Перейти к содержимому
Калькуляторы

Смена части мак адреса 5 раз в секунду и более. Что это, вирус, вредоносное по или новая пандемия.

Происходит подобное:

895 2009-11-13, 21:16:19 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-23-D9>, Port<9>)

894 2009-11-13, 21:16:17 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-8F-93>, Port<9>)

893 2009-11-13, 21:16:17 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-46-92>, Port<9>)

892 2009-11-13, 21:16:17 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-E4-40>, Port<9>)

891 2009-11-13, 21:16:16 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-4C-46>, Port<9>)

890 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-1F-54>, Port<9>)

889 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-D3-01>, Port<9>)

888 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-8D-BD>, Port<9>)

887 2009-11-13, 21:16:02 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-8A-F3>, Port<9>)

886 2009-11-13, 21:16:01 Unauthenticated IP-MAC address and discarded by ip mac port binding(IP:<10.5.0.72>, MAC:<00-1D-92-74-21-AD>, Port<9>)

 

1) Смена происходит так что у абонента в тот момент всё идеально работает и по старой связке ип + мак абонент доступен, а коммутатор блокирует только новую связку, выходит какбы данные адреса виртуальные и висят на том же устройстве.

2) В течении одной секунды может быть 5 и более смен мак адресов.

3) Пк абонента ради эксперимента проверенно почти всеми доступными антивирусами (нод, каспер, аваст, утилита от вебера керит, авира и прочие) результат один нет никакой заразы.

4) Данная проблема также загадочно исчезает как и появляется.

5) Из замеченного несколько таких абонентов на одном неуправляемом коммутаторе и он зависает напроч, если быть точным то всё же работает но пропускает примерно 1пинг из 100 и то не ковсем абонентам, избирательность ккому пропускать тот один из 100, а кому нет так и не ясна. Но вышестоящий управляемый коммутатор видит все ип и мак адреса за умершей мыльницей, ходя ни один из адресов не доступны(Предположительно изза переполнения мак таблицы в мыльнице)Коммутатору не легчает до перезагрузки по питанию.

6) В день прибавляется примерно по одному такому абоненту.

7) Хочу отметить, мы не первый провайдер у кого начали появятся подобные случаи

8) У кого какие мысли что это такое?

Изменено пользователем SIM-SIM

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пк абонента ради эксперимента проверенно почти всеми доступными антивирусами (нод, каспер, аваст, утилита от вебера керит, авира и прочие) результат один нет никакой заразы
Т.е. комп на предмет наличия хлама практически не исследовался.

Во время обследования Вашими людьми (т.е. при них) инцидент хоть раз проявлялся?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В том то и дело что появлялся но время появления и продолжительность данного глюка настолько не предсказуема что подловит момент в который это происходит пока не удалось, сейчас 3 таких абонента ещё вчера было 2, вот наткнулся тоже на человека с такой проблемой смотреть тут Не зная причины и того как её устранить сложно что либо даже подсказать абоненту..........

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вытаскивать винт "больного" и сканить на ЗАВЕДОМО НЕ зараженной машине с касперским.

100% руткит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но установленное антивирусное ПО и просто утилита дрвеб керит его не видят, а возможности вытянуть винты у пользователь пока очень заоблачна, а с ростом количества зараженных станет почти нереальна

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не нужно пеарить каспера.

Когда винт вытащен - любой антивирусник найдёт вирус, если он у него в базе есть, хоть клам, хоть куреит от др веба.

 

Берёте ноут помощьнее, и внешний бокс для винта, или есть подключалки без коробки по юзби, и винт даже вытаскивать не придётся чтобы просканить на ноуте.

 

Как вариант - битая сетевушка/порт/провод.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как вариант - битая сетевушка/порт/провод.

Каждый день у нового абонента??

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если сеть большая, то вероятность увидеть мелкие-редкие аномалии возрастает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если просканить антивирем - верх возможностей спеца при расследовании подобного рода инцидентов, то должность этого спеца - эникейщик-подмастерье.

Винт снять, подключить к чистой машине (требуется, чтобы памяти у нее было прилично, гига два), загрузиться в сисинтерналовский бутовый образ, запустить с флешки AVZ и исследовать потроха пораженной системы пункт за пунктом (это если проще), или не использовать AVZ, а открыть regedit и проделать то же самое им. После чего пройтись по винту и найти все файлы с датой создания/изменения, входящей в окрестность времени, когда произошел инцидент с исследуемой машиной. Сомнительное - переложить в карантин. Затем то же самое (сомнительное) выкинуть из системных каталогов выньды (драйвера, там, корень %SYSTEM32%...) Перекладывать надо в карантин на флэшке, сопровождая оное перекладывание процессом вайпа занятого до этого файлами пространства. Неплохо еще было бы исследовать содержимое крайних 8 метров на винте (это те, которые винда своим партишнером оставляет не занятыми).

 

SIM-SIM, Ваши спецы еще в обморок не попадали?

 

Ах, да. Это всё имеет смысл, только если будет соответственно оплачено - иначе, конечно, решение другое - винт под безусловный dd if=/dev/zero of=/dev/${diskname} bs=${disk_cache_size} и переустановка винды.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

> винт под безусловный dd if=/dev/zero of=/dev/${diskname} bs=${disk_cache_size}

А не подскажете спецу - эникейщику-подмастерье :) , просто format C не поможет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Быввает до 3-4 раз в месяц такое находим. Проблема обычно чисто железная, с вирусами не связаная. Например, встречалось подключение, которое сыпало маками, где стоял роутер, пакеты по L2 от компа не пропускающий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

> винт под безусловный dd if=/dev/zero of=/dev/${diskname} bs=${disk_cache_size}

А не подскажете спецу - эникейщику-подмастерье :) , просто format C не поможет?

Не поможет, т.к. существуют методы внедрения кода в/посредством MBR.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

> винт под безусловный dd if=/dev/zero of=/dev/${diskname} bs=${disk_cache_size}

А не подскажете спецу - эникейщику-подмастерье :) , просто format C не поможет?

Не поможет, т.к. существуют методы внедрения кода в/посредством MBR.

И какой, после dd MBR? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

внимательней читайте - предлагалось format C: вместо dd

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Любопытно, наблюдаю нечто подобное и у себя в сети.

 

Интересно это выглядело на порту умного свича - мак адрес висящий в "воздухе" (при показе таблицы мак адресов небыло порта...).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вытаскивать винт "больного" и сканить на ЗАВЕДОМО НЕ зараженной машине с касперским.

100% руткит.

А не проще ли с live cd или live usb прогрузиться? Или так сложно создать/взять готовое и раздать cd/usb flash "настройщикам"? Тот же DrWeb’овский cd можно взять.
Изменено пользователем RomadinR

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я бы сначала попробовал порт в 10 мбит поставить.

Были похожие проблемы: на порту около 30-40 мак адресов "похожих". Всегда была проблема в кабельной части.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.