forum.opennet.ru - "smtp? атака?" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"smtp? атака?"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"smtp? атака?"
Сообщение от tsyuha (ok) on 08-Апр-05, 12:41 (MSK)
Сервер ASPLinux 9.2, postfix 2.4 Довольно часто интернет начинает жутко тормозить. При выполнении команды netstat -n выводится следующее Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 33090 мой-ip:непривил.порт чужой-ip:25 ESTABLISHED В поле Send-Q стоит не число порядка 30000. После закрытия чужого ай-пи файрволлом через секунд 10 в netstat эта строка пропадает и интернет перестает тормозить. Что с этим делать и вообще атака ли это? Пожалуйста помогите, а то я уже пол-инета в файрволле закрыл (шутка)!
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

smtp? атака?, favourite, 12:54 , 08-Апр-05, (1)
- smtp? атака?, scum, 12:59 , 08-Апр-05, (2)
  - smtp? атака?, favourite, 14:06 , 08-Апр-05, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "smtp? атака?"

Сообщение от favourite (ok) on 08-Апр-05, 12:54  (MSK)

>Сервер ASPLinux 9.2, postfix 2.4
>Довольно часто интернет начинает жутко тормозить.
>При выполнении команды
>netstat -n
>выводится следующее
>Proto Recv-Q Send-Q Local Address
>   Foreign Address
>  State
>tcp    0      33090
>мой-ip:непривил.порт   чужой-ip:25       ESTABLISHED
сделай lsof -i |grep чужой-ip
и посмотри что за прога.
скорее всего это твой постфикс - смотри его логи
>
>В поле Send-Q стоит не число порядка 30000.
>После закрытия чужого ай-пи файрволлом через секунд 10 в netstat эта строка
>пропадает и интернет перестает тормозить.
>Что с этим делать и вообще атака ли это?
>Пожалуйста помогите, а то я уже пол-инета в файрволле закрыл (шутка)!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "smtp? атака?"

Сообщение от scum (??) on 08-Апр-05, 12:59  (MSK)

По этим данным трудно что либо сказать. Надо поюзать lsof+tcpdump.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "smtp? атака?"

Сообщение от favourite (ok) on 08-Апр-05, 14:06  (MSK)

>По этим данным трудно что либо сказать. Надо поюзать lsof+tcpdump.
Ну дык кто тебе мешает поюзать?
Любопытства ради - чужой-IP у тебя разный всегда или одинаковый, и что кажет
lsof -i|grep чужой-IP?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "smtp? атака?"
Сообщение от favourite (ok) on 08-Апр-05, 12:54 (MSK)
>Сервер ASPLinux 9.2, postfix 2.4 >Довольно часто интернет начинает жутко тормозить. >При выполнении команды >netstat -n >выводится следующее >Proto Recv-Q Send-Q Local Address > Foreign Address > State >tcp 0 33090 >мой-ip:непривил.порт чужой-ip:25 ESTABLISHED сделай lsof -i \|grep чужой-ip и посмотри что за прога. скорее всего это твой постфикс - смотри его логи > >В поле Send-Q стоит не число порядка 30000. >После закрытия чужого ай-пи файрволлом через секунд 10 в netstat эта строка >пропадает и интернет перестает тормозить. >Что с этим делать и вообще атака ли это? >Пожалуйста помогите, а то я уже пол-инета в файрволле закрыл (шутка)!
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "smtp? атака?"
	Сообщение от scum (??) on 08-Апр-05, 12:59 (MSK)
	По этим данным трудно что либо сказать. Надо поюзать lsof+tcpdump.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "smtp? атака?"
	Сообщение от favourite (ok) on 08-Апр-05, 14:06 (MSK)
	>По этим данным трудно что либо сказать. Надо поюзать lsof+tcpdump. Ну дык кто тебе мешает поюзать? Любопытства ради - чужой-IP у тебя разный всегда или одинаковый, и что кажет lsof -i\|grep чужой-IP?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх