URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 41486
[ Назад ]

Исходное сообщение
"Черви достали."

Отправлено moisey , 10-Мрт-04 18:39 
Подскажите как защититься. Каждый день а то и два раза в день приходится ребутить роутер, df говорит что /var забит на 100% хотя по файлам этого не видно, в логах заметны множественные rejecting connection on daemon MTA.
На mail сервере нашел остатки Sobig, на следующий день Netsky.

Как защититься от этой напасти?


Содержание

Сообщения в этом обсуждении
"Черви достали."
Отправлено Nickolay , 10-Мрт-04 18:54 
если говорит что забит var то так оно и есть.
что df -m говорит?

"Черви достали."
Отправлено moisey , 10-Мрт-04 19:17 
>если говорит что забит var то так оно и есть.
>что df -m говорит?


Так после перезагрузки он забит на 2%. Просто reboot без лишних движений


"Черви достали."
Отправлено Nickolay , 10-Мрт-04 19:58 
> Так после перезагрузки он забит на 2%. Просто reboot без лишних
>движений
reboot и есть лишнее.
лучше было разобраться почему оно так было.

"Черви достали."
Отправлено uldus , 10-Мрт-04 20:23 
>>если говорит что забит var то так оно и есть.
>>что df -m говорит?

Через du -s анализировал размер директорий в /var ? Утекает постепенно или сразу ?

Посмотри fstat'ом или fuser'ом открытые файлы, может есть открытый большой файл для которого уже сделан ulink. Почтовый антивирус на той машине не запущен, если запущен - проверь чтобы была отключена проверка внутри архивов, иначе забить раздел можно тривиальной почтовой бомбой, антивирусы ведь каждый архив по тупому где-нибудь в /var/tmp разархивируют.


"Черви достали."
Отправлено moisey , 10-Мрт-04 20:46 
>>>если говорит что забит var то так оно и есть.
>>>что df -m говорит?
>
>Через du -s анализировал размер директорий в /var ? Утекает постепенно или
>сразу ?
>
>Посмотри fstat'ом или fuser'ом открытые файлы, может есть открытый большой файл для
>которого уже сделан ulink. Почтовый антивирус на той машине не запущен,
>если запущен - проверь чтобы была отключена проверка внутри архивов, иначе
>забить раздел можно тривиальной почтовой бомбой, антивирусы ведь каждый архив по
>тупому где-нибудь в /var/tmp разархивируют.


Всем огромное спасибо за помощь.
Разобрался. Нашел в чем затык был.
Тут скриптом с некоторого сайта выковыривал некую необходимую информацию.
Ну, видимо pcre немного неоптимизировано:)

Но ведь остатки Sobig, А потом еще и Netsky я все же нашел на почтовом серваке.