Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 1564 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro hacked?

SalishSwede
I'm very concerend that my Astaro 5.103 box has been hacked.
It appears that my HTTP proxy service has been compromised but I wanted more experienced users input on this matter.

It looks like my internal machine at address 1.5 was getting harrassed, then the source of the attack changed to the address of my permimter  firwall , the Astaro box [v5.103].

This looks like a successful hack of Astaro Security Linux.
Can someone confirm?


Please examine the following log entries:
Local logfile query Query term: DOS Time span: 2005-03-01 -> 2005-03-02
Intrusion Protection System
2005:03:01-12:32:10 (none) snort[913]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 208.254.45.206:443 -> 10.1.1.5:3372
2005:03:01-12:32:13 (none) snort[913]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 208.254.45.206:443 -> 10.1.1.5:3372
2005:03:01-12:32:19 (none) snort[913]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 208.254.45.206:443 -> 10.1.1.5:3372
2005:03:01-12:32:31 (none) snort[913]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 208.254.45.206:443 -> 10.1.1.5:3372
2005:03:01-12:32:55 (none) snort[913]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 208.254.45.206:443 -> 10.1.1.5:3372
2005:03:01-12:33:43 (none) snort[913]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 208.254.45.206:443 -> 10.1.1.5:3372
2005:03:02-12:49:59 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:49:59 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:49:59 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:50:00 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:50:01 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:50:02 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:50:06 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:50:12 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:50:26 (none) snort[2751]: [1:1408:0] D DOS MSDTC attempt [Classification: Attempted Denial of Service] [Priority: 2]:  {PROTO006} 10.1.1.2:8081 -> 10.1.1.5:3372
2005:03:02-12:50:53 (none) snort[2751]: [1:140 ...


PS:  i originally posted this in the wrong place... sorry]


This thread was automatically locked due to age.
Parents
  • 0
    Douga,

    I would be very interested in you NAT and interface configuration. Could you please be so kind to send the output of 'Packet Filter >> Advanced  >>  Current System NAT Rules'  and 'Reporting >> Advanced >> Interface Information' to support@astaro.com, send it to my attention and refer to this thread.

    read u
    o|iver
Reply
  • 0
    Douga,

    I would be very interested in you NAT and interface configuration. Could you please be so kind to send the output of 'Packet Filter >> Advanced  >>  Current System NAT Rules'  and 'Reporting >> Advanced >> Interface Information' to support@astaro.com, send it to my attention and refer to this thread.

    read u
    o|iver
Children
  • 0 in reply to oliver.desch
    The requested information has been sent.

    Cheers
  • 0 in reply to SalishSwede
    For the rest of us:

    Here is my interface layout:

       Internet/ISP
         |
         eth1    2 ip addresses on eth1
          |
     _____________
    |  Astaro v5.13  |       [now upgraded to 5.2]
     --------------------
        |              |  
      eth0       eth2
     internal    DMZ (not yet used)
    10.x.x.x   192.168.1.y


    Active NAT rules on eth1:
    DNS  Any -> External_Both / DNS None DNSsrv  
    DNS2   Any -> External_Both / DNS      None    DNSsrv
    Internal  Internal (Network) -> All / All   MASQ__External