forum.opennet.ru - "Вирус или иная дрянь?" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Вирус или иная дрянь?"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Вирус или иная дрянь?"
Сообщение от Alexey Nenakhov on 27-Апр-04, 17:44 (MSK)
По trafshow заметил странный трафик, который уходит с моего роутера хаотично по разным интерфейсам. Всего 7 интерфейсов (fxp0-fxp6), так вот трафик появляется и исчезает хаотично, и перебор интерфейсов хаотичный. Никаких закономерностей не нашел. # tcpdump -i fxp4 host 127.0.0.1 tcpdump: listening on fxp4 16:29:17.158809 localhost.http > 192.168.219.158.1042: R 0:0(0) ack 1535967233 win 0 16:29:17.169566 localhost.http > 192.168.178.35.1969: R 0:0(0) ack 1253965825 win 0 16:29:17.172473 localhost.http > 192.168.106.11.novell-lu6.2: R 0:0(0) ack 935133185 win 0 16:29:17.181772 localhost.http > 192.168.62.30.1911: R 0:0(0) ack 340393985 win 0 16:29:17.187101 localhost.http > 192.168.20.227.1121: R 0:0(0) ack 1752760321 win 0 16:29:17.189547 localhost.http > 192.168.243.162.1804: R 0:0(0) ack 1888550913 win 0 16:29:17.191877 localhost.http > 192.168.175.177.1115: R 0:0(0) ack 98238465 win 0 16:29:17.207518 localhost.http > 192.168.127.157.fujitsu-dtcns: R 0:0(0) ack 975044609 win 0 16:29:17.212119 localhost.http > 192.168.240.49.1951: R 0:0(0) ack 732823553 win 0 16:29:17.212404 localhost.http > 192.168.86.35.cadis-1: R 0:0(0) ack 692977665 win 0 16:29:17.232022 localhost.http > 192.168.51.49.1786: R 0:0(0) ack 1367474177 win 0 16:29:17.232131 localhost.http > 192.168.225.157.gwha: R 0:0(0) ack 1926955009 win 0 16:29:17.232353 localhost.http > 192.168.152.35.1277: R 0:0(0) ack 1327628289 win 0 16:29:17.234070 localhost.http > 192.168.170.74.1673: R 0:0(0) ack 635371521 win 0 16:29:17.252122 localhost.http > 192.168.116.176.1622: R 0:0(0) ack 2002059265 win 0 16:29:17.253651 localhost.http > 192.168.217.162.1112: R 0:0(0) ack 1962213377 win 0 Чтобы это могло быть? Вирус или какая-то иная дрянь?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Вирус или иная дрянь?, Alexey Nenakhov, 17:46 , 27-Апр-04, (1)
- Вирус или иная дрянь?, dawnshade, 21:34 , 27-Апр-04, (2)
  - Вирус или иная дрянь?, Alexey Nenakhov, 10:13 , 28-Апр-04, (3)
    - Вирус или иная дрянь?, dawnshade, 10:19 , 28-Апр-04, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Вирус или иная дрянь?"

Сообщение от Alexey Nenakhov on 27-Апр-04, 17:46  (MSK)

P.S. Заметил еще на FreeBSD 4.7, поднял до FreeBSD 4.9-RELEASE-p5, но ничего не поменялось

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Вирус или иная дрянь?"

Сообщение от dawnshade on 27-Апр-04, 21:34  (MSK)

>P.S. Заметил еще на FreeBSD 4.7, поднял до FreeBSD 4.9-RELEASE-p5, но ничего
>не поменялось

http://groups.google.com/groups?hl=ru&lr=&ie=UTF-8&oe=UTF-8&inlang=ru&frame=right&rnum=41&thl=1030758121,1030652900,1030266098,1030649934,1030409667,1030154018,1013019687,1013014306,950934257,950911122,950841223,950461364&seekm=c4om1e$o68$1@dns.comcor.ru#link48
И дальше ответы по ходу.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Вирус или иная дрянь?"

Сообщение от Alexey Nenakhov on 28-Апр-04, 10:13  (MSK)

>>P.S. Заметил еще на FreeBSD 4.7, поднял до FreeBSD 4.9-RELEASE-p5, но ничего
>>не поменялось
>
>
>http://groups.google.com/groups?hl=ru&lr=&ie=UTF-8&oe=UTF-8&inlang=ru&frame=right&rnum=41&thl=1030758121,1030652900,1030266098,1030649934,1030409667,1030154018,1013019687,1013014306,950934257,950911122,950841223,950461364&seekm=c4om1e$o68$1@dns.comcor.ru#link48
>
>И дальше ответы по ходу.
Спасибо, проблема решилась, к счастью, это не мой сервер был уязвим или заражен, а дрянь ползла с абонентов. По МАС-адресу выявил и "наказал" :)
tcpdump -i fxp4 -e host 127.0.0.1
tcpdump: listening on fxp4
09:01:32.786333 0:50:fc:98:e4:a5 0:2:b3:d3:64:4c ip 60: localhost.http > 192.168.244.61.1592: R 0:0(0) ack 307298305 win 0
09:01:32.813451 0:30:4f:25:5a:23 0:2:b3:d3:64:4c ip 60: localhost.http > 192.168.251.184.1590: R 0:0(0) ack 918421505 win 0
09:01:32.834041 0:50:fc:98:e4:a5 0:2:b3:d3:64:4c ip 60: localhost.http > 192.168.119.188.1263: R 0:0(0) ack 1576534017 win 0
09:01:32.860783 0:30:4f:25:5a:23 0:2:b3:d3:64:4c ip 60: localhost.http > 192.168.149.196.1238: R 0:0(0) ack 477036545 win 0
09:01:32.883752 0:30:4f:25:5a:23 0:2:b3:d3:64:4c ip 60: localhost.http > 192.168.201.171.1921: R 0:0(0) ack 555220993 win 0
09:01:32.885003 0:50:fc:98:e4:a5 0:2:b3:d3:64:4c ip 60: localhost.http > 192.168.60.187.1769: R 0:0(0) ack 1332936705 win 0
09:01:32.906524 0:50:fc:98:e4:a5 0:2:b3:d3:64:4c ip 60: localhost.http > 192.168.126.187.1604: R 0:0(0) ack 1967521793 win 0
09:01:32.907924 0:30:4f:25:5a:23 0:2:b3:d3:64:4c ip 60: localhost.http > 192.168.48.81.1654: R 0:0(0) ack 35651585 win 0

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Вирус или иная дрянь?"

Сообщение от dawnshade on 28-Апр-04, 10:19  (MSK)

Угу, там именно это и написано :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Вирус или иная дрянь?"
Сообщение от Alexey Nenakhov on 27-Апр-04, 17:46 (MSK)
P.S. Заметил еще на FreeBSD 4.7, поднял до FreeBSD 4.9-RELEASE-p5, но ничего не поменялось
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Вирус или иная дрянь?"
	Сообщение от dawnshade on 27-Апр-04, 21:34 (MSK)
	>P.S. Заметил еще на FreeBSD 4.7, поднял до FreeBSD 4.9-RELEASE-p5, но ничего >не поменялось http://groups.google.com/groups?hl=ru&lr=&ie=UTF-8&oe=UTF-8&inlang=ru&frame=right&rnum=41&thl=1030758121,1030652900,1030266098,1030649934,1030409667,1030154018,1013019687,1013014306,950934257,950911122,950841223,950461364&seekm=c4om1e$o68$1@dns.comcor.ru#link48 И дальше ответы по ходу.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Вирус или иная дрянь?"
	Сообщение от Alexey Nenakhov on 28-Апр-04, 10:13 (MSK)
	>>P.S. Заметил еще на FreeBSD 4.7, поднял до FreeBSD 4.9-RELEASE-p5, но ничего >>не поменялось > > >http://groups.google.com/groups?hl=ru&lr=&ie=UTF-8&oe=UTF-8&inlang=ru&frame=right&rnum=41&thl=1030758121,1030652900,1030266098,1030649934,1030409667,1030154018,1013019687,1013014306,950934257,950911122,950841223,950461364&seekm=c4om1e$o68$1@dns.comcor.ru#link48 > >И дальше ответы по ходу. Спасибо, проблема решилась, к счастью, это не мой сервер был уязвим или заражен, а дрянь ползла с абонентов. По МАС-адресу выявил и "наказал" :) tcpdump -i fxp4 -e host 127.0.0.1 tcpdump: listening on fxp4 09:01:32.786333 0:50:fc:98:e4:a5 0:2:b3:d3:64:4c ip 60: localhost.http > 192.168.244.61.1592: R 0:0(0) ack 307298305 win 0 09:01:32.813451 0:30:4f:25:5a:23 0:2:b3:d3:64:4c ip 60: localhost.http > 192.168.251.184.1590: R 0:0(0) ack 918421505 win 0 09:01:32.834041 0:50:fc:98:e4:a5 0:2:b3:d3:64:4c ip 60: localhost.http > 192.168.119.188.1263: R 0:0(0) ack 1576534017 win 0 09:01:32.860783 0:30:4f:25:5a:23 0:2:b3:d3:64:4c ip 60: localhost.http > 192.168.149.196.1238: R 0:0(0) ack 477036545 win 0 09:01:32.883752 0:30:4f:25:5a:23 0:2:b3:d3:64:4c ip 60: localhost.http > 192.168.201.171.1921: R 0:0(0) ack 555220993 win 0 09:01:32.885003 0:50:fc:98:e4:a5 0:2:b3:d3:64:4c ip 60: localhost.http > 192.168.60.187.1769: R 0:0(0) ack 1332936705 win 0 09:01:32.906524 0:50:fc:98:e4:a5 0:2:b3:d3:64:4c ip 60: localhost.http > 192.168.126.187.1604: R 0:0(0) ack 1967521793 win 0 09:01:32.907924 0:30:4f:25:5a:23 0:2:b3:d3:64:4c ip 60: localhost.http > 192.168.48.81.1654: R 0:0(0) ack 35651585 win 0
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Вирус или иная дрянь?"
	Сообщение от dawnshade on 28-Апр-04, 10:19 (MSK)
	Угу, там именно это и написано :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх