Jump to content
Калькуляторы

Подскажите что делать ? Вирусы в локалке

У нас небольшая локалка на 100 клиентов, витая пара о тупые свичи. Сервер настроен на CentOS 5 версия, привязка по макам и нарезка. Сегодня на общем канале пропал интернет, посмотрели все вроде ок, но нет не идет. Позвонил провайдеру мол так и так нета нет, админ мне говорит, что мол в нашей локалке сидит вирус который долбит на какой то внешний ип и по этому они нас отрубили от нета. Типа ищите вирусные машины . Иначе вам не жить. Посоветуйте что в такой ситуации надо делать, не ходить же по всем и искать вирусы? Кто,.. что делал? Может можно какую нить утилиту прикрутить на CentOs что бы можно было засечь вирусные машины??

Заранее спасибо.

Share this post


Link to post
Share on other sites

Пусть пров скинет вам абьюзу.

В любом случае, tcpdump в зубы и ищите вредителя.

Share this post


Link to post
Share on other sites

Пусть пров скинет вам абьюзу.

В любом случае, tcpdump в зубы и ищите вредителя.

 

а iptraf не подойдет?

а то я не селен в установках новых приложений.

 

[root@zjuzjaserv3 tcpdump-4.0.0]# ./configure

checking build system type... i686-pc-linux-gnu

checking host system type... i686-pc-linux-gnu

checking for gcc... gcc

checking for C compiler default output file name... a.out

checking whether the C compiler works... yes

checking whether we are cross compiling... no

checking for suffix of executables...

checking for suffix of object files... o

checking whether we are using the GNU C compiler... yes

checking whether gcc accepts -g... yes

checking for gcc option to accept ISO C89... none needed

checking gcc version... 4

checking for inline... inline

checking for __attribute__... yes

checking how to run the C preprocessor... gcc -E

checking for grep that handles long lines and -e... /bin/grep

checking for egrep... /bin/grep -E

checking for ANSI C header files... yes

checking for sys/types.h... yes

checking for sys/stat.h... yes

checking for stdlib.h... yes

checking for string.h... yes

checking for memory.h... yes

checking for strings.h... yes

checking for inttypes.h... yes

checking for stdint.h... yes

checking for unistd.h... yes

checking fcntl.h usability... yes

checking fcntl.h presence... yes

checking for fcntl.h... yes

checking rpc/rpcent.h usability... no

checking rpc/rpcent.h presence... no

checking for rpc/rpcent.h... no

checking netdnet/dnetdb.h usability... no

checking netdnet/dnetdb.h presence... no

checking for netdnet/dnetdb.h... no

checking for net/pfvar.h... no

checking for netinet/if_ether.h... yes

checking whether time.h and sys/time.h may both be included... yes

checking Linux kernel version... 2

checking smi.h usability... no

checking smi.h presence... no

checking for smi.h... no

checking for smiInit in -lsmi... no

checking whether to enable the possibly-buggy SMB printer... yes

configure: WARNING: The SMB printer may have exploitable buffer overflows!!!

checking whether to drop root privileges by default... no

checking whether to chroot... no

checking whether to enable ipv6... no

checking for dnet_htoa declaration in netdnet/dnetdb.h... no

checking for char... yes

checking size of char... 1

checking for short... yes

checking size of short... 2

checking for int... yes

checking size of int... 4

checking for long... yes

checking size of long... 4

checking for long long... yes

checking size of long long... 8

checking for addrinfo... yes

checking for NI_MAXSERV... yes

checking for NI_NAMEREQD... yes

checking for sockaddr_storage... yes

checking for INADDRSZ... yes

checking for IN6ADDRSZ... yes

checking for RES_USE_INET6... yes

checking for res_state_ext... no

checking for nsort in res_state... no

checking for vfprintf... yes

checking for strcasecmp... yes

checking for strlcat... no

checking for strlcpy... no

checking for strdup... yes

checking for strsep... yes

checking for strftime... yes

checking for setlinebuf... yes

checking for alarm... yes

checking for vsnprintf... yes

checking for snprintf... yes

checking return type of signal handlers... void

checking for sigaction... yes

checking for library containing dnet_htoa... no

checking for main in -lrpc... no

checking for library containing getrpcbynumber... none required

checking for library containing gethostbyname... none required

checking for library containing socket... none required

checking for library containing putmsg... none required

checking for local pcap library... not found

checking for main in -lpcap... no

configure: error: see the INSTALL doc for more info

Share this post


Link to post
Share on other sites

tcpdump просит установить библиотеку , ставлю библиотеку она еще чегото хочет ............подскажите чего не хватает .............

[root@zjuzjaserv3 ~]# cd libpcap-1.0.0

[root@zjuzjaserv3 libpcap-1.0.0]# ./configure

checking build system type... i686-pc-linux-gnu

checking host system type... i686-pc-linux-gnu

checking target system type... i686-pc-linux-gnu

checking for gcc... gcc

checking for C compiler default output file name... a.out

checking whether the C compiler works... yes

checking whether we are cross compiling... no

checking for suffix of executables...

checking for suffix of object files... o

checking whether we are using the GNU C compiler... yes

checking whether gcc accepts -g... yes

checking for gcc option to accept ISO C89... none needed

checking gcc version... 4

checking for inline... inline

checking for __attribute__... yes

checking for u_int8_t using gcc... yes

checking for u_int16_t using gcc... yes

checking for u_int32_t using gcc... yes

checking for u_int64_t using gcc... yes

checking for special C compiler options needed for large files... no

checking for _FILE_OFFSET_BITS value needed for large files... 64

checking for _LARGEFILE_SOURCE value needed for large files... no

checking how to run the C preprocessor... gcc -E

checking for grep that handles long lines and -e... /bin/grep

checking for egrep... /bin/grep -E

checking for ANSI C header files... yes

checking for sys/types.h... yes

checking for sys/stat.h... yes

checking for stdlib.h... yes

checking for string.h... yes

checking for memory.h... yes

checking for strings.h... yes

checking for inttypes.h... yes

checking for stdint.h... yes

checking for unistd.h... yes

checking sys/ioccom.h usability... no

checking sys/ioccom.h presence... no

checking for sys/ioccom.h... no

checking sys/sockio.h usability... no

checking sys/sockio.h presence... no

checking for sys/sockio.h... no

checking limits.h usability... yes

checking limits.h presence... yes

checking for limits.h... yes

checking paths.h usability... yes

checking paths.h presence... yes

checking for paths.h... yes

checking for net/pfvar.h... no

checking for netinet/if_ether.h... yes

checking for ANSI ioctl definitions... yes

checking for strerror... yes

checking for strlcpy... no

checking for vsnprintf... yes

checking for snprintf... yes

checking for library containing gethostbyname... none required

checking for library containing socket... none required

checking for library containing putmsg... none required

checking for ether_hostton... yes

checking whether ether_hostton is declared... no

checking netinet/ether.h usability... yes

checking netinet/ether.h presence... yes

checking for netinet/ether.h... yes

checking whether ether_hostton is declared... yes

checking if --disable-protochain option is specified... enabled

checking packet capture type... linux

checking Linux kernel version... 2

checking for linux/wireless.h... no

checking if if_packet.h has tpacket_stats defined... yes

checking if tpacket_auxdata struct has tp_vlan_tci member... no

checking for getifaddrs... yes

checking ifaddrs.h usability... yes

checking ifaddrs.h presence... yes

checking for ifaddrs.h... yes

checking for socklen_t... yes

checking for getaddrinfo... yes

checking whether to build optimizer debugging code... no

checking whether to build parser debugging code... no

checking whether we have /proc/net/dev... yes

checking whether we have DAG API headers... no (/usr/local/include)

checking whether we have the DAG API... no

checking whether we have Septel API... no

checking for flex... no

checking for bison... no

checking for capable lex... insufficient

configure: error: Your operating system's lex is insufficient to compile

libpcap. flex is a lex replacement that has many advantages, including

being able to compile libpcap. For more information, see

http://www.gnu.org/software/flex/flex.html .

Share this post


Link to post
Share on other sites

а iptraf не подойдет?

а то я не селен в установках новых приложений.

 

[root@zjuzjaserv3 tcpdump-4.0.0]# ./configure

1) iptraf - это не сниффер, а рисователь картинок.

Если Вы не знаете, что где смотреть, то в большинстве случаев не успеете увидеть проблему.

 

2) За исключением полной экзотики, в centos все программы уже есть в виде пакетов и устанавливаются через yum.

Share this post


Link to post
Share on other sites

Мне проще за деньги найти ваших диверсантов, чем разжевывать азы линукса.

 

P.S. Мои контакты смотрите в профиле.

Share this post


Link to post
Share on other sites

Мне проще за деньги найти ваших диверсантов, чем разжевывать азы линукса.

 

P.S. Мои контакты смотрите в профиле.

tcpdump оказывается уже стоял, я просто его не заметил.

я вам напишу вечером в скайп мой ник hervrot

спасибо

Share this post


Link to post
Share on other sites

tcpdump оказывается уже стоял, я просто его не заметил.

Странно было бы, если бы его не оказалось :)

Провайдер прислал Вам текст abuse? Если да, то что в ней написано?

Почти наверняка для быстрого решения достаточно выполнить:

iptables -I FORWARD -p tcp -m multiport --dports 25,135,137,138,139,445,1433 -j DROP

iptables -I FORWARD -p udp -m multiport --dports 135,137,138,139,445,1433 -j DROP

 

В дальнейшем не блокировать 25 порт, но использовать http://sources.homelink.ru/spamblock/

 

И приучить провайдера сначала присылать абузу и давать на её рассмотрение хотя бы 12 часов.

Share this post


Link to post
Share on other sites

tcpdump оказывается уже стоял, я просто его не заметил.

Странно было бы, если бы его не оказалось :)

Провайдер прислал Вам текст abuse? Если да, то что в ней написано?

Почти наверняка для быстрого решения достаточно выполнить:

iptables -I FORWARD -p tcp -m multiport --dports 25,135,137,138,139,445,1433 -j DROP

iptables -I FORWARD -p udp -m multiport --dports 135,137,138,139,445,1433 -j DROP

 

В дальнейшем не блокировать 25 порт, но использовать http://sources.homelink.ru/spamblock/

 

И приучить провайдера сначала присылать абузу и давать на её рассмотрение хотя бы 12 часов.

 

Провайдер никому ничего присылать не будет, после того как отключили интернет я пошел в контору провайдера.

Где мне было сказано что с интернетом все в полном порядке, и с вами свяжутся в течении 24 часов.

Вечером того же дня я дозвонился в службу поддержки клиентов и мне сказали что нас отключили по томучто с нашего внешнего ип идет атакака на какойто ип который они сказать не могут, так как отключили нас не провайдер а служба контроля за сетевыми атаками типа инет полиция http://www.cert.org/. Куда шли атаки и куда они сказать не могут...........

но сказали если вы не вычистите свои компы мы так и будем вас рубить от нета.

Share this post


Link to post
Share on other sites

какие есть хорошие комманды для определения зараженных машин в сети?

tcpdump -i eth1 -l -n arp | egrep 'arp who-has' | head -2000 | awk '{ print $NF }' | sort | uniq -c | sort -n

 

ничего не показывает...........

от админа мне досталась команда $ ./mail.stat

306 192.168.8.183

как он говорил показывает машины с наибольшим коннектом.

Share this post


Link to post
Share on other sites

отключили нас не провайдер а служба контроля за сетевыми атаками типа инет полиция http://www.cert.org/. Куда шли атаки и куда они сказать не могут...........

 

Хорошо по ушам проехали. Галактическую полицию не упомянули?

 

но сказали если вы не вычистите свои компы мы так и будем вас рубить от нета.

 

Так пусть уже разберутся, они выключают инет или все-же серт.олг ?

Share this post


Link to post
Share on other sites

Я бы такого горе-провайдера послал бы нах и взял бы инет у другого. А этому - сделал "рекламу" по форумам.

Ессно, это если у вас все в порядке с договором с вашей стороны (т.е. - вы не пытаетесь перепродавать "домашние" пакеты нарушая соотв. пункт договора).

Share this post


Link to post
Share on other sites

Я бы такого горе-провайдера послал бы нах и взял бы инет у другого. А этому - сделал "рекламу" по форумам.

Ессно, это если у вас все в порядке с договором с вашей стороны (т.е. - вы не пытаетесь перепродавать "домашние" пакеты нарушая соотв. пункт договора).

Выбирать из провайдеров особо нечего ELION и Linxtelecom, у нас страна маленькая и провайдеров по пальцам можно пересчитать, в нашем месте есть только один ELION у которого есть канал 100 на 100 мегобит.

И то оптический конец в восьми километров от нас,. пришлось кидать радио мост на 8 км. Вот так и живем, и договор у нас не бизнес а клиентский, бизнес каналы есть только в Таллинне Linxtelecom, и цены на эти каналы не детские.

Edited by fasttoomas

Share this post


Link to post
Share on other sites

Наймите админа и/или нокера, чтоб он разгребал ваши проблемы с сетью.

 

P.S В Украине провайдерский мегабит от 4$

Share this post


Link to post
Share on other sites

Как установщик используйте yum. Все, что Вы пытались скомпилить есть в репах.

 

В Вашем случае будет выглядеть как yum install tcpdump

Посмотреть установленные\ доступные в репах пакеты можно через yum list <пакет> или yum info <пакет>. rpm в системе можно поискать через rpm -qa | grep <пакет>

 

Если что - стучите в личку - дам контакты.

Share this post


Link to post
Share on other sites

Блокируйте порты для пользаков, пускай только разрешённые порты используют, допустим в TraffPro есть ещё и графики которые показывают сьрошенные пакеты если начинает вирусня по заблоченным пакетам щимится по ним и можно сразу определить заражённую машину.

Share this post


Link to post
Share on other sites

Как установщик используйте yum. Все, что Вы пытались скомпилить есть в репах.

 

В Вашем случае будет выглядеть как yum install tcpdump

Посмотреть установленные\ доступные в репах пакеты можно через yum list <пакет> или yum info <пакет>. rpm в системе можно поискать через rpm -qa | grep <пакет>

 

Если что - стучите в личку - дам контакты.

tcpdump уже установлен, я спрашивал команды для него чтобы выявлять зараженные машины.

 

Наймите админа и/или нокера, чтоб он разгребал ваши проблемы с сетью.

 

P.S В Украине провайдерский мегабит от 4$

хорошо, если сами не справимся то придется попросить кого нить .

Share this post


Link to post
Share on other sites

одна из машин постоянно посылает пакеты в Россию на какойто маил сервер, это наверное и есть зараженная машина...........

 

 

./mail.online

Oct 9 22:19:06 zjuzjaserv3 kernel: MAIL_INIT:IN=eth0 OUT=eth1 SRC=192.168.8.183 DST=94.100.177.1 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=25821 DF PROTO=TCP SPT=51 126 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0

Oct 9 22:20:10 zjuzjaserv3 kernel: MAIL_INIT:IN=eth0 OUT=eth1 SRC=192.168.8.183 DST=94.100.177.1 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=25928 DF PROTO=TCP SPT=51 136 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0

Share this post


Link to post
Share on other sites

# tcpdump -nn host 192.168.8.183 and port 25

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

22:46:31.199385 IP 94.100.177.1.25 > 192.168.8.183.51427: P 272258774:272258836(62) ack 1766703781 win 14600

22:46:31.199453 IP 94.100.177.1.25 > 192.168.8.183.51427: F 62:62(0) ack 1 win 14600

22:46:31.234665 IP 192.168.8.183.51427 > 94.100.177.1.25: . ack 63 win 17078

22:46:40.519340 IP 192.168.8.183.51427 > 94.100.177.1.25: R 1:1(0) ack 63 win 0

22:46:40.532706 IP 192.168.8.183.51433 > 94.100.177.1.25: S 2827924212:2827924212(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>

22:46:40.561429 IP 94.100.177.1.25 > 192.168.8.183.51433: S 2728758791:2728758791(0) ack 2827924213 win 5840 <mss 1460,nop,nop,sackOK>

22:46:40.562641 IP 192.168.8.183.51433 > 94.100.177.1.25: . ack 1 win 17520

22:46:40.591636 IP 94.100.177.1.25 > 192.168.8.183.51433: P 1:33(32) ack 1 win 5840

22:46:40.595312 IP 192.168.8.183.51433 > 94.100.177.1.25: P 1:22(21) ack 33 win 17488

22:46:40.626922 IP 94.100.177.1.25 > 192.168.8.183.51433: . ack 22 win 5840

22:46:40.626934 IP 94.100.177.1.25 > 192.168.8.183.51433: P 33:122(89) ack 22 win 5840

22:46:40.632173 IP 192.168.8.183.51433 > 94.100.177.1.25: P 22:34(12) ack 122 win 17399

22:46:40.665175 IP 94.100.177.1.25 > 192.168.8.183.51433: P 122:140(18) ack 34 win 5840

22:46:40.668504 IP 192.168.8.183.51433 > 94.100.177.1.25: P 34:60(26) ack 140 win 17381

22:46:40.695953 IP 94.100.177.1.25 > 192.168.8.183.51433: P 140:158(18) ack 60 win 5840

22:46:40.699851 IP 192.168.8.183.51433 > 94.100.177.1.25: P 60:70(10) ack 158 win 17363

22:46:40.739795 IP 94.100.177.1.25 > 192.168.8.183.51433: P 158:188(30) ack 70 win 5840

22:46:40.800051 IP 192.168.8.183.51433 > 94.100.177.1.25: P 70:76(6) ack 188 win 17333

22:46:40.831056 IP 94.100.177.1.25 > 192.168.8.183.51433: P 188:196(8) ack 76 win 5840

22:46:40.837852 IP 192.168.8.183.51433 > 94.100.177.1.25: P 76:106(30) ack 196 win 17325

22:46:40.885006 IP 94.100.177.1.25 > 192.168.8.183.51433: P 196:204(8) ack 106 win 5840

22:46:40.893003 IP 192.168.8.183.51433 > 94.100.177.1.25: P 106:138(32) ack 204 win 17317

22:46:40.925068 IP 94.100.177.1.25 > 192.168.8.183.51433: P 204:218(14) ack 138 win 5840

22:46:40.928837 IP 192.168.8.183.51433 > 94.100.177.1.25: P 138:144(6) ack 218 win 17303

22:46:40.963905 IP 94.100.177.1.25 > 192.168.8.183.51433: P 218:274(56) ack 144 win 5840

22:46:40.974227 IP 192.168.8.183.51433 > 94.100.177.1.25: . 144:1604(1460) ack 274 win 17247

22:46:40.974252 IP 192.168.8.183.51433 > 94.100.177.1.25: . 1604:3064(1460) ack 274 win 17247

22:46:41.004770 IP 94.100.177.1.25 > 192.168.8.183.51433: . ack 3064 win 11680

22:46:41.007957 IP 192.168.8.183.51433 > 94.100.177.1.25: P 3064:3634(570) ack 274 win 17247

22:46:41.083035 IP 94.100.177.1.25 > 192.168.8.183.51433: . ack 3634 win 14600

22:46:41.231765 IP 94.100.177.1.25 > 192.168.8.183.51433: P 274:302(28) ack 3634 win 14600

22:46:41.260735 IP 192.168.8.183.51433 > 94.100.177.1.25: P 3634:3640(6) ack 302 win 17219

22:46:41.290815 IP 94.100.177.1.25 > 192.168.8.183.51433: . ack 3640 win 14600

22:46:41.290827 IP 94.100.177.1.25 > 192.168.8.183.51433: P 302:316(14) ack 3640 win 14600

22:46:41.295635 IP 192.168.8.183.51433 > 94.100.177.1.25: P 3640:3646(6) ack 316 win 17205

22:46:41.324969 IP 94.100.177.1.25 > 192.168.8.183.51433: P 316:355(39) ack 3646 win 14600

22:46:41.324981 IP 94.100.177.1.25 > 192.168.8.183.51433: F 355:355(0) ack 3646 win 14600

22:46:41.329466 IP 192.168.8.183.51433 > 94.100.177.1.25: F 3646:3646(0) ack 355 win 17166

22:46:41.329495 IP 192.168.8.183.51433 > 94.100.177.1.25: R 3647:3647(0) ack 356 win 0

Share this post


Link to post
Share on other sites

Ну, это еще ни о чем не говорит, к слову. Вы бы зарезали трафик на 25 и 587 порты для 192.168.8.183

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this