¡¡¡me explotaron el pfsense…!!!



  • Hola saludos de nuevo…

    ultimamente estoy usando putty para ver los .log del filter.... y muestra continuamente unas IP  ajenas a las redes especificadas por mi, queriendo salir o entar por diferentes puertos y pienso que me han explotado el pfsense.

    estos son los log que les comento:

    366544 rule 94/0(match): block in on vr0: 161.196.183.3.80 > xxx.xxx.xxx.xxx.21952: [|tcp]
    512344 rule 94/0(match): block in on vr0: 161.196.183.3.80 > xxx.xxx.xxx.xxx.21487:  tcp 1400 [bad hdr length 0 - too short, < 20]
    296190 rule 94/0(match): block in on vr0: 10.114.0.1.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 324

    he hecho cat para userlog y hay un usuario  charlie que usa &:/root/bin/sh

    el cual no lo he creado yo.

    si alguien tiene una idea que puede estar pasando…Gracias de antemano..



  • por que puerto tienes publicado el ssh



  • Creo que auditaste mal…

    1. Charlie el el nombre de pila del usuario root en todos los UNIX:

    cat /etc/passwd | grep Charlie

    root:*:0:0:Charlie &:/root:/bin/sh

    http://lists.freebsd.org/pipermail/freebsd-questions/2005-September/098373.html

    2. ¿Qué interfase es vr0 en tu pfsense? Si se trata de tu WAN y tiene una IP pública es normal que vea "de todo" y bloquee lo que no toca. Si es tu LAN entonces tienes las reglas mal configuradas porque están llegando cosas indebidas.



  • vr0 es la WAN… umm bueno queria salir de dudas....es que antes no tenia esas inssistencias por la vr0....
    y lo del usuario queria estar seguro que no fuese algun intruso pasado de vivo... ;)

    ahhh y me imagino que los usuario (toor y daemon) son nobres pilas tambien y que usan otros servicios especificos

    Gracias por la ayuda..



  • y para que quieres saber por que puerto tengo es ssh leoalfa09 ?


Locked