URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 985
[ Назад ]

Исходное сообщение
"флуд с localhost:80"
Отправлено gara , 03-Ноя-03 18:00

люди как прибить флуд который идет от чела?
шлет пакеты с обратным адресом localhost:80
никакие правила ipfw deny непомогают...
хелп что делать?

Содержание

флуд с localhost:80,lubeg, 06:49 , 04-Ноя-03
- флуд с localhost:80,gara, 11:23 , 04-Ноя-03
  - флуд с localhost:80,lubeg, 13:08 , 04-Ноя-03
    - флуд с localhost:80,gara, 14:19 , 04-Ноя-03
      - флуд с localhost:80,A6PAMOB, 14:26 , 04-Ноя-03
      - флуд с localhost:80,bass, 10:13 , 05-Ноя-03
        
        флуд с localhost:80,gara, 20:54 , 05-Ноя-03
        
        флуд с localhost:80,dennis kreminsky, 16:49 , 03-Дек-03
        
        флуд с localhost:80,gara, 00:52 , 06-Дек-03
        
        флуд с localhost:80,magr, 17:49 , 05-Дек-03
        
        флуд с localhost:80,gara, 00:49 , 06-Дек-03
        
        флуд с localhost:80,Аноним, 13:00 , 28-Дек-03
  - флуд с localhost:80,temny, 21:19 , 06-Дек-03
  - флуд с localhost:80,artist, 00:18 , 08-Дек-03
    - флуд с localhost:80,gara, 00:24 , 08-Дек-03
флуд с localhost:80,Юрий, 02:21 , 28-Дек-03
- флуд с localhost:80,artist, 15:20 , 28-Дек-03
  - флуд с localhost:80,gabber88, 16:25 , 29-Дек-03
    - флуд с localhost:80,Dima, 20:00 , 30-Дек-03
- флуд с localhost:80,boss1575, 23:59 , 30-Дек-03

Сообщения в этом обсуждении

"флуд с localhost:80"
Отправлено lubeg , 04-Ноя-03 06:49

>люди как прибить флуд который идет от чела?
>шлет пакеты с обратным адресом localhost:80
>никакие правила ipfw deny непомогают...
>хелп что делать?
если он в твоей локалке, то запретить по маку можно, только работать до тех пор пока мак не поменяет :)
а в принципе, даже в правилах по умолчанию всегда добавляется в начало запрет loopback'a:
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any

"флуд с localhost:80"
Отправлено gara , 04-Ноя-03 11:23

>>никакие правила ipfw deny непомогают...
>${fwcmd} add 100 pass all from any to any via lo0
>${fwcmd} add 200 deny all from any to 127.0.0.0/8
>${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
так непомогает яж говорю...
я с ipfw корячился по разному
всеравно вот такое Г идет.
11:21:25.290135 localhost.http > 192.168.58.233.1070: R 0:0(0) ack 1220935681 win 0
11:21:25.309518 localhost.http > 192.168.124.105.1673: R 0:0(0) ack 1855586305 win 0
11:21:25.329505 localhost.http > 192.168.189.105.robcad-lm: R 0:0(0) ack 342687745 win 0
11:21:25.349662 localhost.http > 192.168.254.232.1344: R 0:0(0) ack 977338369 win 0
11:21:25.369456 localhost.http > 192.168.65.104.1180: R 0:0(0) ack 1611923457 win 0
11:21:25.389510 localhost.http > 192.168.130.104.1015: R 0:0(0) ack 99090433 win 0
11:21:25.409678 localhost.http > 192.168.195.231.1851: R 0:0(0) ack 733675521 win 0
11:21:25.429723 localhost.http > 192.168.6.231.1686: R 0:0(0) ack 1368326145 win 0
11:21:25.449598 localhost.http > 192.168.71.104.ncube-lm: R 0:0(0) ack 2002911233 win 0
11:21:25.469620 localhost.http > 192.168.136.104.pegboard: R 0:0(0) ack 490078209 win 0
11:21:25.490370 localhost.http > 192.168.201.231.1192: R 0:0(0) ack 1124663297 win 0
11:21:25.509850 localhost.http > 192.168.12.103.1028: R 0:0(0) ack 1759313921 win 0
11:21:25.529734 localhost.http > 192.168.77.103.1631: R 0:0(0) ack 246415361 win 0
11:21:25.550092 localhost.http > 192.168.142.230.csdmbase: R 0:0(0) ack 881065985 win 0
11:21:25.569899 localhost.http > 192.168.208.230.1302: R 0:0(0) ack 1515651073 win 0
11:21:25.589850 localhost.http > 192.168.18.102.1137: R 0:0(0) ack 2752513 win 0
11:21:25.609996 localhost.http > 192.168.83.103.1973: R 0:0(0) ack 637403137 win 0
11:21:25.629895 localhost.http > 192.168.149.230.1808: R 0:0(0) ack 1271988225 win 0
11:21:25.649937 localhost.http > 192.168.214.230.1644: R 0:0(0) ack 1906638849 win 0
11:21:25.669957 localhost.http > 192.168.24.102.dberegister: R 0:0(0) ack 393740289 win

А ipfw хотьбы что
00005         0            0 allow ip from any to any via lo0
00006         0            0 deny ip from any to 127.0.0.0/8
00007         0            0 deny ip from 127.0.0.0/8 to any
1 и второе правило  count_ы потом до 4 пусто.

"флуд с localhost:80"
Отправлено lubeg , 04-Ноя-03 13:08

>11:21:25.290135 localhost.http > 192.168.58.233.1070: R 0:0(0) ack 1220935681 win 0
nslookup localhost?
netstat -rn?
tcpdump -n?

"флуд с localhost:80"
Отправлено gara , 04-Ноя-03 14:19

>
>>11:21:25.290135 localhost.http > 192.168.58.233.1070: R 0:0(0) ack 1220935681 win 0
>
>nslookup localhost?
>netstat -rn?
>tcpdump -n?

localhost = 127.0.0.1
тут какаято другая хитрость...

"флуд с localhost:80"
Отправлено A6PAMOB , 04-Ноя-03 14:26

Может не по теме разговора, но
ping www.instituto.com.br

"флуд с localhost:80"
Отправлено bass , 05-Ноя-03 10:13

>>
>>>11:21:25.290135 localhost.http > 192.168.58.233.1070: R 0:0(0) ack 1220935681 win 0
>>
>>nslookup localhost?
>>netstat -rn?
>>tcpdump -n?
>
>
>localhost = 127.0.0.1
>тут какаято другая хитрость...
ip.src == 127.0.0.1 port 80 proto tcp==RST,ASK
а поглядите-ка tcpdump -e
вам MAC-адрес ничего не говорит? это важно, если вы знаете чей он..

"флуд с localhost:80"
Отправлено gara , 05-Ноя-03 20:54

>ip.src == 127.0.0.1 port 80 proto tcp==RST,ASK
>а поглядите-ка tcpdump -e
>вам MAC-адрес ничего не говорит? это важно, если вы знаете чей он..
По маку поймали чела. у него был вирус. я просто отом чтоб в будущем избежать подобного - хотел чемто прикрыться, например файрволом.
Но файрволом неполучается...:(

"флуд с localhost:80"
Отправлено dennis kreminsky , 03-Дек-03 16:49

>>ip.src == 127.0.0.1 port 80 proto tcp==RST,ASK
>>а поглядите-ка tcpdump -e
>>вам MAC-адрес ничего не говорит? это важно, если вы знаете чей он..
>По маку поймали чела. у него был вирус. я просто отом чтоб
>в будущем избежать подобного - хотел чемто прикрыться, например файрволом.
>Но файрволом неполучается...:(
В локальной сети файрвол, разумеется, не сможет уничтожать фреймы, для который не является мостом или маршрутизатором.
А в сети можно просить оператора аплинка дискардить пакеты, не содержащие в себе ваших адресов. В принципе, практика обычная, хотя при злоупотреблении делает невозможным использование в вашем сегменте асимметричной маршрутизации.

"флуд с localhost:80"
Отправлено gara , 06-Дек-03 00:52

>>>ip.src == 127.0.0.1 port 80 proto tcp==RST,ASK
>>>а поглядите-ка tcpdump -e
>>>вам MAC-адрес ничего не говорит? это важно, если вы знаете чей он..
>>По маку поймали чела. у него был вирус. я просто отом чтоб
>>в будущем избежать подобного - хотел чемто прикрыться, например файрволом.
>>Но файрволом неполучается...:(
>
>В локальной сети файрвол, разумеется, не сможет уничтожать фреймы, для который не
>является мостом или маршрутизатором.
Какую вы ерунду говорите.... если комп не является ни мостом ни маррутизатором как через него пойдет трафик и как он будет файрволить???
>А в сети можно просить оператора аплинка дискардить пакеты, не
Я сам себе аплинл... это происхдотив внутри моей сети очень далеко от аплинка...

... какбудто другую тему писал а ответ случаяно сюда запостили :)

"флуд с localhost:80"
Отправлено magr , 05-Дек-03 17:49

>Но файрволом неполучается...:(
Да можно файрволлом, если трафик черз него проходит. Сложно что-то сказать, нужен если не весь вывод правил (ipfw sh), то хотя бы фрагмент до уже приведенных строчек 005 - 007

"флуд с localhost:80"
Отправлено gara , 06-Дек-03 00:49

>>Но файрволом неполучается...:(
>Да можно файрволлом, если трафик черз него проходит. Сложно что-то сказать, нужен
>если не весь вывод правил (ipfw sh), то хотя бы фрагмент
>до уже приведенных строчек 005 - 007
До приведенных строчек стоит только count

"флуд с localhost:80"
Отправлено Аноним , 28-Дек-03 13:00

>>ip.src == 127.0.0.1 port 80 proto tcp==RST,ASK
>>а поглядите-ка tcpdump -e
>>вам MAC-адрес ничего не говорит? это важно, если вы знаете чей он..
>По маку поймали чела. у него был вирус.
Как вирус назывался? Чем удалили?

"флуд с localhost:80"
Отправлено temny , 06-Дек-03 21:19

>>>никакие правила ipfw deny непомогают...
>
>>${fwcmd} add 100 pass all from any to any via lo0
>>${fwcmd} add 200 deny all from any to 127.0.0.0/8
>>${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
>
Попробуй
${fwcmd} add 400 deny ip from any to any src-ip 127.0.0.1

"флуд с localhost:80"
Отправлено artist , 08-Дек-03 00:18

помогает
просто tcpdump снимает трафик _до_ ipfw

"флуд с localhost:80"
Отправлено gara , 08-Дек-03 00:24

>помогает
>
>просто tcpdump снимает трафик _до_ ipfw
ага...
я проверю. нопомоему счетчик заблокированных пакетов в правилах ipfw deny неувеличивался...
проверю и сообщу.

"флуд с localhost:80"
Отправлено Юрий , 28-Дек-03 02:21

А как сам порождающий троян называется? Пожет по названию вируса найти решения у разработчиков антивирусного ПО?
deny 127.0.0.1 у меня тоже не решает суть проблеммы.

"флуд с localhost:80"
Отправлено artist , 28-Дек-03 15:20

msblast, или вейча, не помню как называется точно 8)

"флуд с localhost:80"
Отправлено gabber88 , 29-Дек-03 16:25

>msblast, или вейча, не помню как называется точно 8)

это конечно гуд но лечить фсех в сети это не выход как бы это фсе прекраться бы намертво чтобы оно недобилось!

"флуд с localhost:80"
Отправлено Dima , 30-Дек-03 20:00

После Этого идет пакеты с реальным адресом и правила ip маршрутизации уже не помагают он может использовать любай адрес который юже узнал
Ясно что вирус уходят с WIN машин

"флуд с localhost:80"
Отправлено boss1575 , 30-Дек-03 23:59

>А как сам порождающий троян называется? Пожет по названию вируса найти решения
>у разработчиков антивирусного ПО?
>
>deny 127.0.0.1 у меня тоже не решает суть проблеммы.
Блин, объясняю, вирус называется MSlaught это клон MSBlast, лечится от него можно так: В диспетчере задач прибить MSLaught.exe далее из директории windows\system32 убить MSLaught.exe и поставить патчи от Microsoft против взлома RPC а точнее 135 порт.
А еще лучше ставить у всех пользователей этот патч и на роутерах запрещать какую либо маршрутизацию 135 порта, что бы он не успевал так быстро распространяться.