Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: атака? вирус? что это? [ НЕ решено ТАКИ ]  (Прочитано 4988 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Taich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
  • СУпер
    • Просмотр профиля
Здравствуйте! У меня такая ситуация:
сначала было все хорошо - я следил за трафиком с помощью "cat /proc/net/dev", и, т.к. почти не пользовался сетью, то входящий трафик по ppp0 и eth0 практически совпадали.
НО не так давно побежал трафик по eth0.
Как бежит (разумеется, я ничего не качаю!):
(+) к загрузке Терминала (я его первым в Gnome гружу) уже набегает 10Мб входящего по eth0...
(+) трафик продолжает бежать со скоростью 0.2 Мб/сек (не больше не меньше) на протяжении всего сеанса.
(+) выключение сети в "Мэнеджере сети" ничего не дает (только выдергивание провода из компа останавливает это безобразие).
(+) исходящий трафик по eth0 минимален (скажем, на 350Мб входящего будет 1Мб исходящего - не более)
(++) самое интересное, что индикатор жесткого диска совсем не мигает (т.е. ко мне на комп ничего не пишется!). Или это служебными пакетами меня кто-то валит?
Решал: поставил фаервол guarddog и сконфигурировал его под себя. Трафик по eth0 резко упал и был примерно 1Кб/сек. Но буквально вчера он вновь вышел на уровень 0.2 Мб/сек и guarddog, при моей попытке переконфигурировать фаервол, уже ругается и говорит: "не могу получить достуб к устройству, и если будут изменения в конфигурации фаервола - не факт, что они вступят в силу...". Ставил и lokkit (он, кажется, детский по сравнению с guarddog - естественно, не помог).
В винде сеть молчит, пока я куда-то не подорвусь по ней идти (т.е. трафика такого нет).
(+) netstat -a показывает кучу STREAM... (может, штук 50-80 - еле умещаются в Терминале...)
(+) если я гружусь с LiveCD, то поток тот же - 0.2 Мб/с!
Скорость по сети становится соответственно очень и очень мала...
Просто это не вяжется совсем с моими представлениями о вирусах, зато подходит под атаку...
Подскажите, кто знает, что это такое и как с этим бороться?
Заранее благодарен.
« Последнее редактирование: 17 Июнь 2007, 15:46:17 от Taich »
Taich is OFFLINE до 1.09.2007

Оффлайн ceval

  • Активист
  • *
  • Сообщений: 778
  • Минск, Беларусь
    • Просмотр профиля
    • On-line журнал o Linux
Re: атака? вирус? что это?
« Ответ #1 : 13 Июнь 2007, 17:58:22 »
Для начало проверь на руткиты, в поиске поищи

Оффлайн Taich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
  • СУпер
    • Просмотр профиля
Re: атака? вирус? что это?
« Ответ #2 : 13 Июнь 2007, 18:13:48 »
Для начала проверь на руткиты

Что именно следует проверить и как? Я не понял.
Тут понимаешь - даже с LiveCD грузишься и такая фишка...
Это больше всего настараживает и склоняет к версии о том, что атакуют порт или ай-пи... (возможно, SATAN-ом запалили какой-то порт и стали его громить...) А т.к. входящих файлов нет, то атакуют, как представляется, служебными пакетами (типа DoS атака, или что-то такое - не знаю...).

Поясни пожалуйста свою версию, если ты имел в виду и эти факты.
Taich is OFFLINE до 1.09.2007

Оффлайн Taich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
  • СУпер
    • Просмотр профиля
Re: атака? вирус? что это?
« Ответ #3 : 13 Июнь 2007, 18:41:26 »
Подскажите средство, с помощью которого просечь ip компа, который атакует?
(наверняка это подставной комп) - я б его вырубил (разные есть методы.. :) ) и сконфигурировал бы у себя в за это время фаервол...
Или может мне сменить ай-пи (установить не автоматом, а вручную). Но не факт, что он нечасто просматривает сеть... И может просечь эту мою перебежку. Но можно тоже попробовать.
Или что еще можно сделать? (я просто щас в Линукс не хожу - ибо тормоза неральные...)
Народ! Сетевики! Подскажите, пожалуйста!?
Taich is OFFLINE до 1.09.2007

Оффлайн Pool

  • Участник
  • *
  • Сообщений: 228
    • Просмотр профиля
Re: атака? вирус? что это?
« Ответ #4 : 13 Июнь 2007, 20:21:07 »
А случайно не ищет Ubuntu обновлений. Что приписано в так называемой автозагрузке

Сами в нете ковыряете может попробовать http://tor.eff.org/

адрес статический?
« Последнее редактирование: 13 Июнь 2007, 20:30:39 от Pool »

Оффлайн Taich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
  • СУпер
    • Просмотр профиля
Re: атака? вирус? что это?
« Ответ #5 : 13 Июнь 2007, 20:52:25 »
Да, адрес статический. Это ж сетка. Обновления ему б искать в инете... Не, я ему не менял параметров поиска обновлений и он всегда их брал с инета...
Причем ppp0 на 0 как на вход так и на выход...(в смысле эта фишка не трогает моего трафика интернета СОВСЕМ).

Щас попробовал с лив сиди с другого компа в нашей сети войти - там трафик 200 кб после загрузки и ползет 1 кб в секунду - как и у меня было до этого... Т.е. на другом ай-пи нормально трафик бежит (еще один аргумент в пользу того, что мой ай-пи под обстрелом). Щас прикину, как сменить ай-пи - тогда и протестирую убегание с этого "подударного" ай-пи...
Кстати, в винде и в линуксе у меня разные ай-пи в сети... Немного странно.
Есть еще мысли?
Taich is OFFLINE до 1.09.2007

Оффлайн Nick F0x

  • Активист
  • *
  • Сообщений: 317
  • Или ты имеешь мир, или наоборот, третьего не дано.
    • Просмотр профиля
    • f0x.ru
Re: атака? вирус? что это?
« Ответ #6 : 13 Июнь 2007, 20:57:02 »
а может на атакающем компе атакуемый комп прописан как шлюз, поэтому и прёт всё на него, всякие днс-запросы, пинги, попытки соединения...

Оффлайн Taich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
  • СУпер
    • Просмотр профиля
Re: атака? вирус? что это?
« Ответ #7 : 13 Июнь 2007, 21:06:52 »
Маловероятно. У нас один сервак и его ай-пи 192.168.48.253 отличается от моего 192.168.49.111 немного.. :)
Мне б узнать с какого ай-пи идут запросы... Кто знает способ?
Taich is OFFLINE до 1.09.2007

Оффлайн Taich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
  • СУпер
    • Просмотр профиля
Re: атака? вирус? что это?
« Ответ #8 : 13 Июнь 2007, 21:11:32 »
/etc/network/interfaces

auto eth0
iface eth0 inet static
address 192.168.49.58 // это мой видовый адрес
netmask 255.255.255.0
gateway 192.168.48.253

так я поменяю себе ай пи. Так ведь?
Или лучше как здесь: http://easylinux.ru/node/129 ?
« Последнее редактирование: 13 Июнь 2007, 21:15:48 от Taich »
Taich is OFFLINE до 1.09.2007

Оффлайн xmig

  • Любитель
  • *
  • Сообщений: 98
    • Просмотр профиля
Re: атака? вирус? что это?
« Ответ #9 : 13 Июнь 2007, 21:17:12 »
А в чем проблема-то? Поставь себе снифер и посмотри, что в сетке твориться, какие пакеты на тебя сыплются и откуда. Можно установить wireshark (работает под gnome, рекомендую), а если ты предпочитаешь дзен - tcpdump тебе поможет.  ;)

Оффлайн Taich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
  • СУпер
    • Просмотр профиля
Re: атака? вирус? что это?
« Ответ #10 : 13 Июнь 2007, 21:20:39 »
без инета какой встанет подскажи - поставлю. А то у меня sudo pon inet "забит" просто (ждет 30 сек и не врубает инет). Я не могу к инету подключиться.. вот где трабл...
Хотя у меня лаптоп - я на другой ай пи снесу, да закачаю в принципе синаптиком. Спасибо. Буду пробовать попозже.
« Последнее редактирование: 13 Июнь 2007, 21:23:37 от Taich »
Taich is OFFLINE до 1.09.2007

Оффлайн Taich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
  • СУпер
    • Просмотр профиля
Re: атака? вирус? что это?
« Ответ #11 : 13 Июнь 2007, 22:25:16 »
я щас в убунте - или тот комп щас в отрубе или все решилось. Но я щас побырому все сконфигурирую - и прогу wireshark и guarddog.
Taich is OFFLINE до 1.09.2007

Оффлайн xmig

  • Любитель
  • *
  • Сообщений: 98
    • Просмотр профиля
Re: атака? вирус? что это?
« Ответ #12 : 13 Июнь 2007, 22:28:14 »
Не уверен, но кажись tcpdump изначально устанавливается в системе. Но лучше установить wireshark, просто с ним удобней работать.
А все эти firestart-еры и guarddog-и от лукавого. Лучше iptables нормально ручками настроить.
« Последнее редактирование: 13 Июнь 2007, 22:35:42 от xmig »

Оффлайн Taich

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
  • СУпер
    • Просмотр профиля
Re: атака? вирус? что это?
« Ответ #13 : 14 Июнь 2007, 00:41:12 »
Получается, что так, господа... Была атака.. Другого объяснения я не нахожу.
Т.к. сейчас трафик сети был под ноль... Инет подрубился сполпинка...
Так что читаю мануал по фаерволу - как настроить, чтоб такого больше не повторялось.
Возможно, это лишний признак того, что под Линукс действительно НУЖЕН фаервол.
Спасибо за совет насчет wireshark. Хорошая программа, имеет много возможностей - тоже надо будет хорошенько освоиться...
Кстати tcpdump действительно предустановлен. Но --help по нему мне почему-то ничего не дал...
Я так и не смог из 20 запросов подать хоть один вразумительный..))

Вывод: бывают и агрессивные сети, господа.. :)
и думается, число их будет расти с ростом популярности Линукс..(см. Ubuntu bug#1)
Taich is OFFLINE до 1.09.2007

Оффлайн Pool

  • Участник
  • *
  • Сообщений: 228
    • Просмотр профиля
Re: атака? вирус? что это?
« Ответ #14 : 14 Июнь 2007, 12:28:10 »
Получается, что так, господа... Была атака.. Другого объяснения я не нахожу.
Т.к. сейчас трафик сети был под ноль... Инет подрубился сполпинка...
Так что читаю мануал по фаерволу - как настроить, чтоб такого больше не повторялось.
Возможно, это лишний признак того, что под Линукс действительно НУЖЕН фаервол.
Спасибо за совет насчет wireshark. Хорошая программа, имеет много возможностей - тоже надо будет хорошенько освоиться...
Кстати tcpdump действительно предустановлен. Но --help по нему мне почему-то ничего не дал...
Я так и не смог из 20 запросов подать хоть один вразумительный..))

Вывод: бывают и агрессивные сети, господа.. :)
и думается, число их будет расти с ростом популярности Линукс..(см. Ubuntu bug#1)

Если так то здорово. Но сломать то ничего не смогли  :D
На то он и Линукс  ::)

 

Страница сгенерирована за 0.062 секунд. Запросов: 22.