Не могу найти руткит в своей системе, vadim007, 13-Дек-10, 09:23 [смотреть все]Старый PIII-500 под ASPLinux 11 (Seliger) в качестве роутера. Работает почти без перерыва уже лет 5. Последние два месяца по нескольку раз в день пользователи жаловались на медленный интернет. Когда наконец оторвал задницу от кресла, ужаснулся. Команда cat /proc/net/ip_conntrack | wc l временами выдавала до 40000 соединений. В среднем было 20000...30000 соединений. По trafshow увидел, откуда прут запросы. Оказалось это китайцы: 203.80.Х.Х. И запросы шли как на мой IP, так и на IP машин подсети моего провайдера. Пообщался с провайдером на тему - почему чужие пакеты летят на мою машину? Ничего внятного он не сказал, кроме как "это вы должны отсеивать". Тогда первым делом отбросил все пакеты, которые не для меня: iptables -A INPUT -s 0/0 -i $EXTIF -d ! $EXTIF -j DROP Дня три было спокойно, потом снова шторм с 203.81.X.X. Тогда стал дропить эти пакеты, и по всем цепочкам: iptables -A INPUT -s 203.81.0.0/16 -j DROP iptables -A OUTPUT -s 203.81.0.0/16 -j DROP iptables -A FORWARD -s 203.81.0.0/16 -j DROP Снова затишье дня три, но на всякий пожарный постоянно держу трафик на контроле. И вот, теперь уже мой роутер шлет пакеты на 203.81.Х.Х. Было от чего прийти в ужас. С ходу определить зверя не смог, тогда просто стал дропить и эти исходящие пакеты: iptables -A INPUT -d 203.81.0.0/16 -j DROP iptables -A OUTPUT -d 203.81.0.0/16 -j DROP iptables -A FORWARD -d 203.81.0.0/16 -j DROP Казалось, можно успокоиться, но вскоре подобное началось с 218.100.0.0 Малайзия Стал и эту подсеть дропать, но вскоре подобное началось с 218.188.0.0, 218.189.0.0 Гонконг Стал и эту подсеть дропать, но вскоре подобное началось с 63.218.0.0 Эльдорадо Потом 118.143.0.0/16, 208.92.223.0/24. Сегодня утром 72.10.160.0/24 GloboTech В общем, нет сомнений, что в моей системе живет зверек. Как его найти и обезвредить?
|
- Не могу найти руткит в своей системе, Аноним, 09:59 , 13-Дек-10 (1)
>[оверквотинг удален] > iptables -A FORWARD -d 203.81.0.0/16 -j DROP > Казалось, можно успокоиться, но вскоре подобное началось с 218.100.0.0 Малайзия > Стал и эту подсеть дропать, но вскоре подобное началось с 218.188.0.0, > 218.189.0.0 Гонконг > Стал и эту подсеть дропать, но вскоре подобное началось с 63.218.0.0 > Эльдорадо > Потом 118.143.0.0/16, 208.92.223.0/24. > Сегодня утром 72.10.160.0/24 GloboTech > В общем, нет сомнений, что в моей системе живет зверек. Как его > найти и обезвредить?Имхо, лучше всего просто с нуля переставить систему
- Не могу найти руткит в своей системе, jaybee, 12:18 , 13-Дек-10 (2)
может это просто вирусы у пользователей ?!
- Не могу найти руткит в своей системе, vadim007, 12:25 , 13-Дек-10 (3)
> может это просто вирусы у пользователей ?!Исключено: прихожу рано утром, когда еще никто не работает, потом во время одной из атак, днем, отключал у всех интернет (с помощью iptables) - атаки продолжались.
- Не могу найти руткит в своей системе, ДумДум, 08:58 , 15-Дек-10 (6)
А что-то вроде sockstat в ASP есть?
|