作者 主題: PIX DNAT ??  (閱讀 4062 次)

0 會員 與 1 訪客 正在閱讀本文。

istme

  • 憂鬱的高中生
  • ***
  • 文章數: 130
    • 檢視個人資料
    • http://www.wretch.cc/blog/istme/
PIX DNAT ??
« 於: 2003-08-11 19:18 »
嗯!! 說一下看看有沒有使用PIX的朋友遇到一樣的事

是這樣的,公司的網路頻寬(OutGoing)從幾天前就一直是滿載,起先一方面因為公司很依賴mail,另一方面程式的進度delay了,心想應該還好喔,就不是很在意 (忙!!)

沒想到過幾天後看mrtg的圖發現已經滿檔好幾天了,早上router也當掉了,心想糟了,會不會是前幾天公佈的cisco router的漏洞被攻擊了,reboot router之後趕快和ISP聯絡請他們幫忙,結果發現有大量的ftp連線??,心中納悶之餘問一下IP
一查!!  #_#  (慘!!)

這個IP是用PIX作DNAT轉到內部的一個AP,有需要更新程式時才開放給廠商連進來的,現在又沒有人在更新資料!!
而且這條rule現在是deny的,根本連不進來 (糟!!)

到那部機器打 netstat 一看,我勒!! 一票IP在傳資料(FTP),趕快把PIX的DNAT刪除,access-rule也刪掉後頻寬才down下來....
(被K了)

我想很可能是那部機器當初開放的時候被植入後門,才會這樣,可是我有確認過PIX真的沒有開放這一部可以IN/OUTㄝ,真是的...(倒楣!!)

機器是用 cisco PIX 515 ...
 上帝的歸上帝,凱薩的歸凱薩 ]