Posté le: Mar Sep 09, 2003 1:54 pm Sujet du message: IOS FIREWALL /C827 ->LOG 127.0.0.1
Bonjour,
j'ai un Cisco 827 avec IOS Firewall 12.2-2.T4 vers une ADSL
mon access list 130 ( copié ci dessous ) ci-dessous filtre l'interface Dialer 1 ( Outside )
mais depuis un mois j'ai de nombreux messages dans mon log
( copie du log en fin de page ) dont je n'arrive pas a trouver la raison, le source etant mon adresse loopback du PC (127.0.01)la destination mon adresse IP publique,et toujours des packets TCP
les ports sont tres variables mais generalement compris entre 1000 et 2000
si vous avez une idée, merci d'avance de votre avis...
Johann
le format du msg est :
date heure IP routeur %SEC-6-IPACCESSLOGP: list 130 denied tcp 127.0.0.1(80) -> 81.56.230.xx(1009), 1 packet
Access list 130:
access-list 130 deny ip 10.0.0.0 0.255.255.255 any log
access-list 130 deny ip 172.16.0.0 0.15.255.255 any log
access-list 130 deny ip 192.168.0.0 0.0.255.255 any log
access-list 130 deny ip any host 255.255.255.255
access-list 130 permit udp 0.0.0.0 255.255.255.0 eq domain any
access-list 130 permit icmp any any administratively-prohibited log
access-list 130 permit icmp any any echo log
access-list 130 permit icmp any any echo-reply
access-list 130 permit icmp any any packet-too-big log
access-list 130 permit icmp any any time-exceeded log
access-list 130 permit icmp any any unreachable log
access-list 130 deny icmp any any traceroute log
access-list 130 deny ip any host 255.255.255.255 log
access-list 130 deny ip any any log
8899 packets in a few hours blocked from the loopback interface to the wan interface.
anyone has an idea? here's my acl list:
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 permit tcp any any eq 22
access-list 111 permit tcp any any eq www
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any log
I have a cisco soho 77 ipfw ios.
thanks on advance.
kain
Inscrit le: 30 Oct 2003 Messages: 1 Localisation: Tunisia
Posté le: Jeu Oct 30, 2003 2:16 pm Sujet du message:
bonjour,
Moi aussi j'ai le meme probleme. Mais c'est au niveau du log de mon serveur Firewall ISA server. Il s'agit surement d'une Spoof Attack.
Ca veux dire qu'il y a un pirate qui veux s'introduire a votre reseaux ou un virus ex:Blaster.
J'appelle a l'aide pour trouver une solution final a ce probleme.
Merci
Inscrit le: 14 Avr 2003 Messages: 167 Localisation: France
Posté le: Ven Oct 31, 2003 4:55 pm Sujet du message:
Bonjour
Pour votre probleme, c'est en general un virus de type worm qui tente d'analyser votre serveur web afin de comparer sa liste d'os defaillant avec celui de votre serveur.
Voici un lien explicant en profondeur le suivi des logs de securité :
Posté le: Sam Nov 01, 2003 11:32 am Sujet du message:
En résumé du message de septembre
=> Cisco 827 avec IOS Firewall 12.2-2.T4 vers ADSL
access list 130 ( copié ci dessous ) sur l'interface Dialer 1 ( Outside )
depuis cet été mon log se rempli à chaque connexion
la source etant l'adresse loopback du PC (127.0.01)
la destination mon adresse IP publique,
toujours des packets TCP
pour ne prendre aucun risque j'ai bloqué completement mon Outside
Access list 130:
access-list 130 deny ip any any log
Pour ceux qui sont dans le même cas , j'ai vérifié, les packets sont toujours des TCP compris entre les ports 1000 et 2000 sans exception
Si qq connais un parade ou le moyen d'identifier l'origine de l'attaque si c'en est une, nous sommes preneurs des idées !!
Posté le: Lun Nov 10, 2003 4:45 am Sujet du message:
sorry for my english.
Nov 10 03:38:49 sunsetstriker 97789: 127.0.0.1(80) -> 80.180.xx.xx(1986), 1 packet
the router has a static entry to allow traffic on port 80 for the webserver
10.10.10.4:80 -> wan:(10002000)
no viruses or other evil things inside my computers, the server's os is a debian stable.
i've checked other daemons and stopped them all, but the router always log this 127.0.0.1(80) packets to wan interface.
maybe it is the isa spoofed attack?
this sucks, i've orderer "hardening cisco routers", i think this is a good read.
Posté le: Mar Nov 25, 2003 4:56 pm Sujet du message:
Bonjour, ( translated below )
une info pour ceux qui sont toujours a la recherche de la source du probleme :
denied tcp 127.0.0.1(80) -> 81.56.230.xx(1xxx), 1 packet
j'ai trouvé avec le logiciel SpyBot, que Download Accelerator ( DAP )
cherche a aller sur le web ( en utilisant 127.0.0.1 comme source ) pour aller pecher ses écrans publicitaires, de plus cette version s'intalle comme un plug in dans IE
apres desintallations de DAP, le probleme semble s'etre arreté
donc ..................
Merci a tous ( et au 979 lecteurs !!!!!!!!!!! )
For our english speaking friends :
It seems i found the problem source running the anti-spyware software SpyBot V1.2
It seems DAP ( download accelerator ) installed on this PC, is looking for banners on the net, using 127.0.0.1 as source, as this version is running like a plugin in IE and Netscape, it runs each time you start your PC, the ACL is doing a good job, but the log file is full up by this trash,
so if you have the : ( where 81.56.230.xx is an example of public Ip adress )
denied tcp 127.0.0.1(80) -> 81.56.230.xx(1xxx), 1 packet
just try to de install DAP, and check it out !!!
well hope this help, and just after fire Bush from white house lollll
Inscrit le: 26 Déc 2002 Messages: 468 Localisation: France
Posté le: Jeu Nov 27, 2003 8:49 am Sujet du message:
Si un programme envois un paquet ayant comme IP source, 127.0.0.1, il y a peut de chance que ce paquet revienne un jour (il restera dans la pile IP interne de la machine de destination).
Au sujet des logs de type 127.0.0.1
Une des hyptohèse (qui rejoint celle du vers proposé par Papaye)de ce type de log (j'en plein moi aussi) serai etre des machines hackées, utilisées pour des attaques de type DDOS vers des serveurs.
Par exemple le virus MSBLAST lance des attaques vers le site de windowsupadate.com. Et apparament ce virus fait une résoltion de nom
pour trouver l'adresse IP du serveur.
Donc, comme moyen de defense, certain serveur DNS retourne l'adresse 127.0.0.1 à la place de la vraie IP.
Les machines infectées créent un paquet en remplacant leurs IP source
par l'adresse IP récupérée (qui est normallement celle de leur victime, mais ici 127.0.0.1). Et en adresse de destination mettent celle d'un serveur WEB (ou TCP) public et envoie le paquet.... beaucoup de paquet(en changeant l'adresse IP de destination à chaque fois).
Quand les paquets arrivent, ils ne correspondent à aucune session TCP
existantes, et donc la plupar des Firewall ou pile IP renvoie une réponse négative vers l'expéditeur. Ces paquets, passés inapercues aux
niveau des différents serveurs qui génèrent l'erreur, font de gros dégat quand il reviennent tous vers l'unique serveur (celui dont son IP à été mis dans le champ source/expediteur).
Mais comme ici, le serveur DNS à répondu 127.0.0.1, le Vers produit es
paquets invalide ayant comme IP source 127.0.0.1 (qui est votre dresse
de loopback, donc interne à votre machine).
C'est paquet sont invalide, car il ne devrait jamais sortir d'un PC (car c'est une IP interne à votre pile IP).
Ces paquets n'iront donc pas *censuré* le bordel sur le net, mais le message d'erreur restera chez vous.
Explication trouvé sur le forum comp.dcomp.sys.cisco
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
IOS FIREWALL /C827 ->LOG 127.0.0.1
