Jump to content
Калькуляторы

Смена части мак адреса 5 раз в секунду и более. Что это, вирус, вредоносное по или новая пандемия.

Происходит подобное:

895 2009-11-13, 21:16:19 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-23-D9>, Port<9>)

894 2009-11-13, 21:16:17 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-8F-93>, Port<9>)

893 2009-11-13, 21:16:17 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-46-92>, Port<9>)

892 2009-11-13, 21:16:17 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-E4-40>, Port<9>)

891 2009-11-13, 21:16:16 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-4C-46>, Port<9>)

890 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-1F-54>, Port<9>)

889 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-D3-01>, Port<9>)

888 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-8D-BD>, Port<9>)

887 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-8A-F3>, Port<9>)

886 2009-11-13, 21:16:01 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-21-AD>, Port<9>)

 

1) Смена происходит так что у абонента в тот момент всё идеально работает и по старой связке ип + мак абонент доступен, а коммутатор блокирует только новую связку, выходит какбы данные адреса виртуальные и висят на том же устройстве.

2) В течении одной секунды может быть 5 и более смен мак адресов.

3) Пк абонента ради эксперимента проверенно почти всеми доступными антивирусами (нод, каспер, аваст, утилита от вебера керит, авира и прочие) результат один нет никакой заразы.

4) Данная проблема также загадочно исчезает как и появляется.

5) Из замеченного несколько таких абонентов на одном неуправляемом коммутаторе и он зависает напроч, если быть точным то всё же работает но пропускает примерно 1пинг из 100 и то не ковсем абонентам, избирательность ккому пропускать тот один из 100, а кому нет так и не ясна. Но вышестоящий управляемый коммутатор видит все ип и мак адреса за умершей мыльницей, ходя ни один из адресов не доступны(Предположительно изза переполнения мак таблицы в мыльнице)Коммутатору не легчает до перезагрузки по питанию.

6) В день прибавляется примерно по одному такому абоненту.

7) Хочу отметить, мы не первый провайдер у кого начали появятся подобные случаи

8) У кого какие мысли что это такое?

Edited by SIM-SIM

Share this post


Link to post
Share on other sites
Пк абонента ради эксперимента проверенно почти всеми доступными антивирусами (нод, каспер, аваст, утилита от вебера керит, авира и прочие) результат один нет никакой заразы
Т.е. комп на предмет наличия хлама практически не исследовался.

Во время обследования Вашими людьми (т.е. при них) инцидент хоть раз проявлялся?

 

Share this post


Link to post
Share on other sites

В том то и дело что появлялся но время появления и продолжительность данного глюка настолько не предсказуема что подловит момент в который это происходит пока не удалось, сейчас 3 таких абонента ещё вчера было 2, вот наткнулся тоже на человека с такой проблемой смотреть тут Не зная причины и того как её устранить сложно что либо даже подсказать абоненту..........

Share this post


Link to post
Share on other sites

Вытаскивать винт "больного" и сканить на ЗАВЕДОМО НЕ зараженной машине с касперским.

100% руткит.

Share this post


Link to post
Share on other sites

Но установленное антивирусное ПО и просто утилита дрвеб керит его не видят, а возможности вытянуть винты у пользователь пока очень заоблачна, а с ростом количества зараженных станет почти нереальна

Share this post


Link to post
Share on other sites

Не нужно пеарить каспера.

Когда винт вытащен - любой антивирусник найдёт вирус, если он у него в базе есть, хоть клам, хоть куреит от др веба.

 

Берёте ноут помощьнее, и внешний бокс для винта, или есть подключалки без коробки по юзби, и винт даже вытаскивать не придётся чтобы просканить на ноуте.

 

Как вариант - битая сетевушка/порт/провод.

Share this post


Link to post
Share on other sites

Как вариант - битая сетевушка/порт/провод.

Каждый день у нового абонента??

Share this post


Link to post
Share on other sites

Если сеть большая, то вероятность увидеть мелкие-редкие аномалии возрастает.

Share this post


Link to post
Share on other sites

Если просканить антивирем - верх возможностей спеца при расследовании подобного рода инцидентов, то должность этого спеца - эникейщик-подмастерье.

Винт снять, подключить к чистой машине (требуется, чтобы памяти у нее было прилично, гига два), загрузиться в сисинтерналовский бутовый образ, запустить с флешки AVZ и исследовать потроха пораженной системы пункт за пунктом (это если проще), или не использовать AVZ, а открыть regedit и проделать то же самое им. После чего пройтись по винту и найти все файлы с датой создания/изменения, входящей в окрестность времени, когда произошел инцидент с исследуемой машиной. Сомнительное - переложить в карантин. Затем то же самое (сомнительное) выкинуть из системных каталогов выньды (драйвера, там, корень %SYSTEM32%...) Перекладывать надо в карантин на флэшке, сопровождая оное перекладывание процессом вайпа занятого до этого файлами пространства. Неплохо еще было бы исследовать содержимое крайних 8 метров на винте (это те, которые винда своим партишнером оставляет не занятыми).

 

SIM-SIM, Ваши спецы еще в обморок не попадали?

 

Ах, да. Это всё имеет смысл, только если будет соответственно оплачено - иначе, конечно, решение другое - винт под безусловный dd if=/dev/zero of=/dev/${diskname} bs=${disk_cache_size} и переустановка винды.

Share this post


Link to post
Share on other sites

> винт под безусловный dd if=/dev/zero of=/dev/${diskname} bs=${disk_cache_size}

А не подскажете спецу - эникейщику-подмастерье :) , просто format C не поможет?

Share this post


Link to post
Share on other sites

Быввает до 3-4 раз в месяц такое находим. Проблема обычно чисто железная, с вирусами не связаная. Например, встречалось подключение, которое сыпало маками, где стоял роутер, пакеты по L2 от компа не пропускающий.

Share this post


Link to post
Share on other sites
> винт под безусловный dd if=/dev/zero of=/dev/${diskname} bs=${disk_cache_size}

А не подскажете спецу - эникейщику-подмастерье :) , просто format C не поможет?

Не поможет, т.к. существуют методы внедрения кода в/посредством MBR.

Share this post


Link to post
Share on other sites
> винт под безусловный dd if=/dev/zero of=/dev/${diskname} bs=${disk_cache_size}

А не подскажете спецу - эникейщику-подмастерье :) , просто format C не поможет?

Не поможет, т.к. существуют методы внедрения кода в/посредством MBR.

И какой, после dd MBR? :)

Share this post


Link to post
Share on other sites

Любопытно, наблюдаю нечто подобное и у себя в сети.

 

Интересно это выглядело на порту умного свича - мак адрес висящий в "воздухе" (при показе таблицы мак адресов небыло порта...).

 

Share this post


Link to post
Share on other sites
Вытаскивать винт "больного" и сканить на ЗАВЕДОМО НЕ зараженной машине с касперским.

100% руткит.

А не проще ли с live cd или live usb прогрузиться? Или так сложно создать/взять готовое и раздать cd/usb flash "настройщикам"? Тот же DrWeb’овский cd можно взять.
Edited by RomadinR

Share this post


Link to post
Share on other sites

Я бы сначала попробовал порт в 10 мбит поставить.

Были похожие проблемы: на порту около 30-40 мак адресов "похожих". Всегда была проблема в кабельной части.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this