forum.opennet.ru - "Что ЭТО?" (11)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Что ЭТО?"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Что ЭТО?"
Сообщение от nece on 04-Ноя-03, 16:16 (MSK)
Не могу понять что это может быть и надо ли бить тревогу, может кто подскажет. Ситуация следующая: 1)Есть шлюз на котором со стороны интернета все порты зыкрыты + всё отфильтровывается (отбрасывается). Состороны локалки тоже самое только одно но есть порты к которым доступ разрешён (80, 443, 22) но только с опредилённых хостов в локалке. 2)постоянно работает Apache 3) DNS на самом шлюзе пока не поднят, а все пользователи локалки и сам шлюз обращаются на DNS прова. Но при запуске tcpdump или iptraff переодически проскальзывает следующее: Tue Nov 4 13:22:00 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 to 195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate 0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 kbits/s Tue Nov 4 13:24:23 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 to 195.35.34.10:1068; Connection reset; 1 packets, 46 bytes, avg flow rate 0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 kbits/s Tue Nov 4 13:28:36 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 to 195.35.34.15:1245; Connection reset; 1 packets, 46 bytes, avg flow rate 0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 kbits/s Tue Nov 4 13:33:40 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 to 195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate 0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 kbits/s Что это может быть?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Что ЭТО?, Michael, 16:28 , 04-Ноя-03, (1)
- Что ЭТО?, nece, 16:49 , 04-Ноя-03, (2)
  - Что ЭТО?, nubius, 17:08 , 04-Ноя-03, (3)
    - Что ЭТО?, nece, 17:29 , 04-Ноя-03, (4)
      - Что ЭТО?, nubius, 17:37 , 04-Ноя-03, (5)
        
        Что ЭТО?, nece, 17:49 , 04-Ноя-03, (6)
        
        Что ЭТО?, co6aka, 17:59 , 04-Ноя-03, (7)
        
        Что ЭТО?, co6aka, 18:00 , 04-Ноя-03, (9)
        
        Что ЭТО?, nubius, 18:00 , 04-Ноя-03, (8)
        
        Что ЭТО?, nece, 18:59 , 04-Ноя-03, (10)
        
        Что ЭТО?, smail, 22:59 , 04-Ноя-03, (11)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Что ЭТО?"

Сообщение от Michael on 04-Ноя-03, 16:28  (MSK)

>3) DNS на самом шлюзе пока не поднят, а все пользователи локалки
>и сам шлюз
>обращаются на DNS прова.
а говоришь, все порты закрыты...
>Но при запуске tcpdump или iptraff переодически проскальзывает следующее:
>
>Tue Nov  4 13:22:00 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>to
>195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate
>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>
>kbits/s
>Tue Nov  4 13:24:23 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>to
>195.35.34.10:1068; Connection reset; 1 packets, 46 bytes, avg flow rate
>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>
>kbits/s
>Tue Nov  4 13:28:36 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>to
>195.35.34.15:1245; Connection reset; 1 packets, 46 bytes, avg flow rate
>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>
>kbits/s
>Tue Nov  4 13:33:40 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>to
>195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate
>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>
>kbits/s
eth0 смотрит куда?
адреса 195.35.34.ххх - что за адреса? твоих внутренних машин? или подсеть провайдера? или еще что-то?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Что ЭТО?"

Сообщение от nece on 04-Ноя-03, 16:49  (MSK)

>>3) DNS на самом шлюзе пока не поднят, а все пользователи локалки
>>и сам шлюз
>>обращаются на DNS прова.
>а говоришь, все порты закрыты...
Разрешен только исходящий от сервака
>>Но при запуске tcpdump или iptraff переодически проскальзывает следующее:
>>
>>Tue Nov  4 13:22:00 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>>to
>>195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate
>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>>
>>kbits/s
>>Tue Nov  4 13:24:23 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>>to
>>195.35.34.10:1068; Connection reset; 1 packets, 46 bytes, avg flow rate
>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>>
>>kbits/s
>>Tue Nov  4 13:28:36 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>>to
>>195.35.34.15:1245; Connection reset; 1 packets, 46 bytes, avg flow rate
>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>>
>>kbits/s
>>Tue Nov  4 13:33:40 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>>to
>>195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate
>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>>
>>kbits/s
>
>eth0 смотрит куда?
>адреса 195.35.34.ххх - что за адреса? твоих внутренних машин? или подсеть провайдера?
>или еще что-то?
eth0 смотрит в интернет, а  195.35.34.ххх подсесть прова!
адреса 195.35.34.10 .... 14 мои
mask 255.255.255.248
DNS 195.35.17.4 195.35.33.7

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Что ЭТО?"

Сообщение от nubius on 04-Ноя-03, 17:08  (MSK)

>>>3) DNS на самом шлюзе пока не поднят, а все пользователи локалки
>>>и сам шлюз
>>>обращаются на DNS прова.
>>а говоришь, все порты закрыты...
>
>Разрешен только исходящий от сервака
>
>>>Но при запуске tcpdump или iptraff переодически проскальзывает следующее:
>>>
>>>Tue Nov  4 13:22:00 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>>>to
>>>195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate
>>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>>>
>>>kbits/s
>>>Tue Nov  4 13:24:23 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>>>to
>>>195.35.34.10:1068; Connection reset; 1 packets, 46 bytes, avg flow rate
>>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>>>
>>>kbits/s
>>>Tue Nov  4 13:28:36 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>>>to
>>>195.35.34.15:1245; Connection reset; 1 packets, 46 bytes, avg flow rate
>>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>>>
>>>kbits/s
>>>Tue Nov  4 13:33:40 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80
>>>to
>>>195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate
>>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00
>>>
>>>kbits/s
>>
>>eth0 смотрит куда?
>>адреса 195.35.34.ххх - что за адреса? твоих внутренних машин? или подсеть провайдера?
>>или еще что-то?
>
>eth0 смотрит в интернет, а  195.35.34.ххх подсесть прова!
>адреса 195.35.34.10 .... 14 мои
>mask 255.255.255.248
>DNS 195.35.17.4 195.35.33.7

Если я правильно читал предыдущие сообщения, то это msblast.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Что ЭТО?"

Сообщение от nece on 04-Ноя-03, 17:29  (MSK)

>Если я правильно читал предыдущие сообщения, то это msblast.
Тоесть ты хочешь сказать что это вирусняк?
И если это так, то я так понимаю что он может зарожать только Windows системы.
Но у меня это происходит cо шлюза и с ip 127.0.0.1 а не из сети, да и на шлюзе не Windows!

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Что ЭТО?"

Сообщение от nubius on 04-Ноя-03, 17:37  (MSK)

>>Если я правильно читал предыдущие сообщения, то это msblast.
>
>Тоесть ты хочешь сказать что это вирусняк?
>И если это так, то я так понимаю что он может зарожать
>только Windows системы.
>Но у меня это происходит cо шлюза и с ip 127.0.0.1 а
>не из сети, да и на шлюзе не Windows!

http://www.opennet.me/openforum/vsluhforumID1/36848.html

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Что ЭТО?"

Сообщение от nece on 04-Ноя-03, 17:49  (MSK)

>http://www.opennet.me/openforum/vsluhforumID1/36848.html
Почитал! Сенькс
Тоесть мне надо отловить в локалке мак того кто шлёт пакеты с 127.0.0.1:80
да?

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Что ЭТО?"

Сообщение от co6aka on 04-Ноя-03, 17:59  (MSK)

Вообще-то 192.34.32.10 это dns-сервер мтушный.

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Что ЭТО?"

Сообщение от co6aka on 04-Ноя-03, 18:00  (MSK)

перепутал :) 195.34.32.10

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Что ЭТО?"

Сообщение от nubius on 04-Ноя-03, 18:00  (MSK)

>>http://www.opennet.me/openforum/vsluhforumID1/36848.html
>
>Почитал! Сенькс
>
>Тоесть мне надо отловить в локалке мак того кто шлёт пакеты с
>127.0.0.1:80
>да?
Придётся вычислять ;)

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Что ЭТО?"

Сообщение от nece on 04-Ноя-03, 18:59  (MSK)

>Вообще-то 195.34.32.10 это dns-сервер мтушный.
Знаю, просто когда я писал то использовал часть адреса х.х.х.у так от болды
а вот последнюю часть (y) практически как у меня.
Но суть проблемы это не меняло, т.к на DNS прова эти запроса не ходили а ходили на подсеть прова.
Так что извиняюсь кого ввёл в заблуждение!
И спасибо что помогли разобраться, сейчас буду пробовать искать!

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Что ЭТО?"

Сообщение от smail on 04-Ноя-03, 22:59  (MSK)

Похоже это не msblast.
Т.к из лога интерфейса eth0 смотрящего в инет есть посылка пакета на один из адресов подсети прова в 09:11:45.
А из подобного лога но с интерфейса eth1 смотрящего в локалку некаких соединений в это и ближайшее время нету!

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Что ЭТО?"
Сообщение от Michael on 04-Ноя-03, 16:28 (MSK)
>3) DNS на самом шлюзе пока не поднят, а все пользователи локалки >и сам шлюз >обращаются на DNS прова. а говоришь, все порты закрыты... >Но при запуске tcpdump или iptraff переодически проскальзывает следующее: > >Tue Nov 4 13:22:00 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 >to >195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate >0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 > >kbits/s >Tue Nov 4 13:24:23 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 >to >195.35.34.10:1068; Connection reset; 1 packets, 46 bytes, avg flow rate >0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 > >kbits/s >Tue Nov 4 13:28:36 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 >to >195.35.34.15:1245; Connection reset; 1 packets, 46 bytes, avg flow rate >0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 > >kbits/s >Tue Nov 4 13:33:40 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 >to >195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate >0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 > >kbits/s eth0 смотрит куда? адреса 195.35.34.ххх - что за адреса? твоих внутренних машин? или подсеть провайдера? или еще что-то?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Что ЭТО?"
	Сообщение от nece on 04-Ноя-03, 16:49 (MSK)
	>>3) DNS на самом шлюзе пока не поднят, а все пользователи локалки >>и сам шлюз >>обращаются на DNS прова. >а говоришь, все порты закрыты... Разрешен только исходящий от сервака >>Но при запуске tcpdump или iptraff переодически проскальзывает следующее: >> >>Tue Nov 4 13:22:00 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 >>to >>195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate >>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 >> >>kbits/s >>Tue Nov 4 13:24:23 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 >>to >>195.35.34.10:1068; Connection reset; 1 packets, 46 bytes, avg flow rate >>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 >> >>kbits/s >>Tue Nov 4 13:28:36 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 >>to >>195.35.34.15:1245; Connection reset; 1 packets, 46 bytes, avg flow rate >>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 >> >>kbits/s >>Tue Nov 4 13:33:40 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 >>to >>195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate >>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 >> >>kbits/s > >eth0 смотрит куда? >адреса 195.35.34.ххх - что за адреса? твоих внутренних машин? или подсеть провайдера? >или еще что-то? eth0 смотрит в интернет, а 195.35.34.ххх подсесть прова! адреса 195.35.34.10 .... 14 мои mask 255.255.255.248 DNS 195.35.17.4 195.35.33.7
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Что ЭТО?"
	Сообщение от nubius on 04-Ноя-03, 17:08 (MSK)
	>>>3) DNS на самом шлюзе пока не поднят, а все пользователи локалки >>>и сам шлюз >>>обращаются на DNS прова. >>а говоришь, все порты закрыты... > >Разрешен только исходящий от сервака > >>>Но при запуске tcpdump или iptraff переодически проскальзывает следующее: >>> >>>Tue Nov 4 13:22:00 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 >>>to >>>195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate >>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 >>> >>>kbits/s >>>Tue Nov 4 13:24:23 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 >>>to >>>195.35.34.10:1068; Connection reset; 1 packets, 46 bytes, avg flow rate >>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 >>> >>>kbits/s >>>Tue Nov 4 13:28:36 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 >>>to >>>195.35.34.15:1245; Connection reset; 1 packets, 46 bytes, avg flow rate >>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 >>> >>>kbits/s >>>Tue Nov 4 13:33:40 2003; TCP; eth0; 46 bytes; from 127.0.0.1:80 >>>to >>>195.35.34.10:1240; Connection reset; 1 packets, 46 bytes, avg flow rate >>>0.00 kbits/s; opposite direction 0 packets, 0 bytes; avg flow rate 0.00 >>> >>>kbits/s >> >>eth0 смотрит куда? >>адреса 195.35.34.ххх - что за адреса? твоих внутренних машин? или подсеть провайдера? >>или еще что-то? > >eth0 смотрит в интернет, а 195.35.34.ххх подсесть прова! >адреса 195.35.34.10 .... 14 мои >mask 255.255.255.248 >DNS 195.35.17.4 195.35.33.7 Если я правильно читал предыдущие сообщения, то это msblast.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Что ЭТО?"
	Сообщение от nece on 04-Ноя-03, 17:29 (MSK)
	>Если я правильно читал предыдущие сообщения, то это msblast. Тоесть ты хочешь сказать что это вирусняк? И если это так, то я так понимаю что он может зарожать только Windows системы. Но у меня это происходит cо шлюза и с ip 127.0.0.1 а не из сети, да и на шлюзе не Windows!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Что ЭТО?"
	Сообщение от nubius on 04-Ноя-03, 17:37 (MSK)
	>>Если я правильно читал предыдущие сообщения, то это msblast. > >Тоесть ты хочешь сказать что это вирусняк? >И если это так, то я так понимаю что он может зарожать >только Windows системы. >Но у меня это происходит cо шлюза и с ip 127.0.0.1 а >не из сети, да и на шлюзе не Windows! http://www.opennet.me/openforum/vsluhforumID1/36848.html
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Что ЭТО?"
	Сообщение от nece on 04-Ноя-03, 17:49 (MSK)
	>http://www.opennet.me/openforum/vsluhforumID1/36848.html Почитал! Сенькс Тоесть мне надо отловить в локалке мак того кто шлёт пакеты с 127.0.0.1:80 да?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Что ЭТО?"
	Сообщение от co6aka on 04-Ноя-03, 17:59 (MSK)
	Вообще-то 192.34.32.10 это dns-сервер мтушный.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "Что ЭТО?"
	Сообщение от co6aka on 04-Ноя-03, 18:00 (MSK)
	перепутал :) 195.34.32.10
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Что ЭТО?"
	Сообщение от nubius on 04-Ноя-03, 18:00 (MSK)
	>>http://www.opennet.me/openforum/vsluhforumID1/36848.html > >Почитал! Сенькс > >Тоесть мне надо отловить в локалке мак того кто шлёт пакеты с >127.0.0.1:80 >да? Придётся вычислять ;)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "Что ЭТО?"
	Сообщение от nece on 04-Ноя-03, 18:59 (MSK)
	>Вообще-то 195.34.32.10 это dns-сервер мтушный. Знаю, просто когда я писал то использовал часть адреса х.х.х.у так от болды а вот последнюю часть (y) практически как у меня. Но суть проблемы это не меняло, т.к на DNS прова эти запроса не ходили а ходили на подсеть прова. Так что извиняюсь кого ввёл в заблуждение! И спасибо что помогли разобраться, сейчас буду пробовать искать!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "Что ЭТО?"
	Сообщение от smail on 04-Ноя-03, 22:59 (MSK)
	Похоже это не msblast. Т.к из лога интерфейса eth0 смотрящего в инет есть посылка пакета на один из адресов подсети прова в 09:11:45. А из подобного лога но с интерфейса eth1 смотрящего в локалку некаких соединений в это и ближайшее время нету!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх