SIM-SIM Опубликовано 13 ноября, 2009 (изменено) · Жалоба Происходит подобное: 895 2009-11-13, 21:16:19 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-23-D9>, Port<9>) 894 2009-11-13, 21:16:17 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-8F-93>, Port<9>) 893 2009-11-13, 21:16:17 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-46-92>, Port<9>) 892 2009-11-13, 21:16:17 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-E4-40>, Port<9>) 891 2009-11-13, 21:16:16 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-4C-46>, Port<9>) 890 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-1F-54>, Port<9>) 889 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-D3-01>, Port<9>) 888 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-8D-BD>, Port<9>) 887 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-8A-F3>, Port<9>) 886 2009-11-13, 21:16:01 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-21-AD>, Port<9>) 1) Смена происходит так что у абонента в тот момент всё идеально работает и по старой связке ип + мак абонент доступен, а коммутатор блокирует только новую связку, выходит какбы данные адреса виртуальные и висят на том же устройстве. 2) В течении одной секунды может быть 5 и более смен мак адресов. 3) Пк абонента ради эксперимента проверенно почти всеми доступными антивирусами (нод, каспер, аваст, утилита от вебера керит, авира и прочие) результат один нет никакой заразы. 4) Данная проблема также загадочно исчезает как и появляется. 5) Из замеченного несколько таких абонентов на одном неуправляемом коммутаторе и он зависает напроч, если быть точным то всё же работает но пропускает примерно 1пинг из 100 и то не ковсем абонентам, избирательность ккому пропускать тот один из 100, а кому нет так и не ясна. Но вышестоящий управляемый коммутатор видит все ип и мак адреса за умершей мыльницей, ходя ни один из адресов не доступны(Предположительно изза переполнения мак таблицы в мыльнице)Коммутатору не легчает до перезагрузки по питанию. 6) В день прибавляется примерно по одному такому абоненту. 7) Хочу отметить, мы не первый провайдер у кого начали появятся подобные случаи 8) У кого какие мысли что это такое? Изменено 13 ноября, 2009 пользователем SIM-SIM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 13 ноября, 2009 · Жалоба Пк абонента ради эксперимента проверенно почти всеми доступными антивирусами (нод, каспер, аваст, утилита от вебера керит, авира и прочие) результат один нет никакой заразыТ.е. комп на предмет наличия хлама практически не исследовался.Во время обследования Вашими людьми (т.е. при них) инцидент хоть раз проявлялся? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SIM-SIM Опубликовано 13 ноября, 2009 · Жалоба В том то и дело что появлялся но время появления и продолжительность данного глюка настолько не предсказуема что подловит момент в который это происходит пока не удалось, сейчас 3 таких абонента ещё вчера было 2, вот наткнулся тоже на человека с такой проблемой смотреть тут Не зная причины и того как её устранить сложно что либо даже подсказать абоненту.......... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
itl2044 Опубликовано 13 ноября, 2009 · Жалоба Вытаскивать винт "больного" и сканить на ЗАВЕДОМО НЕ зараженной машине с касперским. 100% руткит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SIM-SIM Опубликовано 13 ноября, 2009 · Жалоба Но установленное антивирусное ПО и просто утилита дрвеб керит его не видят, а возможности вытянуть винты у пользователь пока очень заоблачна, а с ростом количества зараженных станет почти нереальна Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 14 ноября, 2009 · Жалоба Не нужно пеарить каспера. Когда винт вытащен - любой антивирусник найдёт вирус, если он у него в базе есть, хоть клам, хоть куреит от др веба. Берёте ноут помощьнее, и внешний бокс для винта, или есть подключалки без коробки по юзби, и винт даже вытаскивать не придётся чтобы просканить на ноуте. Как вариант - битая сетевушка/порт/провод. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
itl2044 Опубликовано 14 ноября, 2009 · Жалоба Как вариант - битая сетевушка/порт/провод. Каждый день у нового абонента?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 14 ноября, 2009 · Жалоба Если сеть большая, то вероятность увидеть мелкие-редкие аномалии возрастает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 15 ноября, 2009 · Жалоба Если просканить антивирем - верх возможностей спеца при расследовании подобного рода инцидентов, то должность этого спеца - эникейщик-подмастерье. Винт снять, подключить к чистой машине (требуется, чтобы памяти у нее было прилично, гига два), загрузиться в сисинтерналовский бутовый образ, запустить с флешки AVZ и исследовать потроха пораженной системы пункт за пунктом (это если проще), или не использовать AVZ, а открыть regedit и проделать то же самое им. После чего пройтись по винту и найти все файлы с датой создания/изменения, входящей в окрестность времени, когда произошел инцидент с исследуемой машиной. Сомнительное - переложить в карантин. Затем то же самое (сомнительное) выкинуть из системных каталогов выньды (драйвера, там, корень %SYSTEM32%...) Перекладывать надо в карантин на флэшке, сопровождая оное перекладывание процессом вайпа занятого до этого файлами пространства. Неплохо еще было бы исследовать содержимое крайних 8 метров на винте (это те, которые винда своим партишнером оставляет не занятыми). SIM-SIM, Ваши спецы еще в обморок не попадали? Ах, да. Это всё имеет смысл, только если будет соответственно оплачено - иначе, конечно, решение другое - винт под безусловный dd if=/dev/zero of=/dev/${diskname} bs=${disk_cache_size} и переустановка винды. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Вахмурка Опубликовано 15 ноября, 2009 · Жалоба > винт под безусловный dd if=/dev/zero of=/dev/${diskname} bs=${disk_cache_size} А не подскажете спецу - эникейщику-подмастерье :) , просто format C не поможет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Valaskor Опубликовано 15 ноября, 2009 · Жалоба Быввает до 3-4 раз в месяц такое находим. Проблема обычно чисто железная, с вирусами не связаная. Например, встречалось подключение, которое сыпало маками, где стоял роутер, пакеты по L2 от компа не пропускающий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 15 ноября, 2009 · Жалоба > винт под безусловный dd if=/dev/zero of=/dev/${diskname} bs=${disk_cache_size} А не подскажете спецу - эникейщику-подмастерье :) , просто format C не поможет? Не поможет, т.к. существуют методы внедрения кода в/посредством MBR. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 15 ноября, 2009 · Жалоба > винт под безусловный dd if=/dev/zero of=/dev/${diskname} bs=${disk_cache_size} А не подскажете спецу - эникейщику-подмастерье :) , просто format C не поможет? Не поможет, т.к. существуют методы внедрения кода в/посредством MBR. И какой, после dd MBR? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 15 ноября, 2009 · Жалоба внимательней читайте - предлагалось format C: вместо dd Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
goletsa Опубликовано 15 ноября, 2009 · Жалоба Любопытно, наблюдаю нечто подобное и у себя в сети. Интересно это выглядело на порту умного свича - мак адрес висящий в "воздухе" (при показе таблицы мак адресов небыло порта...). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RomadinR Опубликовано 16 ноября, 2009 (изменено) · Жалоба Вытаскивать винт "больного" и сканить на ЗАВЕДОМО НЕ зараженной машине с касперским.100% руткит. А не проще ли с live cd или live usb прогрузиться? Или так сложно создать/взять готовое и раздать cd/usb flash "настройщикам"? Тот же DrWeb’овский cd можно взять. Изменено 16 ноября, 2009 пользователем RomadinR Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator1983 Опубликовано 17 ноября, 2009 · Жалоба Я бы сначала попробовал порт в 10 мбит поставить. Были похожие проблемы: на порту около 30-40 мак адресов "похожих". Всегда была проблема в кабельной части. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...