Не могу понять что это может быть и надо ли бить тревогу, может кто
подскажет.

Ситуация следующая:
1)Есть шлюз на котором со стороны интернета все порты зыкрыты + всё
отфильтровывается (отбрасывается). Состороны локалки тоже самое только
одно
но есть порты к которым доступ разрешён (80, 443, 22) но только с
опредилённых хостов в локалке.
2)постоянно работает Apache
3) DNS на самом шлюзе пока не поднят, а все пользователи локалки и сам шлюз
обращаются на DNS прова.

Но при запуске tcpdump или iptraff переодически проскальзывает следующее:

Tue Nov  4 13:22:00 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 to
195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate
0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
kbits/s
Tue Nov  4 13:24:23 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 to
195.35.34.10:1068; Connection reset; 1 packets, 46 bytes, avg flow rate
0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
kbits/s
Tue Nov  4 13:28:36 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 to
195.35.34.15:1245; Connection reset; 1 packets, 46 bytes, avg flow rate
0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
kbits/s
Tue Nov  4 13:33:40 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 to
195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate
0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
kbits/s

Что это может быть?

• Что ЭТО?,Michael, 16:28 , 04-Ноя-03
  • Что ЭТО?,nece, 16:49 , 04-Ноя-03
    • Что ЭТО?,nubius, 17:08 , 04-Ноя-03
      • Что ЭТО?,nece, 17:29 , 04-Ноя-03
        • Что ЭТО?,nubius, 17:37 , 04-Ноя-03
          • Что ЭТО?,nece, 17:49 , 04-Ноя-03
            • Что ЭТО?,co6aka, 17:59 , 04-Ноя-03
              • Что ЭТО?,co6aka, 18:00 , 04-Ноя-03
            • Что ЭТО?,nubius, 18:00 , 04-Ноя-03
              • Что ЭТО?,nece, 18:59 , 04-Ноя-03
                • Что ЭТО?,smail, 22:59 , 04-Ноя-03

>3) DNS на самом шлюзе пока не поднят, а все пользователи локалки
>и сам шлюз
>обращаются на DNS прова.
а говоришь, все порты закрыты...

>Но при запуске tcpdump или iptraff переодически проскальзывает следующее:
>
>Tue Nov  4 13:22:00 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>to
>195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate
>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>
>kbits/s
>Tue Nov  4 13:24:23 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>to
>195.35.34.10:1068; Connection reset; 1 packets, 46 bytes, avg flow rate
>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>
>kbits/s
>Tue Nov  4 13:28:36 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>to
>195.35.34.15:1245; Connection reset; 1 packets, 46 bytes, avg flow rate
>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>
>kbits/s
>Tue Nov  4 13:33:40 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>to
>195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate
>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>
>kbits/s

eth0 смотрит куда?
адреса 195.35.34.ххх - что за адреса? твоих внутренних машин? или подсеть провайдера? или еще что-то?

>>3) DNS на самом шлюзе пока не поднят, а все пользователи локалки
>>и сам шлюз
>>обращаются на DNS прова.
>а говоришь, все порты закрыты...

Разрешен только исходящий от сервака

>>Но при запуске tcpdump или iptraff переодически проскальзывает следующее:
>>
>>Tue Nov  4 13:22:00 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>>to
>>195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate
>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>>
>>kbits/s
>>Tue Nov  4 13:24:23 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>>to
>>195.35.34.10:1068; Connection reset; 1 packets, 46 bytes, avg flow rate
>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>>
>>kbits/s
>>Tue Nov  4 13:28:36 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>>to
>>195.35.34.15:1245; Connection reset; 1 packets, 46 bytes, avg flow rate
>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>>
>>kbits/s
>>Tue Nov  4 13:33:40 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>>to
>>195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate
>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>>
>>kbits/s
>
>eth0 смотрит куда?
>адреса 195.35.34.ххх - что за адреса? твоих внутренних машин? или подсеть провайдера?
>или еще что-то?

eth0 смотрит в интернет, а  195.35.34.ххх подсесть прова!
адреса 195.35.34.10 .... 14 мои
mask 255.255.255.248
DNS 195.35.17.4 195.35.33.7

>>>3) DNS на самом шлюзе пока не поднят, а все пользователи локалки
>>>и сам шлюз
>>>обращаются на DNS прова.
>>а говоришь, все порты закрыты...
>
>Разрешен только исходящий от сервака
>
>>>Но при запуске tcpdump или iptraff переодически проскальзывает следующее:
>>>
>>>Tue Nov  4 13:22:00 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>>>to
>>>195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate
>>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>>>
>>>kbits/s
>>>Tue Nov  4 13:24:23 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>>>to
>>>195.35.34.10:1068; Connection reset; 1 packets, 46 bytes, avg flow rate
>>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>>>
>>>kbits/s
>>>Tue Nov  4 13:28:36 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>>>to
>>>195.35.34.15:1245; Connection reset; 1 packets, 46 bytes, avg flow rate
>>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>>>
>>>kbits/s
>>>Tue Nov  4 13:33:40 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>>>to
>>>195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate
>>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>>>
>>>kbits/s
>>
>>eth0 смотрит куда?
>>адреса 195.35.34.ххх - что за адреса? твоих внутренних машин? или подсеть провайдера?
>>или еще что-то?
>
>eth0 смотрит в интернет, а  195.35.34.ххх подсесть прова!
>адреса 195.35.34.10 .... 14 мои
>mask 255.255.255.248
>DNS 195.35.17.4 195.35.33.7

Если я правильно читал предыдущие сообщения, то это msblast.

>Если я правильно читал предыдущие сообщения, то это msblast.

Тоесть ты хочешь сказать что это вирусняк?
И если это так, то я так понимаю что он может зарожать только Windows системы.
Но у меня это происходит cо шлюза и с ip 127.0.0.1 а не из сети, да и на шлюзе не Windows!  

>>Если я правильно читал предыдущие сообщения, то это msblast.
>
>Тоесть ты хочешь сказать что это вирусняк?
>И если это так, то я так понимаю что он может зарожать
>только Windows системы.
>Но у меня это происходит cо шлюза и с ip 127.0.0.1 а
>не из сети, да и на шлюзе не Windows!

http://www.opennet.me/openforum/vsluhforumID1/36848.html

>http://www.opennet.me/openforum/vsluhforumID1/36848.html

Почитал! Сенькс

Тоесть мне надо отловить в локалке мак того кто шлёт пакеты с 127.0.0.1:80
да?

Вообще-то 192.34.32.10 это dns-сервер мтушный.

перепутал :) 195.34.32.10

>>http://www.opennet.me/openforum/vsluhforumID1/36848.html
>
>Почитал! Сенькс
>
>Тоесть мне надо отловить в локалке мак того кто шлёт пакеты с
>127.0.0.1:80
>да?

Придётся вычислять ;)

>Вообще-то 195.34.32.10 это dns-сервер мтушный.

Знаю, просто когда я писал то использовал часть адреса х.х.х.у так от болды
а вот последнюю часть (y) практически как у меня.
Но суть проблемы это не меняло, т.к на DNS прова эти запроса не ходили а ходили на подсеть прова.
Так что извиняюсь кого ввёл в заблуждение!

И спасибо что помогли разобраться, сейчас буду пробовать искать!

Похоже это не msblast.

Т.к из лога интерфейса eth0 смотрящего в инет есть посылка пакета на один из адресов подсети прова в 09:11:45.
А из подобного лога но с интерфейса eth1 смотрящего в локалку некаких соединений в это и ближайшее время нету!