo del usuario queria estar seguro que no fuese algun intruso pasado de vivo... ;)

            ahhh y me imagino que los usuario (toor y daemon) son nobres pilas tambien y que usan otros servicios especificos

            Gracias por la ayuda..

            1 Reply Last reply Reply Quote 0
            • J
              johnnatan
              last edited by

              y para que quieres saber por que puerto tengo es ssh leoalfa09 ?

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.