Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: атака? вирус? что это? [ НЕ решено ТАКИ ]  (Прочитано 5875 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн VestniK

  • Активист
  • *
  • Сообщений: 594
    • Просмотр профиля
Re: атака? вирус? что это? [решено]
« Ответ #15 : 14 Июня 2007, 15:55:30 »
Цитировать
Возможно, это лишний признак того, что под Линукс действительно НУЖЕН фаервол.
Никто не спорит, посему он есть :) iptables

Оффлайн WereBeast

  • Любитель
  • *
  • Сообщений: 85
    • Просмотр профиля
Re: атака? вирус? что это? [решено]
« Ответ #16 : 14 Июня 2007, 20:47:00 »
походит на классическую SyN атаку, если нет быделенного роутера, придется отмахиваться своим файером. Берешь иптейблс(ну лично мне так легче), tcpdump или акулу, как тебе посоветовали, снифаешь пакеты и смотришь, что откуда пришло. Как только узнаЕшь откуда, идешь в магазин спорттоваров, покупаешь биту. Мануал по пользованию такого хардвера есть в гугле.  ;D ;D ;D

Программирую пропаганду
Windows - в гландах

Оффлайн Taich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
  • СУпер
    • Просмотр профиля
Re: атака? вирус? что это? [решено]
« Ответ #17 : 14 Июня 2007, 21:55:58 »
Да я думаю никто б лично не стал атаковать... Я б гнал поток запросов с другой(-их) машин...
Поэтому тут /dev/bita не пашет... Фаервол настроить надо просто.
Спасибо. Закрыта тема.
Taich is OFFLINE до 1.09.2007

Оффлайн xmig

  • Любитель
  • *
  • Сообщений: 98
    • Просмотр профиля
Re: атака? вирус? что это? [решено]
« Ответ #18 : 14 Июня 2007, 23:28:58 »
2 Taich
Я в прошлом году писал скрипт с правилами для iptables для отдельной машины... может тебе его выложить для наглядности, доработаешь под себя?

Оффлайн Taich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
  • СУпер
    • Просмотр профиля
Re: атака? вирус? что это? [решено]
« Ответ #19 : 15 Июня 2007, 01:35:33 »
Я ставил Linux в том числе и для того, чтобы научиться писать скрипты. Был бы рад, если б ты что-то выложил.
Я сейчас активно все изучаю. Спасибо!
Taich is OFFLINE до 1.09.2007

Оффлайн xmig

  • Любитель
  • *
  • Сообщений: 98
    • Просмотр профиля
Re: атака? вирус? что это? [решено]
« Ответ #20 : 15 Июня 2007, 11:18:46 »
2 Taich
Это скрипт для настройки правил iptables. Работает с системой логирования ulog (нужно установить пакет ulogd), с её помощью логи файервола пишуться в отдельные файлы, а не в общие системные логи. Скрипт запускается по необходимости руками. Если необходимо запускать его автоматом, то смотри в сторону update-rc.d

[вложение удалено Администратором]

Оффлайн Taich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
  • СУпер
    • Просмотр профиля
Re: атака? вирус? что это? [решено]
« Ответ #21 : 15 Июня 2007, 18:43:59 »
хорошо. спасибо за скрипт - я только летом им займусь - щас сессия...
Taich is OFFLINE до 1.09.2007

Оффлайн Radiohead

  • Участник
  • *
  • Сообщений: 102
    • Просмотр профиля
Re: атака? вирус? что это? [решено]
« Ответ #22 : 17 Июня 2007, 01:14:24 »
Почитал.
Не знаю кто написал в ветке РЕШЕНО.
Нифига не решено.

Больше всего это похоже на глюки сетевой карты.
Чел сидит в системе - траф бежит. Перегружается с LiveCD - траф бежит. Подключает другую машину - траф не бежит.....

Проще всего проверить атака это или нет - поменять айпишник и мак сетевухи. Если и после этого траф бежать будет - точно железо.
О вирусах и руткитах тут речи идти не может т.к. у человека траф бежит ДАЖЕ ПРИ ЗАГРУЗКЕ С Live-CD !!!
Сечете фишку?

Оффлайн Taich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
  • СУпер
    • Просмотр профиля
Re: атака? вирус? что это? [ НЕ решено ТАКИ ]
« Ответ #23 : 17 Июня 2007, 16:31:54 »
Ну вот смотрите.
Сейчас у меня трафик бежит 1КБайт/сек - что с LiveCD, что с компа с Ubuntu, что с другого компа в нашей сети, который я загружал с LiveCD.
aleksey@pegas:~$ cat /proc/net/dev
Inter-|   Receive                                                |  Transmit
 face |bytes    packets errs drop fifo frame compressed multicast|bytes    packets errs drop fifo colls carrier compressed
    lo:     573       9    0    0    0     0          0         0      573       9    0    0    0     0       0          0
  eth0:  974975    8770    0    0    0     0          0       238   119404    1161    0    0    0     0       0          0
  eth1:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       1          0
  ppp0:  272808     350    0    0    0     0          0         0    25379     340    0    0    0     0       0          0
aleksey@pegas:~$ cat /proc/net/dev
Inter-|   Receive                                                |  Transmit
 face |bytes    packets errs drop fifo frame compressed multicast|bytes    packets errs drop fifo colls carrier compressed
    lo:     573       9    0    0    0     0          0         0      573       9    0    0    0     0       0          0
  eth0: 1468885   14933    0    0    0     0          0       238   126422    1245    0    0    0     0       0          0
  eth1:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       1          0
  ppp0:  273048     356    0    0    0     0          0         0    26891     358    0    0    0     0       0          0
aleksey@pegas:~$
видно, что за какое-то время (пока я писал это сообщение) - трафик по сети возрос с
0.97Мб до 1.47Мб - что ровно 0.5Мб - с учетом того, что бежит примерно 1КБайт/сек должно было пройти 500 сек = 8.33 минуты (ну вот я столько и пишу!). Так что сейчас трафик более-менее.
При этом инет половину страниц не отображает и я не могу даже загрузить обновления и установить проги (хотя до этого МОГ):
aleksey@pegas:~$ sudo apt-get update
Ign cdrom://Ubuntu 6.10 _Edgy Eft_ - Release i386 (20061025) edgy/main Translation-ru
Ign cdrom://Ubuntu 6.10 _Edgy Eft_ - Release i386 (20061025) edgy/restricted Translation-ru
Ign cdrom://Ubuntu 7.04 _Feisty Fawn_ - Release i386 (20070415) feisty/main Translation-ru
Ign cdrom://Ubuntu 7.04 _Feisty Fawn_ - Release i386 (20070415) feisty/restricted Translation-ru
Получено:1 http://apt.tt-solutions.com dapper Release.gpg [189B]               
Ign http://apt.tt-solutions.com dapper/main Translation-ru                     
В кэше http://apt.tt-solutions.com dapper Release                             
В кэше http://apt.tt-solutions.com dapper/main Packages                       
Err http://security.ubuntu.com feisty-security Release.gpg                     
  Не могу найти IP адрес для security.ubuntu.com
Err http://ru.archive.ubuntu.com feisty Release.gpg                           
  Не могу найти IP адрес для ru.archive.ubuntu.com
Err http://security.ubuntu.com feisty-security/main Translation-ru             
  Не могу найти IP адрес для security.ubuntu.com
Err http://ru.archive.ubuntu.com feisty/main Translation-ru                   
  Не могу найти IP адрес для ru.archive.ubuntu.com
Err http://security.ubuntu.com feisty-security/restricted Translation-ru       
  Не могу найти IP адрес для security.ubuntu.com

До этого у меня трафик бежал 200КБайт/сек - что с LiveCD, что с компа с Ubuntu. А с другого компа в нашей сети с LiveCD я грузился - трафик не бежал. Но при этом, если был инет - то все грузил: и страницы инета и обновления.
Из-за чего это было и почему прекратилось сейчас мне не понятно. Фаервол я установил, но не настроил (щас и времени нет и документацию только недавно нарыл, поэтому при загрузке система пишет: "unable to configure guarddog firewall - file /etc/rc.firewall does not exist" - так что фаервол не работает пока. Я искал, но не нашел, как сделать этот файл.. эх..).
Единственное, что настараживает (смотрю в пронрамме EtherApe) - это 2 ай-пи адреса, с которых ко мне всегда тянутся  "нити" связи: 224.0.0.251 и 194.67.2.114 (у меня сеть 192.168.49.ххх - так что это не "мои").  Эти компы через меня каким-то образом связываются с нашим сервером (192.168.49.1) - это видно по одновременно появляющимся "нитям" направления один_из_тех_ip -> мой_ip -> нашего_сервера_ip. Но иногда этих компов в сети не бывает - и "нитей" нет. Но инет все так же не пашет, даже в их отсутствие.
 
Еще комп с включенным кабелем сети долго грузится (от ввода пароля до готового рабочего стола 3 минуты!) и жутко тормозит. Напимер, чтобы запустить терминал или любую другую программу нужно ровно 1 минуту. Отключаю сеть в Менеджере или снимаю провод - открывается сразу по клику, грузит за 15 сек после ввода пароля...

ПОД ВИНДОЙ ВСЕ работает - и инет и сеть и без тормозов. Трафик в винде не бежит практически совсем. На сетевуху не ругайтесь. Она работает.
« Последнее редактирование: 17 Июня 2007, 16:40:48 от Taich »
Taich is OFFLINE до 1.09.2007

Оффлайн Radiohead

  • Участник
  • *
  • Сообщений: 102
    • Просмотр профиля
Re: атака? вирус? что это? [ НЕ решено ТАКИ ]
« Ответ #24 : 20 Июня 2007, 01:01:54 »
aleksey@pegas:~$ cat /proc/net/dev
Inter-|   Receive                                                |  Transmit
face |bytes    packets errs drop fifo frame compressed multicast|bytes    packets errs drop fifo colls carrier compressed
eth0:  974975    8770    0    0    0     0          0       238   119404    1161    0    0    0     0       0          0
eth1:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       1          0
Мнэээ...
А почему у вас два эзернетовских интерфейса?
У вас две сетевых карты или на одной карте настроены два Айпишинка?
Если ничего такого у вас нет - то вот вам и ответ...

З.Ы.
ifconfig без ВПНа киньте сюда...
« Последнее редактирование: 20 Июня 2007, 01:06:27 от Radiohead »

 

Страница сгенерирована за 0.052 секунд. Запросов: 23.