fasttoomas Опубликовано 7 октября, 2011 · Жалоба У нас небольшая локалка на 100 клиентов, витая пара о тупые свичи. Сервер настроен на CentOS 5 версия, привязка по макам и нарезка. Сегодня на общем канале пропал интернет, посмотрели все вроде ок, но нет не идет. Позвонил провайдеру мол так и так нета нет, админ мне говорит, что мол в нашей локалке сидит вирус который долбит на какой то внешний ип и по этому они нас отрубили от нета. Типа ищите вирусные машины . Иначе вам не жить. Посоветуйте что в такой ситуации надо делать, не ходить же по всем и искать вирусы? Кто,.. что делал? Может можно какую нить утилиту прикрутить на CentOs что бы можно было засечь вирусные машины?? Заранее спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 7 октября, 2011 · Жалоба Пусть пров скинет вам абьюзу. В любом случае, tcpdump в зубы и ищите вредителя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fasttoomas Опубликовано 8 октября, 2011 · Жалоба Пусть пров скинет вам абьюзу. В любом случае, tcpdump в зубы и ищите вредителя. а iptraf не подойдет? а то я не селен в установках новых приложений. [root@zjuzjaserv3 tcpdump-4.0.0]# ./configure checking build system type... i686-pc-linux-gnu checking host system type... i686-pc-linux-gnu checking for gcc... gcc checking for C compiler default output file name... a.out checking whether the C compiler works... yes checking whether we are cross compiling... no checking for suffix of executables... checking for suffix of object files... o checking whether we are using the GNU C compiler... yes checking whether gcc accepts -g... yes checking for gcc option to accept ISO C89... none needed checking gcc version... 4 checking for inline... inline checking for __attribute__... yes checking how to run the C preprocessor... gcc -E checking for grep that handles long lines and -e... /bin/grep checking for egrep... /bin/grep -E checking for ANSI C header files... yes checking for sys/types.h... yes checking for sys/stat.h... yes checking for stdlib.h... yes checking for string.h... yes checking for memory.h... yes checking for strings.h... yes checking for inttypes.h... yes checking for stdint.h... yes checking for unistd.h... yes checking fcntl.h usability... yes checking fcntl.h presence... yes checking for fcntl.h... yes checking rpc/rpcent.h usability... no checking rpc/rpcent.h presence... no checking for rpc/rpcent.h... no checking netdnet/dnetdb.h usability... no checking netdnet/dnetdb.h presence... no checking for netdnet/dnetdb.h... no checking for net/pfvar.h... no checking for netinet/if_ether.h... yes checking whether time.h and sys/time.h may both be included... yes checking Linux kernel version... 2 checking smi.h usability... no checking smi.h presence... no checking for smi.h... no checking for smiInit in -lsmi... no checking whether to enable the possibly-buggy SMB printer... yes configure: WARNING: The SMB printer may have exploitable buffer overflows!!! checking whether to drop root privileges by default... no checking whether to chroot... no checking whether to enable ipv6... no checking for dnet_htoa declaration in netdnet/dnetdb.h... no checking for char... yes checking size of char... 1 checking for short... yes checking size of short... 2 checking for int... yes checking size of int... 4 checking for long... yes checking size of long... 4 checking for long long... yes checking size of long long... 8 checking for addrinfo... yes checking for NI_MAXSERV... yes checking for NI_NAMEREQD... yes checking for sockaddr_storage... yes checking for INADDRSZ... yes checking for IN6ADDRSZ... yes checking for RES_USE_INET6... yes checking for res_state_ext... no checking for nsort in res_state... no checking for vfprintf... yes checking for strcasecmp... yes checking for strlcat... no checking for strlcpy... no checking for strdup... yes checking for strsep... yes checking for strftime... yes checking for setlinebuf... yes checking for alarm... yes checking for vsnprintf... yes checking for snprintf... yes checking return type of signal handlers... void checking for sigaction... yes checking for library containing dnet_htoa... no checking for main in -lrpc... no checking for library containing getrpcbynumber... none required checking for library containing gethostbyname... none required checking for library containing socket... none required checking for library containing putmsg... none required checking for local pcap library... not found checking for main in -lpcap... no configure: error: see the INSTALL doc for more info Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fasttoomas Опубликовано 8 октября, 2011 · Жалоба tcpdump просит установить библиотеку , ставлю библиотеку она еще чегото хочет ............подскажите чего не хватает ............. [root@zjuzjaserv3 ~]# cd libpcap-1.0.0 [root@zjuzjaserv3 libpcap-1.0.0]# ./configure checking build system type... i686-pc-linux-gnu checking host system type... i686-pc-linux-gnu checking target system type... i686-pc-linux-gnu checking for gcc... gcc checking for C compiler default output file name... a.out checking whether the C compiler works... yes checking whether we are cross compiling... no checking for suffix of executables... checking for suffix of object files... o checking whether we are using the GNU C compiler... yes checking whether gcc accepts -g... yes checking for gcc option to accept ISO C89... none needed checking gcc version... 4 checking for inline... inline checking for __attribute__... yes checking for u_int8_t using gcc... yes checking for u_int16_t using gcc... yes checking for u_int32_t using gcc... yes checking for u_int64_t using gcc... yes checking for special C compiler options needed for large files... no checking for _FILE_OFFSET_BITS value needed for large files... 64 checking for _LARGEFILE_SOURCE value needed for large files... no checking how to run the C preprocessor... gcc -E checking for grep that handles long lines and -e... /bin/grep checking for egrep... /bin/grep -E checking for ANSI C header files... yes checking for sys/types.h... yes checking for sys/stat.h... yes checking for stdlib.h... yes checking for string.h... yes checking for memory.h... yes checking for strings.h... yes checking for inttypes.h... yes checking for stdint.h... yes checking for unistd.h... yes checking sys/ioccom.h usability... no checking sys/ioccom.h presence... no checking for sys/ioccom.h... no checking sys/sockio.h usability... no checking sys/sockio.h presence... no checking for sys/sockio.h... no checking limits.h usability... yes checking limits.h presence... yes checking for limits.h... yes checking paths.h usability... yes checking paths.h presence... yes checking for paths.h... yes checking for net/pfvar.h... no checking for netinet/if_ether.h... yes checking for ANSI ioctl definitions... yes checking for strerror... yes checking for strlcpy... no checking for vsnprintf... yes checking for snprintf... yes checking for library containing gethostbyname... none required checking for library containing socket... none required checking for library containing putmsg... none required checking for ether_hostton... yes checking whether ether_hostton is declared... no checking netinet/ether.h usability... yes checking netinet/ether.h presence... yes checking for netinet/ether.h... yes checking whether ether_hostton is declared... yes checking if --disable-protochain option is specified... enabled checking packet capture type... linux checking Linux kernel version... 2 checking for linux/wireless.h... no checking if if_packet.h has tpacket_stats defined... yes checking if tpacket_auxdata struct has tp_vlan_tci member... no checking for getifaddrs... yes checking ifaddrs.h usability... yes checking ifaddrs.h presence... yes checking for ifaddrs.h... yes checking for socklen_t... yes checking for getaddrinfo... yes checking whether to build optimizer debugging code... no checking whether to build parser debugging code... no checking whether we have /proc/net/dev... yes checking whether we have DAG API headers... no (/usr/local/include) checking whether we have the DAG API... no checking whether we have Septel API... no checking for flex... no checking for bison... no checking for capable lex... insufficient configure: error: Your operating system's lex is insufficient to compile libpcap. flex is a lex replacement that has many advantages, including being able to compile libpcap. For more information, see http://www.gnu.org/software/flex/flex.html . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 8 октября, 2011 · Жалоба а iptraf не подойдет? а то я не селен в установках новых приложений. [root@zjuzjaserv3 tcpdump-4.0.0]# ./configure 1) iptraf - это не сниффер, а рисователь картинок. Если Вы не знаете, что где смотреть, то в большинстве случаев не успеете увидеть проблему. 2) За исключением полной экзотики, в centos все программы уже есть в виде пакетов и устанавливаются через yum. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 8 октября, 2011 · Жалоба Мне проще за деньги найти ваших диверсантов, чем разжевывать азы линукса. P.S. Мои контакты смотрите в профиле. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fasttoomas Опубликовано 8 октября, 2011 · Жалоба Мне проще за деньги найти ваших диверсантов, чем разжевывать азы линукса. P.S. Мои контакты смотрите в профиле. tcpdump оказывается уже стоял, я просто его не заметил. я вам напишу вечером в скайп мой ник hervrot спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 8 октября, 2011 · Жалоба tcpdump оказывается уже стоял, я просто его не заметил. Странно было бы, если бы его не оказалось :) Провайдер прислал Вам текст abuse? Если да, то что в ней написано? Почти наверняка для быстрого решения достаточно выполнить: iptables -I FORWARD -p tcp -m multiport --dports 25,135,137,138,139,445,1433 -j DROP iptables -I FORWARD -p udp -m multiport --dports 135,137,138,139,445,1433 -j DROP В дальнейшем не блокировать 25 порт, но использовать http://sources.homelink.ru/spamblock/ И приучить провайдера сначала присылать абузу и давать на её рассмотрение хотя бы 12 часов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fasttoomas Опубликовано 9 октября, 2011 · Жалоба tcpdump оказывается уже стоял, я просто его не заметил. Странно было бы, если бы его не оказалось :) Провайдер прислал Вам текст abuse? Если да, то что в ней написано? Почти наверняка для быстрого решения достаточно выполнить: iptables -I FORWARD -p tcp -m multiport --dports 25,135,137,138,139,445,1433 -j DROP iptables -I FORWARD -p udp -m multiport --dports 135,137,138,139,445,1433 -j DROP В дальнейшем не блокировать 25 порт, но использовать http://sources.homelink.ru/spamblock/ И приучить провайдера сначала присылать абузу и давать на её рассмотрение хотя бы 12 часов. Провайдер никому ничего присылать не будет, после того как отключили интернет я пошел в контору провайдера. Где мне было сказано что с интернетом все в полном порядке, и с вами свяжутся в течении 24 часов. Вечером того же дня я дозвонился в службу поддержки клиентов и мне сказали что нас отключили по томучто с нашего внешнего ип идет атакака на какойто ип который они сказать не могут, так как отключили нас не провайдер а служба контроля за сетевыми атаками типа инет полиция http://www.cert.org/. Куда шли атаки и куда они сказать не могут........... но сказали если вы не вычистите свои компы мы так и будем вас рубить от нета. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fasttoomas Опубликовано 9 октября, 2011 · Жалоба какие есть хорошие комманды для определения зараженных машин в сети? tcpdump -i eth1 -l -n arp | egrep 'arp who-has' | head -2000 | awk '{ print $NF }' | sort | uniq -c | sort -n ничего не показывает........... от админа мне досталась команда $ ./mail.stat 306 192.168.8.183 как он говорил показывает машины с наибольшим коннектом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adnull Опубликовано 9 октября, 2011 · Жалоба отключили нас не провайдер а служба контроля за сетевыми атаками типа инет полиция http://www.cert.org/. Куда шли атаки и куда они сказать не могут........... Хорошо по ушам проехали. Галактическую полицию не упомянули? но сказали если вы не вычистите свои компы мы так и будем вас рубить от нета. Так пусть уже разберутся, они выключают инет или все-же серт.олг ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 9 октября, 2011 · Жалоба lol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 9 октября, 2011 · Жалоба Я бы такого горе-провайдера послал бы нах и взял бы инет у другого. А этому - сделал "рекламу" по форумам. Ессно, это если у вас все в порядке с договором с вашей стороны (т.е. - вы не пытаетесь перепродавать "домашние" пакеты нарушая соотв. пункт договора). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fasttoomas Опубликовано 9 октября, 2011 (изменено) · Жалоба Я бы такого горе-провайдера послал бы нах и взял бы инет у другого. А этому - сделал "рекламу" по форумам. Ессно, это если у вас все в порядке с договором с вашей стороны (т.е. - вы не пытаетесь перепродавать "домашние" пакеты нарушая соотв. пункт договора). Выбирать из провайдеров особо нечего ELION и Linxtelecom, у нас страна маленькая и провайдеров по пальцам можно пересчитать, в нашем месте есть только один ELION у которого есть канал 100 на 100 мегобит. И то оптический конец в восьми километров от нас,. пришлось кидать радио мост на 8 км. Вот так и живем, и договор у нас не бизнес а клиентский, бизнес каналы есть только в Таллинне Linxtelecom, и цены на эти каналы не детские. Изменено 9 октября, 2011 пользователем fasttoomas Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 9 октября, 2011 · Жалоба Наймите админа и/или нокера, чтоб он разгребал ваши проблемы с сетью. P.S В Украине провайдерский мегабит от 4$ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
redhat.ua Опубликовано 9 октября, 2011 · Жалоба Как установщик используйте yum. Все, что Вы пытались скомпилить есть в репах. В Вашем случае будет выглядеть как yum install tcpdump Посмотреть установленные\ доступные в репах пакеты можно через yum list <пакет> или yum info <пакет>. rpm в системе можно поискать через rpm -qa | grep <пакет> Если что - стучите в личку - дам контакты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gavru Опубликовано 9 октября, 2011 · Жалоба Блокируйте порты для пользаков, пускай только разрешённые порты используют, допустим в TraffPro есть ещё и графики которые показывают сьрошенные пакеты если начинает вирусня по заблоченным пакетам щимится по ним и можно сразу определить заражённую машину. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fasttoomas Опубликовано 9 октября, 2011 · Жалоба Как установщик используйте yum. Все, что Вы пытались скомпилить есть в репах. В Вашем случае будет выглядеть как yum install tcpdump Посмотреть установленные\ доступные в репах пакеты можно через yum list <пакет> или yum info <пакет>. rpm в системе можно поискать через rpm -qa | grep <пакет> Если что - стучите в личку - дам контакты. tcpdump уже установлен, я спрашивал команды для него чтобы выявлять зараженные машины. Наймите админа и/или нокера, чтоб он разгребал ваши проблемы с сетью. P.S В Украине провайдерский мегабит от 4$ хорошо, если сами не справимся то придется попросить кого нить . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fasttoomas Опубликовано 9 октября, 2011 · Жалоба одна из машин постоянно посылает пакеты в Россию на какойто маил сервер, это наверное и есть зараженная машина........... ./mail.online Oct 9 22:19:06 zjuzjaserv3 kernel: MAIL_INIT:IN=eth0 OUT=eth1 SRC=192.168.8.183 DST=94.100.177.1 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=25821 DF PROTO=TCP SPT=51 126 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0 Oct 9 22:20:10 zjuzjaserv3 kernel: MAIL_INIT:IN=eth0 OUT=eth1 SRC=192.168.8.183 DST=94.100.177.1 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=25928 DF PROTO=TCP SPT=51 136 DPT=25 WINDOW=8192 RES=0x00 SYN URGP=0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adnull Опубликовано 9 октября, 2011 · Жалоба Этот какой-то мэйл сервер называется smtp.mail.ru :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fasttoomas Опубликовано 9 октября, 2011 · Жалоба # tcpdump -nn host 192.168.8.183 and port 25 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 22:46:31.199385 IP 94.100.177.1.25 > 192.168.8.183.51427: P 272258774:272258836(62) ack 1766703781 win 14600 22:46:31.199453 IP 94.100.177.1.25 > 192.168.8.183.51427: F 62:62(0) ack 1 win 14600 22:46:31.234665 IP 192.168.8.183.51427 > 94.100.177.1.25: . ack 63 win 17078 22:46:40.519340 IP 192.168.8.183.51427 > 94.100.177.1.25: R 1:1(0) ack 63 win 0 22:46:40.532706 IP 192.168.8.183.51433 > 94.100.177.1.25: S 2827924212:2827924212(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK> 22:46:40.561429 IP 94.100.177.1.25 > 192.168.8.183.51433: S 2728758791:2728758791(0) ack 2827924213 win 5840 <mss 1460,nop,nop,sackOK> 22:46:40.562641 IP 192.168.8.183.51433 > 94.100.177.1.25: . ack 1 win 17520 22:46:40.591636 IP 94.100.177.1.25 > 192.168.8.183.51433: P 1:33(32) ack 1 win 5840 22:46:40.595312 IP 192.168.8.183.51433 > 94.100.177.1.25: P 1:22(21) ack 33 win 17488 22:46:40.626922 IP 94.100.177.1.25 > 192.168.8.183.51433: . ack 22 win 5840 22:46:40.626934 IP 94.100.177.1.25 > 192.168.8.183.51433: P 33:122(89) ack 22 win 5840 22:46:40.632173 IP 192.168.8.183.51433 > 94.100.177.1.25: P 22:34(12) ack 122 win 17399 22:46:40.665175 IP 94.100.177.1.25 > 192.168.8.183.51433: P 122:140(18) ack 34 win 5840 22:46:40.668504 IP 192.168.8.183.51433 > 94.100.177.1.25: P 34:60(26) ack 140 win 17381 22:46:40.695953 IP 94.100.177.1.25 > 192.168.8.183.51433: P 140:158(18) ack 60 win 5840 22:46:40.699851 IP 192.168.8.183.51433 > 94.100.177.1.25: P 60:70(10) ack 158 win 17363 22:46:40.739795 IP 94.100.177.1.25 > 192.168.8.183.51433: P 158:188(30) ack 70 win 5840 22:46:40.800051 IP 192.168.8.183.51433 > 94.100.177.1.25: P 70:76(6) ack 188 win 17333 22:46:40.831056 IP 94.100.177.1.25 > 192.168.8.183.51433: P 188:196(8) ack 76 win 5840 22:46:40.837852 IP 192.168.8.183.51433 > 94.100.177.1.25: P 76:106(30) ack 196 win 17325 22:46:40.885006 IP 94.100.177.1.25 > 192.168.8.183.51433: P 196:204(8) ack 106 win 5840 22:46:40.893003 IP 192.168.8.183.51433 > 94.100.177.1.25: P 106:138(32) ack 204 win 17317 22:46:40.925068 IP 94.100.177.1.25 > 192.168.8.183.51433: P 204:218(14) ack 138 win 5840 22:46:40.928837 IP 192.168.8.183.51433 > 94.100.177.1.25: P 138:144(6) ack 218 win 17303 22:46:40.963905 IP 94.100.177.1.25 > 192.168.8.183.51433: P 218:274(56) ack 144 win 5840 22:46:40.974227 IP 192.168.8.183.51433 > 94.100.177.1.25: . 144:1604(1460) ack 274 win 17247 22:46:40.974252 IP 192.168.8.183.51433 > 94.100.177.1.25: . 1604:3064(1460) ack 274 win 17247 22:46:41.004770 IP 94.100.177.1.25 > 192.168.8.183.51433: . ack 3064 win 11680 22:46:41.007957 IP 192.168.8.183.51433 > 94.100.177.1.25: P 3064:3634(570) ack 274 win 17247 22:46:41.083035 IP 94.100.177.1.25 > 192.168.8.183.51433: . ack 3634 win 14600 22:46:41.231765 IP 94.100.177.1.25 > 192.168.8.183.51433: P 274:302(28) ack 3634 win 14600 22:46:41.260735 IP 192.168.8.183.51433 > 94.100.177.1.25: P 3634:3640(6) ack 302 win 17219 22:46:41.290815 IP 94.100.177.1.25 > 192.168.8.183.51433: . ack 3640 win 14600 22:46:41.290827 IP 94.100.177.1.25 > 192.168.8.183.51433: P 302:316(14) ack 3640 win 14600 22:46:41.295635 IP 192.168.8.183.51433 > 94.100.177.1.25: P 3640:3646(6) ack 316 win 17205 22:46:41.324969 IP 94.100.177.1.25 > 192.168.8.183.51433: P 316:355(39) ack 3646 win 14600 22:46:41.324981 IP 94.100.177.1.25 > 192.168.8.183.51433: F 355:355(0) ack 3646 win 14600 22:46:41.329466 IP 192.168.8.183.51433 > 94.100.177.1.25: F 3646:3646(0) ack 355 win 17166 22:46:41.329495 IP 192.168.8.183.51433 > 94.100.177.1.25: R 3647:3647(0) ack 356 win 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adnull Опубликовано 9 октября, 2011 · Жалоба Ну, это еще ни о чем не говорит, к слову. Вы бы зарезали трафик на 25 и 587 порты для 192.168.8.183 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...