URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3321
[ Назад ]

Исходное сообщение
"Вирусы по 53 порту"
Отправлено KSE , 31-Май-07 17:17

Доброго времени суток!
Я программист,выполняю сейчас из-за жадности руководства функции админа,
появилась серьезная проблема, не могу разобраться...
Есть шлюз на ASP Linux 9 с двумя картами - eth0 смотрит на провайдера, eth1 в локалку с 192.168.1.х. Из локалки в инет пользователи ходят через SQUID 2.5-STABLE4, на порту 8080. Поверх сквида еще стоит SAMS для управления трафиком пользователей. Есть второй сервак тоже с 9м АСП Линуксом - sendmail, pph, apache, samba .
С недавнего времени люди на виндовых машинах стали ловить вирус, опознаваемый программой Antivir как HTML\Feebs.Gen.
А буквально полтора часа назад отзвонились от провайдера и сказали, что от нас по 53 порту идут вирусы и они нас временно закрывают.
С чего начать процесс лечения-устранения проблемы? До этого с вирусам и сталкивался только на винде :(

Содержание

Вирусы по 53 порту,newser, 17:34 , 31-Май-07
- Вирусы по 53 порту,KSE, 18:04 , 31-Май-07
  - Вирусы по 53 порту,newser, 18:45 , 31-Май-07
    - Вирусы по 53 порту,KSE, 05:30 , 01-Июн-07
      - Вирусы по 53 порту,newser, 09:45 , 01-Июн-07
        
        Вирусы по 53 порту,KSE, 12:59 , 01-Июн-07

Сообщения в этом обсуждении

"Вирусы по 53 порту"
Отправлено newser , 31-Май-07 17:34

>Доброго времени суток!
>Я программист,выполняю сейчас из-за жадности руководства функции админа,
Не занимайтесь не своим делом. Жадность руководства не должна Вас волновать, а вот когда Вы наломаете дров с Вашим уровнем знаний, то спросят именно с Вас.
>появилась серьезная проблема, не могу разобраться...
>Есть шлюз на ASP Linux 9 с двумя картами - eth0 смотрит
>на провайдера, eth1 в локалку с 192.168.1.х. Из локалки в инет
>пользователи ходят через SQUID 2.5-STABLE4, на порту 8080. Поверх сквида еще
>стоит SAMS для управления трафиком пользователей. Есть второй сервак тоже с
>9м АСП Линуксом - sendmail, pph, apache, samba .
>
>С недавнего времени люди на виндовых машинах стали ловить вирус, опознаваемый программой
>Antivir как HTML\Feebs.Gen.
>А буквально полтора часа назад отзвонились от провайдера и сказали, что от
>нас по 53 порту идут вирусы и они нас временно закрывают.
>
>
>С чего начать процесс лечения-устранения проблемы? До этого с вирусам и сталкивался
>только на винде :(
53 порт - это DNS. Какое отношение имеют к нему вирусы - мне неведомо. Если имеется в виду большая генерация трафика к DNS-серверам Вашего провайдера, то, чтобы его успокоить, поставьте на шлюзе кэширующий DNS-сервер и пропишите его клиентам.
А вообще, для начала вылечите клиентские машины от вирусов.

"Вирусы по 53 порту"
Отправлено KSE , 31-Май-07 18:04

>Не занимайтесь не своим делом. Жадность руководства не должна Вас волновать, а
>вот когда Вы наломаете дров с Вашим уровнем знаний, то спросят
>именно с Вас.
Полтора года пытаюсь это доказать. Но пока справлялся, и даже неплохо (не знаю, к счастью или нет), видимо, потому и не искали админа.
>53 порт - это DNS. Какое отношение имеют к нему вирусы -
>мне неведомо. Если имеется в виду большая генерация трафика к DNS-серверам
>Вашего провайдера, то, чтобы его успокоить, поставьте на шлюзе кэширующий DNS-сервер
>и пропишите его клиентам.
Сейчас стоит на сервере стоит BIND version 9.2.1. В настройки я не углублялся. Если нужно обратить на что-то внимание, буду благодарен за совет.
>А вообще, для начала вылечите клиентские машины от вирусов.
Это уже сделано. Но отзвонились-то мне как раз после этого.
Надо ли что-то делать с линусовыми машинами? Если надо их лечить, то как? (понимаю, что вопрос тупой)
Еще пугают странные вещи в логах:
/var/log/messages
May 31 17:11:01 proxy sshd(pam_unix)[4401]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=node-217-23-141-180.caravan.ru  user=ftp
May 31 17:11:29 proxy sshd(pam_unix)[4502]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=node-217-23-141-180.caravan.ru  user=apache
May 31 17:11:37 proxy sshd(pam_unix)[4527]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=node-217-23-141-180.caravan.ru  user=root
May 31 17:11:40 proxy sshd(pam_unix)[4529]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=node-217-23-141-180.caravan.ru  user=root
May 31 17:11:43 proxy sshd(pam_unix)[4531]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=node-217-23-141-180.caravan.ru  user=root
May 31 17:11:46 proxy sshd(pam_unix)[4533]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=node-217-23-141-180.caravan.ru  user=root
May 31 17:11:49 proxy sshd(pam_unix)[4536]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=node-217-23-141-180.caravan.ru  user=root
/var/log/secure
May 31 17:12:09 proxy sshd[4590]: Illegal user ron from 217.23.141.180
May 31 17:12:10 proxy sshd[4592]: Illegal user ron from 217.23.141.180
May 31 17:12:11 proxy sshd[4594]: Illegal user matt from 217.23.141.180
May 31 17:12:11 proxy sshd[4596]: Illegal user matt from 217.23.141.180
May 31 17:12:12 proxy sshd[4598]: Illegal user sophie from 217.23.141.180
May 31 17:12:14 proxy sshd[4600]: Failed password for smmsp from 217.23.141.180 port 52821 ssh2
May 31 17:12:17 proxy sshd[4602]: Failed password for smmsp from 217.23.141.180 port 53815 ssh2
May 31 17:12:20 proxy sshd[4604]: Failed password for smmsp from 217.23.141.180 port 54807 ssh2

"Вирусы по 53 порту"
Отправлено newser , 31-Май-07 18:45

>>Не занимайтесь не своим делом. Жадность руководства не должна Вас волновать, а
>>вот когда Вы наломаете дров с Вашим уровнем знаний, то спросят
>>именно с Вас.
>
>Полтора года пытаюсь это доказать. Но пока справлялся, и даже неплохо (не
>знаю, к счастью или нет), видимо, потому и не искали админа.
>
Ну тогда Вы сами себе злобный буратино. :) (Без обид)
>
>>53 порт - это DNS. Какое отношение имеют к нему вирусы -
>>мне неведомо. Если имеется в виду большая генерация трафика к DNS-серверам
>>Вашего провайдера, то, чтобы его успокоить, поставьте на шлюзе кэширующий DNS-сервер
>>и пропишите его клиентам.
>
>Сейчас стоит на сервере стоит BIND version 9.2.1. В настройки я не
>углублялся. Если нужно обратить на что-то внимание, буду благодарен за совет.
>
Пропишите на клиентской машине в качестве DNS-сервера Ваш шлюз. Для уменьшения DNS-трафика до вашего провайдера отключите в настройках bind форвардеров (forwarders). Проверьте, разрешаются ли имена. Если все успешно, то прописывайте Ваш шлюз на всех машинах. Можно включить в настройках bind подробные логи и смотреть с каких клиентов идет больше всего запросов и куда. Ну и т.д.
Если не работали раньше с bind, почитайте документацию.
>
>>А вообще, для начала вылечите клиентские машины от вирусов.
>
>Это уже сделано. Но отзвонились-то мне как раз после этого.
>
>Надо ли что-то делать с линусовыми машинами? Если надо их лечить, то
>как? (понимаю, что вопрос тупой)
Как правило - нет. Разве что проверить на rootkit'ы. :)
>
>Еще пугают странные вещи в логах:
>
>/var/log/messages
>May 31 17:11:49 proxy sshd(pam_unix)[4536]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser=
>rhost=node-217-23-141-180.caravan.ru user=root
>
>/var/log/secure
>May 31 17:12:09 proxy sshd[4590]: Illegal user ron from 217.23.141.180
>May 31 17:12:14 proxy sshd[4600]: Failed password for smmsp from 217.23.141.180 port
>52821 ssh2
Осуществляется подбор пользователей/паролей для доступа по ssh. В принципе, ситуация нормальная. :) Почти у всех так. Поищите статьи на тему защиты ssh хотя бы здесь на опеннете.
Удачи!

"Вирусы по 53 порту"
Отправлено KSE , 01-Июн-07 05:30

>Ну тогда Вы сами себе злобный буратино. :) (Без обид)
:) Какие могут быть обиды, ведь все правильно, кроме того, Вы еще мне и помогаете
>Пропишите на клиентской машине в качестве DNS-сервера Ваш шлюз. Для уменьшения DNS-трафика
>до вашего провайдера отключите в настройках bind форвардеров (forwarders). Проверьте, разрешаются
>ли имена. Если все успешно, то прописывайте Ваш шлюз на всех
>машинах. Можно включить в настройках bind подробные логи и смотреть с
>каких клиентов идет больше всего запросов и куда. Ну и т.д.
Попробую, спасибо. Сегодня еще свяжусь с провайдером, уточню, что за вирус вообще был.
>>Надо ли что-то делать с линусовыми машинами? Если надо их лечить, то
>>как? (понимаю, что вопрос тупой)
>
>Как правило - нет. Разве что проверить на rootkit'ы. :)
Как это можно сделать?

"Вирусы по 53 порту"
Отправлено newser , 01-Июн-07 09:45

>>>Надо ли что-то делать с линусовыми машинами? Если надо их лечить, то
>>>как? (понимаю, что вопрос тупой)
>>
>>Как правило - нет. Разве что проверить на rootkit'ы. :)
>
>Как это можно сделать?
Установить и запустить. :)
Поищите в гугле, всю необходимую информацию можно почерпнуть там.

"Вирусы по 53 порту"
Отправлено KSE , 01-Июн-07 12:59

>>Как это можно сделать?
>
>Установить и запустить. :)
>
>Поищите в гугле, всю необходимую информацию можно почерпнуть там.

Спасибо за советы. Но ситуация сегодня разрешилась до глупости просто.
Чуть ли не с ночевой проверял 40 машин на вирусы, кое-что действительно нашел. Потом перезвонил провайдеру, оказалось, они ошиблись одной цифрой в ip адресе... офигеть, дорогая редакция.
Зато на вирусы все проверил :)