URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3932
[ Назад ]

Исходное сообщение
"Глюк или троян? Подскажите"

Отправлено lazy , 17-Авг-08 21:31 
Люди добрые, помогите чем можете, сам я тут недавно.
Суть проблемы:
Провайдер ругается что у меня «обнаружена разновидность вируса, атакующего DCOM RPC или другие сервисы, в связи с чем осуществляется flood-атака с вашего IP-адреса».
tcpdump, при включенном natd (стандартные настройки), показывает исходящие коннекты с моей машины в сеть провайдера. Запросы типа:
19:45:49.047407 IP xxxxx.ru.48896 > nnnnnnnnnn.ru.16694: S 735643102:735643102(0) ack 2083256591 win 16384 <mss 1460,nop,nop,sackOK>
19:45:49.047407 IP xxxxx.ru.34025> nnnnnnnnnn.ru.16694: S 735643102:735643102(0) ack 2083256591 win 16384 <mss 1460,nop,nop,sackOK>
19:45:49.047407 IP xxxxx.ru.61451> nnnnnnnnnn.ru.16694: S 735643102:735643102(0) ack 2083256591 win 16384 <mss 1460,nop,nop,sackOK>
И т.д. ……
Где xxx мой хост, а nnnnnnnnnn хост в сети провайдера. И таких запросов сразу по 50 штук. Через каждые пару минут опять повторяется, но уже коннект идёт на другой IP и другой порт.
С нуля поставил чистую систему. Скопировал из старой системы только пару *.conf (проверил их).
Причём это только при запущенном natd. Когда выключаешь его, коннекты пропадают.
Система:
FreeBSD 6.2-release-p3 i386 (обновлена из инета, ядро пересобрано)

Подскажите, в какую сторону капать??


Содержание

Сообщения в этом обсуждении
"Глюк или троян? Подскажите"
Отправлено aaa , 18-Авг-08 08:59 
>[оверквотинг удален]
>Где xxx мой хост, а nnnnnnnnnn хост в сети провайдера. И таких
>запросов сразу по 50 штук. Через каждые пару минут опять повторяется,
>но уже коннект идёт на другой IP и другой порт.
>С нуля поставил чистую систему. Скопировал из старой системы только пару *.conf
>(проверил их).
>Причём это только при запущенном natd. Когда выключаешь его, коннекты пропадают.
>Система:
>FreeBSD 6.2-release-p3 i386 (обновлена из инета, ядро пересобрано)
>
>Подскажите, в какую сторону капать??

может троянчик сидит не на Фре, а Виндовс клиенте


"Глюк или троян? Подскажите"
Отправлено lazy , 18-Авг-08 10:54 
>может троянчик сидит не на Фре, а Виндовс клиенте

В том то и дело что фря стоит одна на канале. :(


"Глюк или троян? Подскажите"
Отправлено angra , 18-Авг-08 15:46 
Тогда зачем вам NAT?

"Глюк или троян? Подскажите"
Отправлено lazy , 18-Авг-08 21:27 
>Тогда зачем вам NAT?

Локалка отключена на время проверки и выявления причины такой сетевой активности. Чтобы исключить вирус на виндовых машинах.


"Глюк или троян? Подскажите"
Отправлено Rexx , 20-Авг-08 17:23 
Ваш юникс стоит один на машине или на виртуальной машинке собран ?

"Глюк или троян? Подскажите"
Отправлено lazy , 21-Авг-08 00:44 
>Ваш юникс стоит один на машине или на виртуальной машинке собран ?
>

Чистая система, установленная на чистый винт, с официального ISO файла с официального FTP сервера. Без виртуалок и т.п.


"Глюк или троян? Подскажите"
Отправлено angra , 22-Авг-08 19:16 
Давайте разберемся. В первом посте вы сказали, что проблема возникает только при запущенном natd. Логично предположить, что источник другие машины в локалке, которые вы натите. Теперь вы утверждаете что проверяли при отключенной(надеюсь это означает вытащенный кабель) локалке и проблема остается. Так что же на самом деле происходит при отключении локалки и играет ли какую-либо роль natd?

"Глюк или троян? Подскажите"
Отправлено lazy , 22-Авг-08 21:40 
>Давайте разберемся. В первом посте вы сказали, что проблема возникает только при
>запущенном natd. Логично предположить, что источник другие машины в локалке, которые
>вы натите. Теперь вы утверждаете что проверяли при отключенной(надеюсь это означает
>вытащенный кабель) локалке и проблема остается. Так что же на самом
>деле происходит при отключении локалки и играет ли какую-либо роль natd?
>

Все вышеперечисленные действия происходили при отключённой локальной сети (путём выдёргивания кабеля). При этом сетевая активность наблюдается только при запушенном natd.


"Глюк или троян? Подскажите"
Отправлено lazy , 22-Авг-08 21:47 
Вообщем всё решилось!
Правда я так и непонял в чём причина.
Лечение: Переделать правила ipfw со стандартных (дефолтных) на свои:
${fwcmd} add 50000 divert natd ip from ${loc} to any out xmit ${via_inet}
${fwcmd} add 51000 divert natd ip from any to ${ip_inet}
И странная активность от моего имени пропала напроч.
Вот тока чего непонимаю, дак это как так может быть???? (Причем от моего IP и атаки и сканирования были и провайдер на меня за это ругался. и тока при запушенном natd)
По дефолту было:
${fwcmd} add 50 divert natd all from any to any via ${via_inet}
Кто знает, подскажите. Чтоб на грабли снова не наступить.