в локалке 3 компа: 1.2 под FC6 ведёт себя тихо; 1.1 под FreeBSD 4.11 сделан прозрачным прокси и тоже работает как часы; 1.3 под WinXP творит чудеса. Постоянно идёт передача во внешнюю сеть.
На прокси tcpdump даёт следующее:
Код: Выделить всё
04:19:08.167619 192.168.1.3.2684 > 66.232.98.112.http: S 3828327767:3828327767(0
) win 64240 <mss 1460,nop,nop,sackOK> (DF)
04:19:08.190710 66.232.98.112.http > 192.168.1.3.2684: S 2028822754:2028822754(0
) ack 3828327768 win 5840 <mss 1348,nop,nop,sackOK> (DF)
04:19:08.191151 192.168.1.3.2684 > 66.232.98.112.http: . ack 1 win 64704 (DF)
04:19:08.191300 192.168.1.3.2684 > 66.232.98.112.http: P 1:253(252) ack 1 win 64
704 (DF)
04:19:08.216940 66.232.98.112.http > 192.168.1.3.2684: . ack 253 win 6432 (DF)
04:19:08.552365 66.232.98.112.http > 192.168.1.3.2684: P 1:210(209) ack 253 win
6432 (DF)
04:19:08.552851 192.168.1.3.2684 > 66.232.98.112.http: F 253:253(0) ack 210 win [code]
04:19:08.553752 66.232.98.112.http > 192.168.1.3.2684: F 210:210(0) ack 253 win
6432 (DF)
04:19:08.554146 192.168.1.3.2684 > 66.232.98.112.http: . ack 211 win 64495 (DF)
04:19:08.574102 66.232.98.112.http > 192.168.1.3.2684: . ack 254 win 6432 (DF)
04:19:08.995727 192.168.1.3.2685 > 66.232.98.112.http: S 3828547424:3828547424(0
) win 64240 <mss 1460,nop,nop,sackOK> (DF)
04:19:09.022718 66.232.98.112.http > 192.168.1.3.2685: S 2023127206:2023127206(0
) ack 3828547425 win 5840 <mss 1348,nop,nop,sackOK> (DF)
04:19:09.023091 192.168.1.3.2685 > 66.232.98.112.http: . ack 1 win 64704 (DF)
04:19:09.023219 192.168.1.3.2685 > 66.232.98.112.http: P 1:201(200) ack 1 win 64
704 (DF)[/code]
Жаль, но пока для меня это тёмный лес. Примерно предполагаю, что ACK - запрос на подключение (может не прав) вижу, что подключается по 80 порту (по логу - http)
далее, пообщавшись с этим 66.232.98.112, идёт следующее:
Код: Выделить всё
04:19:11.195772 192.168.1.3.2687 > 216.129.98.150.smtp: S 3829130883:3829130883(
0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
04:19:11.197135 192.168.1.3.2688 > 216.129.98.150.smtp: S 3829190827:3829190827(
0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
04:19:11.198425 192.168.1.3.2689 > 216.129.98.150.smtp: S 3829247919:3829247919(
0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
04:19:11.199765 192.168.1.3.2690 > 216.129.98.150.smtp: S 3829315022:3829315022(
0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
04:19:11.203405 192.168.1.3.2691 > 216.129.98.150.smtp: S 3829360912:3829360912(
0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
04:19:11.745842 192.168.1.3.2685 > 66.232.98.112.http: F 201:201(0) ack 349 win
64357 (DF)
Виндовый netstat подтверждает наличие и попутную организацию одновременно около 5-15 подключений, попутно сообщая, что PID процесса = explorer.exe
Подскажите, как эту спамерскую падлу выловить (наверное это в форум по винде надо, но может кто сталкивался).
И как _правильно_ запретить smtp подключения (юзая ipfw), НЕ убив при этом почтовый клиент на WinXP машине?
Заранее благодарен за помощь.