Утекает трафик, не могу найти дырку.

Windows 95, 98, ME и 3,11; WinNT, Win2000, WinXP, Win2003, Vista, 7
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Slider007
ефрейтор
Сообщения: 62
Зарегистрирован: 2006-08-17 13:29:08
Контактная информация:

Утекает трафик, не могу найти дырку.

Непрочитанное сообщение Slider007 » 2007-09-28 7:59:36

Вобщем ситуация такая:
Вчера один компьютер в сети начал не хило пожирать трафик, прям в реальном времени мегабайты ползут.
Перекрыл на шлюзе (FreeBSD 6.2) полностью доступ к инету для этого компьютера.
Начал разбираться.
Картина получилась такая:
Компьютер включил, пока не трогаешь, все хоккей.
Открываешь любую страницу и инете, ждешь несколько минут, и вуаля! - начинает течь трафик.
Утилита tcpview показывает примерно следующее:

Код: Выделить всё

<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3179	ns1.masterhost.ru:http	SYN_SENT	
<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3180	ns1.masterhost.ru:http	SYN_SENT	
<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3181	ns1.masterhost.ru:http	SYN_SENT	
<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3182	ns2.masterhost.ru:http	SYN_SENT	
<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3183	ns2.masterhost.ru:http	SYN_SENT	
<non-existent>:1708	TCP	tabatchikova.siberianreestr.local:3184	ns2.masterhost.ru:http	SYN_SENT

Код: Выделить всё

<non-existent>:1708	TCP	192.168.60.30:3170	217.16.22.30:80	SYN_SENT	
<non-existent>:1708	TCP	192.168.60.30:3171	217.16.22.30:80	SYN_SENT	
<non-existent>:1708	TCP	192.168.60.30:3172	217.16.22.30:80	SYN_SENT	
<non-existent>:1708	TCP	127.0.0.1:3175	127.0.0.1:80	SYN_SENT	
<non-existent>:1708	TCP	127.0.0.1:3173	127.0.0.1:80	SYN_SENT	
<non-existent>:1708	TCP	127.0.0.1:3174	127.0.0.1:80	SYN_SENT	
<non-existent>:1708	TCP	192.168.60.30:3178	217.16.20.30:80	SYN_SENT	
<non-existent>:1708	TCP	192.168.60.30:3176	217.16.20.30:80	SYN_SENT	
<non-existent>:1708	TCP	192.168.60.30:3177	217.16.20.30:80	SYN_SENT

т.е. планомерно ломится ..

ipfw на шлюзе в это время в логи пишет вот что:

Код: Выделить всё

Sep 28 11:28:55 bsdgate kernel: ipfw: 1590 Deny TCP 192.168.60.30:1404 217.16.20.30:80 in via fxp1
Sep 28 11:29:01 bsdgate kernel: ipfw: 1590 Deny TCP 192.168.60.30:1402 217.16.20.30:80 in via fxp1
Sep 28 11:29:01 bsdgate kernel: ipfw: 1590 Deny TCP 192.168.60.30:1403 217.16.20.30:80 in via fxp1
Под <non-existent> если посмотреть Process Property скрывается svchost.exe
С помощью ProcessExplorer смотрел чего там svchost запускает, вроде ничего криминального.

Причем вчера этот же компьютер так же ломился на некий ip 81.177.23.68

А неделей раньше ещё один компьютер сожрал тоже прилично трафика с ip 213.180.199.24 (там стояла программа nod32view (обновлялка баз антивирусных), и я так понял по средством её каким-то образом всё и происходило, т.к. squid показал трафик с сайта http://nodview.narod.ru/). Но там всё прекратилось после выключения nod32view и перезагузки компьютера. Связаны или не всязаны эти 2 случая судить сложно, т.к. детально тогда не разобрался в чем было дело :(

Кто-нибудь с таким сталкивался ? Может вирус какой-то новый ? Проверял комп с помощью nod32, Dr.Web CureIT, clrav.com от Касперского. Ничего не находится.

Помогите плиз разобраться, а то уже мысли иссякли, куда ещё копать :(...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: Утекает трафик, не могу найти дырку.

Непрочитанное сообщение -cat- » 2007-09-28 8:38:27

Судя по логам IPFW лезет что-то в обход SQUID-a, значит надо посмотреть
1. Какие расширения, дополнения установлены в браузере.
2. С помощью того-же Autoruns от Systernals (Microsoft уже) посмотреть что за процессы стартуют при загрузке.
3. Посмотреть с помощью AVZ4 все системные сервисы, открытые порты, да и вообще все что он покажет, по сингатуре он определит чужого.

А так "телепаты заняты работой" - Lissyara.

К тому, что если приводишь логи IPFW неплохо давать его листинг.

Slider007
ефрейтор
Сообщения: 62
Зарегистрирован: 2006-08-17 13:29:08
Контактная информация:

Re: Утекает трафик, не могу найти дырку.

Непрочитанное сообщение Slider007 » 2007-09-28 11:12:20

Спасибо большое за наводку - AVZ4 выловил и обезвредил гада !
Резюма - nod32 и Dr.Web не рулят :(.

FireWall
ефрейтор
Сообщения: 58
Зарегистрирован: 2007-09-04 8:59:50

Re: Утекает трафик, не могу найти дырку.

Непрочитанное сообщение FireWall » 2007-09-28 11:14:34

еще глянь список потоков

Tah
рядовой
Сообщения: 23
Зарегистрирован: 2007-04-01 16:01:54
Откуда: Kharkov

Re: Утекает трафик, не могу найти дырку.

Непрочитанное сообщение Tah » 2007-10-06 5:03:21

Slider007 писал(а):Спасибо большое за наводку - AVZ4 выловил и обезвредил гада !
Резюма - nod32 и Dr.Web не рулят :(.
ну тут я бы немного поспорил :-)
НОД бывает двух типов - платный и бесплатный.. так вот тот который с ключем - ему приходят все обновления, а бесплатный - ему могут задержать обновление баз(это оффициально у них на сайте отписано) + нет обновления ядра..
вебер - куреит :-)
обычно при появлении в базах сигнатур нового вируса в одном из антивирусников, остальные производители эти сигнатуры максимум часов через з 10-ть получают :-)
енто по наблюдениям :-)

wed
рядовой
Сообщения: 20
Зарегистрирован: 2007-10-26 8:26:08

Re: Утекает трафик, не могу найти дырку.

Непрочитанное сообщение wed » 2007-11-09 17:03:47

а то что у меня на рабочем столе полгода валялся троян-вирус который нод так и не увидел? доктор веб сразу просек... все равно юзаю нод но тем не менее...
абыдно стало панымаешь...

INFected
мл. сержант
Сообщения: 115
Зарегистрирован: 2007-10-26 0:36:22
Откуда: .UA
Контактная информация:

Re: Утекает трафик, не могу найти дырку.

Непрочитанное сообщение INFected » 2007-11-18 5:43:43

wed писал(а):а то что у меня на рабочем столе полгода валялся троян-вирус который нод так и не увидел? доктор веб сразу просек... все равно юзаю нод но тем не менее...
абыдно стало панымаешь...
На рабочем столе???? :)
А вообще для борбы с вирусами нужен комплексный подход. )

wed
рядовой
Сообщения: 20
Зарегистрирован: 2007-10-26 8:26:08

Re: Утекает трафик, не могу найти дырку.

Непрочитанное сообщение wed » 2007-11-18 9:03:38

на рабочем столе. ну вирус-троян, запускаешь он все пароли нагло ворует и пересылает создателю=) комплексный подход это хорошо... вот только люди ленивы и я в том числе=) я и нод-то выбрал больше потому что его обновлять несложно.... не5 надо парится с кряками и прочим. да и в качестве монитора он немного ест

Аватара пользователя
gonzo111
лейтенант
Сообщения: 648
Зарегистрирован: 2007-11-15 16:32:33
Откуда: China
Контактная информация:

Re: Утекает трафик, не могу найти дырку.

Непрочитанное сообщение gonzo111 » 2008-03-31 15:48:12

нод надо юзать в связке с adaware и adwatch
что с трафиком творится в винде помогает увидеть netlimiter
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru