форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"Глюк или троян? Подскажите"

Сообщение от lazy (ok) on 17-Авг-08, 21:31

Люди добрые, помогите чем можете, сам я тут недавно. Суть проблемы: Провайдер ругается что у меня «обнаружена разновидность вируса, атакующего DCOM RPC или другие сервисы, в связи с чем осуществляется flood-атака с вашего IP-адреса». tcpdump, при включенном natd (стандартные настройки), показывает исходящие коннекты с моей машины в сеть провайдера. Запросы типа: 19:45:49.047407 IP xxxxx.ru.48896 > nnnnnnnnnn.ru.16694: S 735643102:735643102(0) ack 2083256591 win 16384 <mss 1460,nop,nop,sackOK> 19:45:49.047407 IP xxxxx.ru.34025> nnnnnnnnnn.ru.16694: S 735643102:735643102(0) ack 2083256591 win 16384 <mss 1460,nop,nop,sackOK> 19:45:49.047407 IP xxxxx.ru.61451> nnnnnnnnnn.ru.16694: S 735643102:735643102(0) ack 2083256591 win 16384 <mss 1460,nop,nop,sackOK> И т.д. …… Где xxx мой хост, а nnnnnnnnnn хост в сети провайдера. И таких запросов сразу по 50 штук. Через каждые пару минут опять повторяется, но уже коннект идёт на другой IP и другой порт. С нуля поставил чистую систему. Скопировал из старой системы только пару *.conf (проверил их). Причём это только при запущенном natd. Когда выключаешь его, коннекты пропадают. Система: FreeBSD 6.2-release-p3 i386 (обновлена из инета, ядро пересобрано) Подскажите, в какую сторону капать??

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Глюк или троян? Подскажите"

Сообщение от aaa (??) on 18-Авг-08, 08:59

>[оверквотинг удален] >Где xxx мой хост, а nnnnnnnnnn хост в сети провайдера. И таких >запросов сразу по 50 штук. Через каждые пару минут опять повторяется, >но уже коннект идёт на другой IP и другой порт. >С нуля поставил чистую систему. Скопировал из старой системы только пару *.conf >(проверил их). >Причём это только при запущенном natd. Когда выключаешь его, коннекты пропадают. >Система: >FreeBSD 6.2-release-p3 i386 (обновлена из инета, ядро пересобрано) > >Подскажите, в какую сторону капать?? может троянчик сидит не на Фре, а Виндовс клиенте

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Глюк или троян? Подскажите"
	Сообщение от lazy (ok) on 18-Авг-08, 10:54
	>может троянчик сидит не на Фре, а Виндовс клиенте В том то и дело что фря стоит одна на канале. :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Глюк или троян? Подскажите"
	Сообщение от angra (ok) on 18-Авг-08, 15:46
	Тогда зачем вам NAT?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Глюк или троян? Подскажите"
	Сообщение от lazy (ok) on 18-Авг-08, 21:27
	>Тогда зачем вам NAT? Локалка отключена на время проверки и выявления причины такой сетевой активности. Чтобы исключить вирус на виндовых машинах.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Глюк или троян? Подскажите"
	Сообщение от Rexx on 20-Авг-08, 17:23
	Ваш юникс стоит один на машине или на виртуальной машинке собран ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Глюк или троян? Подскажите"
	Сообщение от lazy (ok) on 21-Авг-08, 00:44
	>Ваш юникс стоит один на машине или на виртуальной машинке собран ? > Чистая система, установленная на чистый винт, с официального ISO файла с официального FTP сервера. Без виртуалок и т.п.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Глюк или троян? Подскажите"
	Сообщение от angra (ok) on 22-Авг-08, 19:16
	Давайте разберемся. В первом посте вы сказали, что проблема возникает только при запущенном natd. Логично предположить, что источник другие машины в локалке, которые вы натите. Теперь вы утверждаете что проверяли при отключенной(надеюсь это означает вытащенный кабель) локалке и проблема остается. Так что же на самом деле происходит при отключении локалки и играет ли какую-либо роль natd?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Глюк или троян? Подскажите"
	Сообщение от lazy (ok) on 22-Авг-08, 21:40
	>Давайте разберемся. В первом посте вы сказали, что проблема возникает только при >запущенном natd. Логично предположить, что источник другие машины в локалке, которые >вы натите. Теперь вы утверждаете что проверяли при отключенной(надеюсь это означает >вытащенный кабель) локалке и проблема остается. Так что же на самом >деле происходит при отключении локалки и играет ли какую-либо роль natd? > Все вышеперечисленные действия происходили при отключённой локальной сети (путём выдёргивания кабеля). При этом сетевая активность наблюдается только при запушенном natd.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Глюк или троян? Подскажите"

Сообщение от lazy (ok) on 22-Авг-08, 21:47

Вообщем всё решилось! Правда я так и непонял в чём причина. Лечение: Переделать правила ipfw со стандартных (дефолтных) на свои: ${fwcmd} add 50000 divert natd ip from ${loc} to any out xmit ${via_inet} ${fwcmd} add 51000 divert natd ip from any to ${ip_inet} И странная активность от моего имени пропала напроч. Вот тока чего непонимаю, дак это как так может быть???? (Причем от моего IP и атаки и сканирования были и провайдер на меня за это ругался. и тока при запушенном natd) По дефолту было: ${fwcmd} add 50 divert natd all from any to any via ${via_inet} Кто знает, подскажите. Чтоб на грабли снова не наступить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]