[shoorickello]

Обратился клиент с жалобой на большое количество трафика (73 ГБ исходящего, 6 ГБ входящего) за 3-4 часа. В детальной статистике видно следующее (кусочек, протокол TCP):

 

timestamp account_id source destination t_class packets bytes sport dport date
1237881768 1348 x.x.x.x 174.36.130.129 20 12206 12840712 4032 17108 Tue Mar 24 11:02:48 2009
1237883563 1348 x.x.x.x 174.36.130.129 20 14400 15148800 4032 17108 Tue Mar 24 11:32:43 2009
1237877880 1348 x.x.x.x 174.36.130.129 20 16569 17430588 4032 17108 Tue Mar 24 09:58:00 2009
1237906281 1348 212.164.71.31 x.x.x.x 14 12506 18749048 80 4046 Tue Mar 24 17:51:21 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115076 121059952 3933 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115084 121068368 3978 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115085 121069420 3946 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115085 121069420 3990 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115086 121070472 3940 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115086 121070472 3992 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115087 121071524 3936 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115087 121071524 3950 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115087 121071524 4000 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115087 121071524 4002 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115088 121072576 3941 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115088 121072576 3949 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115088 121072576 3994 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115089 121073628 3938 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115090 121074680 3955 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115090 121074680 3961 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115090 121074680 4004 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115091 121075732 3935 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115091 121075732 3942 17108 Tue Mar 24 13:27:14 2009
1237890434 1348 x.x.x.x 174.36.130.129 20 115091 121075732 3951 17108 Tue Mar 24 13:27:14 2009

 

Что это может быть такое? Что за такой гигантский трафик? На спам не похоже, на кидалово клиента на трафик тоже не очень похоже (мы не тарифицируем исходящий трафик).

 

Телнет на этот порт - как чёрная дыра, реакции никакой нет на стандартные HTTP/1.0 запросы, например. Гугль по поводу и айпи, и порта молчит.

[Nafanya]

торрент?

[shoorickello]

Возможно... Но клиент утверждает, что подключение используется только для WiFi-коммуникаторов для связи с БД торговой организации и всё это у него строго контролируется.

И подобных записей с разным кол-вом байт 35 тыс.

Поэтому склоняюсь к чему-нибудь вирусному.

[Nafanya]

destination это похоже дедик где-то в техасе, может и троянчег...

[azhur]

Гугл нашел упоминание у китайцев: http://www.6one.net/server1.htm

Или с переводом: http://translate.google.ru/translate?hl=ru...net/server1.htm

Как я понял, на этом адресе сервер чего-то для "После легендарного Чуана Район 1" :)

[gfsergey]

Похоже потеренный сегмент ботнета ищет хозяина.

ИМХО зараженные линух-роутеры

 

Порекомендуйте клиенту обновить прошивки и сменть дефолтовые паролию

[mr.Scamp]

Мне это больше напоминает какую-то онлайн-игру типа MMORPG с клиентской частью.

[mousus]

да всё проще на само деле, у клиента сидит ddos бот, который в несколько потоков долбит сином цель в порт, пакетики маленькие, и идут их тонны, потому и траф такой немерянный, скорее всего бот свежий, и антивирусом еще не видится

Изменено 31 марта, 2009 пользователем mousus