URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2023
[ Назад ]

Исходное сообщение
"smtp? атака?"
Отправлено tsyuha , 08-Апр-05 12:41

Сервер ASPLinux 9.2, postfix 2.4
Довольно часто интернет начинает жутко тормозить.
При выполнении команды
netstat -n
выводится следующее
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 33090 мой-ip:непривил.порт чужой-ip:25 ESTABLISHED
В поле Send-Q стоит не число порядка 30000.
После закрытия чужого ай-пи файрволлом через секунд 10 в netstat эта строка пропадает и интернет перестает тормозить.
Что с этим делать и вообще атака ли это?
Пожалуйста помогите, а то я уже пол-инета в файрволле закрыл (шутка)!

Содержание

smtp? атака?,favourite, 12:54 , 08-Апр-05
- smtp? атака?,scum, 12:59 , 08-Апр-05
  - smtp? атака?,favourite, 14:06 , 08-Апр-05

Сообщения в этом обсуждении

"smtp? атака?"
Отправлено favourite , 08-Апр-05 12:54

>Сервер ASPLinux 9.2, postfix 2.4
>Довольно часто интернет начинает жутко тормозить.
>При выполнении команды
>netstat -n
>выводится следующее
>Proto Recv-Q Send-Q Local Address
>   Foreign Address
>  State
>tcp    0      33090
>мой-ip:непривил.порт   чужой-ip:25       ESTABLISHED
сделай lsof -i |grep чужой-ip
и посмотри что за прога.
скорее всего это твой постфикс - смотри его логи
>
>В поле Send-Q стоит не число порядка 30000.
>После закрытия чужого ай-пи файрволлом через секунд 10 в netstat эта строка
>пропадает и интернет перестает тормозить.
>Что с этим делать и вообще атака ли это?
>Пожалуйста помогите, а то я уже пол-инета в файрволле закрыл (шутка)!

"smtp? атака?"
Отправлено scum , 08-Апр-05 12:59

По этим данным трудно что либо сказать. Надо поюзать lsof+tcpdump.

"smtp? атака?"
Отправлено favourite , 08-Апр-05 14:06

>По этим данным трудно что либо сказать. Надо поюзать lsof+tcpdump.
Ну дык кто тебе мешает поюзать?
Любопытства ради - чужой-IP у тебя разный всегда или одинаковый, и что кажет
lsof -i|grep чужой-IP?