forum.lissyara.su

Добавлено: **2007-09-28 7:59:36**

Вобщем ситуация такая:
Вчера один компьютер в сети начал не хило пожирать трафик, прям в реальном времени мегабайты ползут.
Перекрыл на шлюзе (FreeBSD 6.2) полностью доступ к инету для этого компьютера.
Начал разбираться.
Картина получилась такая:
Компьютер включил, пока не трогаешь, все хоккей.
Открываешь любую страницу и инете, ждешь несколько минут, и вуаля! - начинает течь трафик.
Утилита tcpview показывает примерно следующее:

Код: Выделить всё

<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3179	ns1.masterhost.ru:http	SYN_SENT	
<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3180	ns1.masterhost.ru:http	SYN_SENT	
<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3181	ns1.masterhost.ru:http	SYN_SENT	
<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3182	ns2.masterhost.ru:http	SYN_SENT	
<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3183	ns2.masterhost.ru:http	SYN_SENT	
<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3184	ns2.masterhost.ru:http	SYN_SENT

Код: Выделить всё

<non-existent>:1708	TCP	192.168.60.30:3170	217.16.22.30:80	SYN_SENT	
<non-existent>:1708	TCP	192.168.60.30:3171	217.16.22.30:80	SYN_SENT	
<non-existent>:1708	TCP	192.168.60.30:3172	217.16.22.30:80	SYN_SENT	
<non-existent>:1708	TCP	127.0.0.1:3175	127.0.0.1:80	SYN_SENT	
<non-existent>:1708	TCP	127.0.0.1:3173	127.0.0.1:80	SYN_SENT	
<non-existent>:1708	TCP	127.0.0.1:3174	127.0.0.1:80	SYN_SENT	
<non-existent>:1708	TCP	192.168.60.30:3178	217.16.20.30:80	SYN_SENT	
<non-existent>:1708	TCP	192.168.60.30:3176	217.16.20.30:80	SYN_SENT	
<non-existent>:1708	TCP	192.168.60.30:3177	217.16.20.30:80	SYN_SENT

т.е. планомерно ломится ..

ipfw на шлюзе в это время в логи пишет вот что:

Код: Выделить всё

Sep 28 11:28:55 bsdgate kernel: ipfw: 1590 Deny TCP 192.168.60.30:1404 217.16.20.30:80 in via fxp1
Sep 28 11:29:01 bsdgate kernel: ipfw: 1590 Deny TCP 192.168.60.30:1402 217.16.20.30:80 in via fxp1
Sep 28 11:29:01 bsdgate kernel: ipfw: 1590 Deny TCP 192.168.60.30:1403 217.16.20.30:80 in via fxp1

Под <non-existent> если посмотреть Process Property скрывается svchost.exe
С помощью ProcessExplorer смотрел чего там svchost запускает, вроде ничего криминального.

Причем вчера этот же компьютер так же ломился на некий ip 81.177.23.68

А неделей раньше ещё один компьютер сожрал тоже прилично трафика с ip 213.180.199.24 (там стояла программа nod32view (обновлялка баз антивирусных), и я так понял по средством её каким-то образом всё и происходило, т.к. squid показал трафик с сайта http://nodview.narod.ru/). Но там всё прекратилось после выключения nod32view и перезагузки компьютера. Связаны или не всязаны эти 2 случая судить сложно, т.к. детально тогда не разобрался в чем было дело

Кто-нибудь с таким сталкивался ? Может вирус какой-то новый ? Проверял комп с помощью nod32, Dr.Web CureIT, clrav.com от Касперского. Ничего не находится.

Помогите плиз разобраться, а то уже мысли иссякли, куда ещё копать

...

Добавлено: **2007-09-28 8:38:27**

Судя по логам IPFW лезет что-то в обход SQUID-a, значит надо посмотреть
1. Какие расширения, дополнения установлены в браузере.
2. С помощью того-же Autoruns от Systernals (Microsoft уже) посмотреть что за процессы стартуют при загрузке.
3. Посмотреть с помощью AVZ4 все системные сервисы, открытые порты, да и вообще все что он покажет, по сингатуре он определит чужого.

А так "телепаты заняты работой" - Lissyara.

К тому, что если приводишь логи IPFW неплохо давать его листинг.

Добавлено: **2007-09-28 11:12:20**

Спасибо большое за наводку - AVZ4 выловил и обезвредил гада !
Резюма - nod32 и Dr.Web не рулят

.

Добавлено: **2007-09-28 11:14:34**

еще глянь список потоков

Добавлено: **2007-10-06 5:03:21**

Slider007 писал(а):Спасибо большое за наводку - AVZ4 выловил и обезвредил гада !
Резюма - nod32 и Dr.Web не рулят .

ну тут я бы немного поспорил :-)
НОД бывает двух типов - платный и бесплатный.. так вот тот который с ключем - ему приходят все обновления, а бесплатный - ему могут задержать обновление баз(это оффициально у них на сайте отписано) + нет обновления ядра..
вебер - куреит :-)
обычно при появлении в базах сигнатур нового вируса в одном из антивирусников, остальные производители эти сигнатуры максимум часов через з 10-ть получают :-)
енто по наблюдениям :-)

Добавлено: **2007-11-09 17:03:47**

а то что у меня на рабочем столе полгода валялся троян-вирус который нод так и не увидел? доктор веб сразу просек... все равно юзаю нод но тем не менее...
абыдно стало панымаешь...

Добавлено: **2007-11-18 5:43:43**

wed писал(а):а то что у меня на рабочем столе полгода валялся троян-вирус который нод так и не увидел? доктор веб сразу просек... все равно юзаю нод но тем не менее...
абыдно стало панымаешь...

На рабочем столе????

А вообще для борбы с вирусами нужен комплексный подход. )

Добавлено: **2007-11-18 9:03:38**

на рабочем столе. ну вирус-троян, запускаешь он все пароли нагло ворует и пересылает создателю=) комплексный подход это хорошо... вот только люди ленивы и я в том числе=) я и нод-то выбрал больше потому что его обновлять несложно.... не5 надо парится с кряками и прочим. да и в качестве монитора он немного ест

Добавлено: **2008-03-31 15:48:12**

нод надо юзать в связке с adaware и adwatch
что с трафиком творится в винде помогает увидеть netlimiter

forum.lissyara.su

Утекает трафик, не могу найти дырку.

Утекает трафик, не могу найти дырку.

Re: Утекает трафик, не могу найти дырку.

Re: Утекает трафик, не могу найти дырку.

Re: Утекает трафик, не могу найти дырку.

Re: Утекает трафик, не могу найти дырку.

Re: Утекает трафик, не могу найти дырку.

Re: Утекает трафик, не могу найти дырку.

Re: Утекает трафик, не могу найти дырку.

Re: Утекает трафик, не могу найти дырку.