Люди добрые, помогите чем можете, сам я тут недавно.
Суть проблемы:
Провайдер ругается что у меня «обнаружена разновидность вируса, атакующего DCOM RPC или другие сервисы, в связи с чем осуществляется flood-атака с вашего IP-адреса».
tcpdump, при включенном natd (стандартные настройки), показывает исходящие коннекты с моей машины в сеть провайдера. Запросы типа:
19:45:49.047407 IP xxxxx.ru.48896 > nnnnnnnnnn.ru.16694: S 735643102:735643102(0) ack 2083256591 win 16384 <mss 1460,nop,nop,sackOK>
19:45:49.047407 IP xxxxx.ru.34025> nnnnnnnnnn.ru.16694: S 735643102:735643102(0) ack 2083256591 win 16384 <mss 1460,nop,nop,sackOK>
19:45:49.047407 IP xxxxx.ru.61451> nnnnnnnnnn.ru.16694: S 735643102:735643102(0) ack 2083256591 win 16384 <mss 1460,nop,nop,sackOK>
И т.д. ……
Где xxx мой хост, а nnnnnnnnnn хост в сети провайдера. И таких запросов сразу по 50 штук. Через каждые пару минут опять повторяется, но уже коннект идёт на другой IP и другой порт.
С нуля поставил чистую систему. Скопировал из старой системы только пару *.conf (проверил их).
Причём это только при запущенном natd. Когда выключаешь его, коннекты пропадают.
Система:
FreeBSD 6.2-release-p3 i386 (обновлена из инета, ядро пересобрано)Подскажите, в какую сторону капать??
>[оверквотинг удален]
>Где xxx мой хост, а nnnnnnnnnn хост в сети провайдера. И таких
>запросов сразу по 50 штук. Через каждые пару минут опять повторяется,
>но уже коннект идёт на другой IP и другой порт.
>С нуля поставил чистую систему. Скопировал из старой системы только пару *.conf
>(проверил их).
>Причём это только при запущенном natd. Когда выключаешь его, коннекты пропадают.
>Система:
>FreeBSD 6.2-release-p3 i386 (обновлена из инета, ядро пересобрано)
>
>Подскажите, в какую сторону капать??может троянчик сидит не на Фре, а Виндовс клиенте
>может троянчик сидит не на Фре, а Виндовс клиентеВ том то и дело что фря стоит одна на канале. :(
Тогда зачем вам NAT?
>Тогда зачем вам NAT?Локалка отключена на время проверки и выявления причины такой сетевой активности. Чтобы исключить вирус на виндовых машинах.
Ваш юникс стоит один на машине или на виртуальной машинке собран ?
>Ваш юникс стоит один на машине или на виртуальной машинке собран ?
>Чистая система, установленная на чистый винт, с официального ISO файла с официального FTP сервера. Без виртуалок и т.п.
Давайте разберемся. В первом посте вы сказали, что проблема возникает только при запущенном natd. Логично предположить, что источник другие машины в локалке, которые вы натите. Теперь вы утверждаете что проверяли при отключенной(надеюсь это означает вытащенный кабель) локалке и проблема остается. Так что же на самом деле происходит при отключении локалки и играет ли какую-либо роль natd?
>Давайте разберемся. В первом посте вы сказали, что проблема возникает только при
>запущенном natd. Логично предположить, что источник другие машины в локалке, которые
>вы натите. Теперь вы утверждаете что проверяли при отключенной(надеюсь это означает
>вытащенный кабель) локалке и проблема остается. Так что же на самом
>деле происходит при отключении локалки и играет ли какую-либо роль natd?
>Все вышеперечисленные действия происходили при отключённой локальной сети (путём выдёргивания кабеля). При этом сетевая активность наблюдается только при запушенном natd.
Вообщем всё решилось!
Правда я так и непонял в чём причина.
Лечение: Переделать правила ipfw со стандартных (дефолтных) на свои:
${fwcmd} add 50000 divert natd ip from ${loc} to any out xmit ${via_inet}
${fwcmd} add 51000 divert natd ip from any to ${ip_inet}
И странная активность от моего имени пропала напроч.
Вот тока чего непонимаю, дак это как так может быть???? (Причем от моего IP и атаки и сканирования были и провайдер на меня за это ругался. и тока при запушенном natd)
По дефолту было:
${fwcmd} add 50 divert natd all from any to any via ${via_inet}
Кто знает, подскажите. Чтоб на грабли снова не наступить.