Старый PIII-500 под ASPLinux 11 (Seliger) в качестве роутера. Работает почти без перерыва уже лет 5. Последние два месяца по нескольку раз в день пользователи жаловались на медленный интернет. Когда наконец оторвал задницу от кресла, ужаснулся. Команда cat /proc/net/ip_conntrack | wc l временами выдавала до 40000 соединений. В среднем было 20000...30000 соединений. По trafshow увидел, откуда прут запросы. Оказалось это китайцы: 203.80.Х.Х. И запросы шли как на мой IP, так и на IP машин подсети моего провайдера. Пообщался с провайдером на тему - почему чужие пакеты летят на мою машину? Ничего внятного он не сказал, кроме как "это вы должны отсеивать". Тогда первым делом отбросил все пакеты, которые не для меня: iptables -A INPUT -s 0/0 -i $EXTIF -d ! $EXTIF -j DROP
Дня три было спокойно, потом снова шторм с 203.81.X.X. Тогда стал дропить эти пакеты, и по всем цепочкам:
iptables -A INPUT -s 203.81.0.0/16 -j DROP
iptables -A OUTPUT -s 203.81.0.0/16 -j DROP
iptables -A FORWARD -s 203.81.0.0/16 -j DROP
Снова затишье дня три, но на всякий пожарный постоянно держу трафик на контроле. И вот, теперь уже мой роутер шлет пакеты на 203.81.Х.Х. Было от чего прийти в ужас. С ходу определить зверя не смог, тогда просто стал дропить и эти исходящие пакеты:
iptables -A INPUT -d 203.81.0.0/16 -j DROP
iptables -A OUTPUT -d 203.81.0.0/16 -j DROP
iptables -A FORWARD -d 203.81.0.0/16 -j DROP
Казалось, можно успокоиться, но вскоре подобное началось с 218.100.0.0 Малайзия
Стал и эту подсеть дропать,  но вскоре подобное началось с 218.188.0.0, 218.189.0.0 Гонконг
Стал и эту подсеть дропать,  но вскоре подобное началось с 63.218.0.0 Эльдорадо
Потом 118.143.0.0/16, 208.92.223.0/24.
Сегодня утром 72.10.160.0/24 GloboTech
В общем, нет сомнений, что в моей системе живет зверек. Как его найти и обезвредить?

• Не могу найти руткит в своей системе,Аноним, 09:59 , 13-Дек-10
• Не могу найти руткит в своей системе,jaybee, 12:18 , 13-Дек-10
  • Не могу найти руткит в своей системе,vadim007, 12:25 , 13-Дек-10
    • Не могу найти руткит в своей системе,jaybee, 13:41 , 13-Дек-10
      • Не могу найти руткит в своей системе,vadim007, 15:48 , 13-Дек-10
• Не могу найти руткит в своей системе,ДумДум, 08:58 , 15-Дек-10
  • Не могу найти руткит в своей системе,vadim007, 13:37 , 15-Дек-10

>[оверквотинг удален]
> iptables -A FORWARD -d 203.81.0.0/16 -j DROP
> Казалось, можно успокоиться, но вскоре подобное началось с 218.100.0.0 Малайзия
> Стал и эту подсеть дропать,  но вскоре подобное началось с 218.188.0.0,
> 218.189.0.0 Гонконг
> Стал и эту подсеть дропать,  но вскоре подобное началось с 63.218.0.0
> Эльдорадо
> Потом 118.143.0.0/16, 208.92.223.0/24.
> Сегодня утром 72.10.160.0/24 GloboTech
> В общем, нет сомнений, что в моей системе живет зверек. Как его
> найти и обезвредить?

Имхо, лучше всего просто с нуля переставить систему

может это просто вирусы у пользователей ?!

> может это просто вирусы у пользователей ?!

Исключено: прихожу рано утром, когда еще никто не работает, потом во время одной из атак, днем, отключал у всех интернет (с помощью iptables) - атаки продолжались.

для уверенности рекомендую таки снять дамп с внутреннего интерфейса во время атаки

> для уверенности рекомендую таки снять дамп с внутреннего интерфейса во время атаки

Дампы сняты и сохранены. Фрагменты выложить?

А что-то вроде sockstat  в ASP есть?

> А что-то вроде sockstat  в ASP есть?

Нету. Но есть чем "заменить": http://www.opennet.me/openforum/vsluhforumID1/67855.html
В ближайшую атаку попробую.