¡¡¡me explotaron el pfsense…!!!
-
Hola saludos de nuevo…
ultimamente estoy usando putty para ver los .log del filter.... y muestra continuamente unas IP ajenas a las redes especificadas por mi, queriendo salir o entar por diferentes puertos y pienso que me han explotado el pfsense.
estos son los log que les comento:
366544 rule 94/0(match): block in on vr0: 161.196.183.3.80 > xxx.xxx.xxx.xxx.21952: [|tcp]
512344 rule 94/0(match): block in on vr0: 161.196.183.3.80 > xxx.xxx.xxx.xxx.21487: tcp 1400 [bad hdr length 0 - too short, < 20]
296190 rule 94/0(match): block in on vr0: 10.114.0.1.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 324he hecho cat para userlog y hay un usuario charlie que usa &:/root/bin/sh
el cual no lo he creado yo.
si alguien tiene una idea que puede estar pasando…Gracias de antemano..
-
por que puerto tienes publicado el ssh
-
Creo que auditaste mal…
1. Charlie el el nombre de pila del usuario root en todos los UNIX:
cat /etc/passwd | grep Charlie
root:*:0:0:Charlie &:/root:/bin/sh
http://lists.freebsd.org/pipermail/freebsd-questions/2005-September/098373.html
2. ¿Qué interfase es vr0 en tu pfsense? Si se trata de tu WAN y tiene una IP pública es normal que vea "de todo" y bloquee lo que no toca. Si es tu LAN entonces tienes las reglas mal configuradas porque están llegando cosas indebidas.
-
vr0 es la WAN… umm bueno queria salir de dudas....es que antes no tenia esas inssistencias por la vr0....
y lo del usuario queria estar seguro que no fuese algun intruso pasado de vivo... ;)ahhh y me imagino que los usuario (toor y daemon) son nobres pilas tambien y que usan otros servicios especificos
Gracias por la ayuda..
-
y para que quieres saber por que puerto tengo es ssh leoalfa09 ?