URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 38106
[ Назад ]

Исходное сообщение
"Море бессмысленных пакетов на порт loc-srv (135)"

Отправлено SworDi , 04-Дек-03 19:38 
У меня FreeBSD 4.8 с подключением к интернету по adsl. tun0 - виртуальный интерфейс подключения ppp.. И через него постоянно моя система пытается отправить что-то на порт loc-srv на разные ip адреса!
# tcpdump -i tun0
tcpdump: listening on tun0
19:41:31.271899 192.168.0.154.2278 > 145.191.248.153.loc-srv: S 1043369231:1043369231(0) win 64240 <mss 1460,nop,wscale 0,nop,nop,sackOK> (DF)
19:41:31.271970 192.168.0.154.2279 > 145.191.248.154.loc-srv: S 1043433682:1043433682(0) win 64240 <mss 1460,nop,wscale 0,nop,nop,sackOK> (DF)
19:41:31.272064 192.168.0.154.2280 > 145.191.248.155.loc-srv: S 1043492686:1043492686(0) win 64240 <mss 1460,nop,wscale 0,nop,nop,sackOK> (DF)
19:41:31.272137 192.168.0.154.2281 > 145.191.248.156.loc-srv: S 1043549784:1043549784(0) win 64240 <mss 1460,nop,wscale 0,nop,nop,sackOK> (DF)
19:41:31.272210 192.168.0.154.2282 > 145.191.248.157.loc-srv: S 1043596957:1043596957(0) win 64240 <mss 1460,nop,wscale 0,nop,nop,sackOK> (DF)
19:41:31.272287 192.168.0.154.2283 > 145.191.248.158.loc-srv: S 1043629882:1043629882(0) win 64240 <mss 1460,nop,wscale 0,nop,nop,sackOK> (DF)
19:41:31.272360 192.168.0.154.2284 > 145.191.248.159.loc-srv: S 1043685710:1043685710(0) win 64240 <mss 1460,nop,wscale 0,nop,nop,sackOK> (DF)
и так тысячи пакетов... Что это ???

Содержание

Сообщения в этом обсуждении
"Море бессмысленных пакетов на порт loc-srv (135)"
Отправлено B.O.B.A.H. , 04-Дек-03 21:35 
sockstat'ом посмотри.... ?

>У меня FreeBSD 4.8 с подключением к интернету по adsl. tun0 -
>виртуальный интерфейс подключения ppp.. И через него постоянно моя система пытается
>отправить что-то на порт loc-srv на разные ip адреса!
># tcpdump -i tun0
>tcpdump: listening on tun0
>19:41:31.271899 192.168.0.154.2278 > 145.191.248.153.loc-srv: S 1043369231:1043369231(0) win 64240 <mss 1460,nop,wscale 0,nop,nop,sackOK> (DF)
>19:41:31.271970 192.168.0.154.2279 > 145.191.248.154.loc-srv: S 1043433682:1043433682(0) win 64240 <mss 1460,nop,wscale 0,nop,nop,sackOK> (DF)
>19:41:31.272064 192.168.0.154.2280 > 145.191.248.155.loc-srv: S 1043492686:1043492686(0) win 64240 <mss 1460,nop,wscale 0,nop,nop,sackOK> (DF)
>19:41:31.272137 192.168.0.154.2281 > 145.191.248.156.loc-srv: S 1043549784:1043549784(0) win 64240 <mss 1460,nop,wscale 0,nop,nop,sackOK> (DF)
>19:41:31.272210 192.168.0.154.2282 > 145.191.248.157.loc-srv: S 1043596957:1043596957(0) win 64240 <mss 1460,nop,wscale 0,nop,nop,sackOK> (DF)
>19:41:31.272287 192.168.0.154.2283 > 145.191.248.158.loc-srv: S 1043629882:1043629882(0) win 64240 <mss 1460,nop,wscale 0,nop,nop,sackOK> (DF)
>19:41:31.272360 192.168.0.154.2284 > 145.191.248.159.loc-srv: S 1043685710:1043685710(0) win 64240 <mss 1460,nop,wscale 0,nop,nop,sackOK> (DF)
>и так тысячи пакетов... Что это ???



"Море бессмысленных пакетов на порт loc-srv (135)"
Отправлено Antonio , 05-Дек-03 13:00 
Что-то мне припоминается, что так работает один из виндовых вирусцов... Название вот не помню. У вас случаем нет второй сетевой карты, а на ней локалки с виндами?

"Море бессмысленных пакетов на порт loc-srv (135)"
Отправлено shsa , 05-Дек-03 14:09 
>Что-то мне припоминается, что так работает один из виндовых вирусцов...
>Название вот не помню.
blaster (aka lovesun) однозначно... (кажется 20 IP в секунду проходит)
делай в firewall правило чтоб логировались пакеты на 135 порт и смотри логи откуда они приходят



"Море бессмысленных пакетов на порт loc-srv (135)"
Отправлено Vakero , 05-Дек-03 14:33 
>>Что-то мне припоминается, что так работает один из виндовых вирусцов...
>>Название вот не помню.
>blaster (aka lovesun) однозначно... (кажется 20 IP в секунду проходит)
>делай в firewall правило чтоб логировались пакеты на 135 порт и смотри
>логи откуда они приходят


еще Welchia или Sobig.F кажись


"Море бессмысленных пакетов на порт loc-srv (135)"
Отправлено nubius , 05-Дек-03 14:51 
Правильно, это вирус, такого добра навалом в сетях сейчас. Либо заставлять пользователей пользоваться антивирусами, либо закрывай на файерволе 135 порт, но это не решение, т.к. несколько машин с вирусняком очень хорошо забивают канал...