(linux-br) sem acesso ao gateway e ataque de cinik

[Tiago St�rmer Daitx]

Ol�!

Recentemente o linux box (Red Hat 7.3) de onde trabalho come�ou a apresentar mensagens de "neighbour table overflow". A princ�pio achei que fosse um programa rec�m instalado e comecei a rodar uns testes sobre este programa. No meio tempo a eth0 parou de se comunicar com a internet e nem mesmo conseguia fazer um ping para o gateway da rede. Coloquei a placa em eth1 e tudo voltou a funcionar at� que as mensagens voltaram. Em pouco tempo a eth1 sofreu do mesmo problema da eth0, nada de internet. Como o software que eu achei estar causando o problema n�o estava rodando, fui ver os processos. Neste momento me deparei com um ".cinik". N�o demorei muito pra descobrir que se trata de um worm (utiliza um exploit do openssl) que faz diversas conex�es PTP com redes classe A,B e C procurando outros worms (a quantidade de conex�es deve ter gerado as mensagens). A quest�o � que n�o encontrei nada relacionado na rede a respeito deste worm modificar a rede e ap�s longas buscas nada relacionado ao meu problema atual.
A configura��o � a seguinte:
RedHat 7.3
ip X.Y.41.248
netmask 255.255.0.0
gateway X.Y.41.254

route -n (sem -n n�o funciona pq o servidor dns fica na internet) retorna:
source netmask gateway dev
X.Y.0.0 255.255.0.0 0.0.0.0 eth0 (ou eth1)
127.0.0.0 255.0.0.0 0.0.0.0 lo
0.0.0.0 0.0.0.0 X.Y.41.254 etho (ou eth1)

Mesmo colocando a rede pra funcionar no bra�o (ie ifconfig e route) ainda n�o consigo chegar ao gateway. Outras m�quinas da mesma rede conseguem faz�-lo sem problemas.
Devo salientar que a rede interna funciona perfeitamente e posso dar um ping em qualquer m�quina da mesma, exceto o gateway.
Iptables est� com tudo como accept.

Creio que a solu��o deste problema deva estar relacionado com o fato da eth1 ter funcionado at� ser atingida pelo mesmo problema da eth0, s� n�o sei exatamente onde este problema se encontra...

Qualquer ajuda ser� bem vinda...

Abra�os,
Tiago S Daitx

----------------------------------------------
Undergraduate Physics Student
@ UFRGS/BR
PHP Programmer
Linux Admin



Assinantes em 20/11/2002: 2249
Mensagens recebidas desde 07/01/1999: 190816
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]