|
|
|
|
|
Всем привет. Создавал я как-то темку, потом удалил, вот теперь решил еще раз спросить. У меня такая проблема, пришло от провайдера письмо, уже не в первый раз, что с нашего ip адреса(в фирме где я работаю) происходит рассылка хттп флуда. Проверил все компы на вирусы, думал что справился с проблемой, а вчера опять пришло письмо от админов, с подпиской, что если не разберемся в чем проблема, то откл нах инет  Вот сижу репу чешу, что же придумать. На серваке пробую tcpdump - ом просмотреть, но пока ничего опасного не увидел. Было бы наверное правильней настроить прокси на серваке и повесить на него все нужные сетевые клиентские программы, но у меня стоит netams для учета трафа, и народ пишет что он вроде нестабильно счетает траф через прокси. Вообщем хелп, что еще придумать? |
|
|
|
|
|
только я вот еще не пойму как они(провайдерские админы) могут определить что допустим прет спам по 80 порту? к примеру я качаю какую нить херню по http, какждую секунду отправляю и принимаю по несколько запросов, если качает несколько человек в сети то уже получается что запросов этих будет в несколько раз больше в секунду с 1 ip. Как админы могут определить где спам а где нет? какие-то хитрые заголовки пакетов? по дневному трафу у меня все ок, не каких превышений нет. Они говорят что колличество одновременных сессий подозрительно большое, нублин если 40 машин например, стоят атообновление антивирусов и пр. программ, ясин пень сессий дохера будет, а если еще и качают и серфят и т.п. Может наепывают меня ?  Логи не показывают, говорят что не сохраняют... |
|
|
|
|
|
| Логи они хранить должны, иначе как они в суде будут объяснять, почему вас отключили? |
|
|
|
|
|
А ты пошли их в жопу и попроси описать "проблему" подробнее, и почему эта проблема - проблема.
Мне тут дома тырнет выключали.
Звоню:
- чозанах?
- а вы спам рассылаете! Проверяйтесь на вирусы!
Я, конечно, удивляюсь, но базы обновляю - ничего не нахожу.
Звоню и сообщаю о решении проблемы. Тырнет включают.
И только спустя сутки понимаю, что у меня 25 порт расшарен для торрентов. Провайдер видит гигабайты трафика с/на 25 порт и начинает думать, что у меня открытый рилэй .-)))
А 25 порт я стал использовать потому что этот же самый провайдер всякие "левые" порты позакрывал. |
|
|
|
|
|
эх бля, отключили меня  Поставил вечером на запись в файл tcpdump, пока инет работал, потом когда отключили стал разбираться, вроде нашел больной комп с которого беспрерывно посылались пакеты сразу на 3 разных ip, проверил его еще раз на вирусы, но ничего не нашел, попробую с утра завтра проверить несколькими другими антивирами... и ведь сука как закон подлости у генерального 
| Цитата: |
| Провайдер видит гигабайты трафика с/на 25 порт и начинает думать, что у меня открытый рилэй .-)))
|
дык еслиб гигабайты или еще что, тут за день получается по http всреднем вход/исход 400/50, тоесть это по сравнению с предыдущими месяцами/днями норма, мне просто интересно с чего они решили что флуд рассылается? по каким признакам?
| Оффтоп: |
|
я знаю здесь сидят продвинутые админчики... не прячьтесь
|
|
|
|
|
|
|
выход в инет через свич+модем или сервер+модем?
если последнее то в чем проблема запретить в фаеровле лубую активность к даным айпи, еще вариант поснифай передачу, посмотри что конкретно передаеться, возможно увидешь бота если оный там сидит. поройся в проwесах, левых службах(думаю если пароль к компу генерального знаешь(тыже там админ или кто?) то зайди удалено через RDC что б он не думал что ты хреновый админ и пропустил ему заразу). решения есть но надо пробывать а антивирям я в последнее время вообще не доверяю(кроме того что они там что то сканируют загружая проц работой пользы от них не ощутил никакой). в др.веба скачай куреит и проскань систему, если зараза примитивна то он ее найдет с вероятностью 95%.
если не поможет стучи в аську/личку  |
|
|
|
|
|
| Gidz писал(а): |
|
эх бля, отключили меня
|
Зря ты это воспринимаешь как должное. Считаю, имеешь полное право потребовать у провайдера объяснений: что за хуйня "хттп-флуд"? Объясните по-русски: что не понравилось. Когда, на какой адрес, что ушло и с какого хрена провайдер решил что этому нельзя туда ходить. |
|
|
|
|
|
Согласен с brush, это не твоя проблема. Пусть спеца пришлют с "супер-антивирем", если установленные антивирусники не справляются. Но дело даже не в этом. Пусть доказательства предъявят, иначе на каком основании отключили.
Мне раньше какие то пакеты подозрительные шли с диапазана провайдера и прочая дрянь, так я их ..., а не они меня. |
|
|
|
|
|
как-то маловато 3 ip... Обычно уже если флуд, то флуд - на сотни ip.
Я обычно использую для детектирования сначала avz, потом CureIt, потом копаюсь ручками на предмет измененных по дате файлов, потом уже могут идти в ход специфичные софтины типа SuperAntispyware, SpyBot S&D и т.д.
Правда, один раз залез довольно хитрый троян, которого не брали вышеперечисленные софтины... Справился каспер.  Изначально стоял McAfee.
PS: почему у меня репа в ноль упала? |
|
|
|
|
|
Буду звонить сейчас разбираться... а написали та как:
Интенсивность DoS-атаки возросла, доступ в сеть Интернет для клиента
полностью блокируется.
какая в задницу дос атака |
|
|
|
|
|
| adamant писал(а): |
|
(тыже там админ или кто?)
|
для меня админ это бородатый дядька, способный силой мысли и различными голосовыми командами выполнять роль маршрутизатора и управлять эвм на расстоянии ака бородатый вайфай А я лишь неопытный эникейщик....
короче инет мне включили, ругаться с ними не хочу пока, буду смотреть как дальше пойдет, всем спасибо! |
|
|
|
|
|
|
|
|
