Freesco, NND, CDN, EOS :: Wyświetl temat - nnd i wirusy LOL -- czy to morzliwe

Freesco, NND, CDN, EOS http://forum.freesco.pl/

nnd i wirusy LOL -- czy to morzliwe http://forum.freesco.pl/viewtopic.php?f=22&t=5734	Strona 1 z 1

Autor:	NertoM [ niedziela, 31 października 2004, 22:33 ]
Tytuł:	nnd i wirusy LOL -- czy to morzliwe
Witam... Jak w temacie . Dziś wieczorem no jakieś 15 min przed napisaniem tego postu włączyłem standardowo SNIFERA do sprawdzani sieci co się dzieje i kto ma jakiego wira ( no chodzi o to kto robi ruch na sieci i obniża jej ogólna wydajność ). Co się ukazało moim oczom to do tej pporyy nie mogę uwierzyć NND złapało WIRA i to robaka ( w każdym bądź razie tak mi się wydaje bo podobnie ukazuje SIĘ BLASTER ). poniżej zamieszam SKRINA z tego programu co ukazuje właśnie tego WIRA a konkretnie HYBA BLASTERA albo jakiegoś robaka http://80.51.255.93:93/lol1.JPG Dziś w nocy zainstaluje MksA (tego z download) morze to cos pomorze ALE jak by sicie mieli jakieś inne pomysły to proszę. Czy też propozycje co to morze BYĆ !!!

Autor:	Maciek [ poniedziałek, 1 listopada 2004, 09:12 ]
Tytuł:
Bzdury waść pleciesz i to na dodatek z fatalną ortografią...

Autor:	NertoM [ poniedziałek, 1 listopada 2004, 14:37 ]
Tytuł:
Jak waść wie to czemu nie powie . ? A na dodatek przy poszukiwaniach tego zdarzenia znalazłem kolesia co siedział na 192.168.0.255 ( brodkascie ) i miał neta . A w zasadzie nigdy tego na serwie nie blokowałem . UUps sory http mi się wyłączyło ale już powinno być dostępne.

Autor:	Koriolan [ środa, 3 listopada 2004, 11:42 ]
Tytuł:
1) Nie widzę na jakie porty wysyła router (192...1) Blaster działa na 135.

Autor:	NertoM [ czwartek, 4 listopada 2004, 23:21 ]
Tytuł:
Witam ... 1.) problem wrócił ( totalnie miażdżąco )prawie 45kb generuje mi odebranych na kompie pakietów ( tak jak na załączonym obrazku ) HODIZ MI TU o TEN programik co pokazuje jaki ruch jest na LANIE 2.) uuuu nie zgodzę się z tobą to jest totalnie robak SERIO takie samo mam u ludzi i wiem że ma blastera ( no nie koniecznie jego ) ale ma wira na 100% 3.) sprawdziłem NND MKSem i nic ( jedynie to na chwile umilkł i tyle ) 4.) to jest protokół arp i jak widać w JPG on tylko zapytuje cala klasę 255*255 bo mam 2 zera na końcu ( to morza sobie wyobrazić jaki ruch robi [ wapy zwiesza masakra ]) 5.) próbowałem to wykasować icmp-kiem ale nic z tego iptables -I INPUT -p icmp -s 192.168.0.1/16 -j DROP i z opcją d i z ustawieniem OUTPUT i nic to nie dało ( standardowo on wrzucił ta regułkę do tablicy FILTER ) nie próbowałem z NAT ani z managle ( ale to jest do czegoś innego ) 6.) CO radzicie ( macie jakieś pomysły ) INFO o ARP z stąd -- >> http://www.amwaw.edu.pl/~adybkows/telefonip/5.3.html ps. morze to jakis protokul robi a ja o nim nie wiem , ale nic niewlączałem

Autor:	NertoM [ piątek, 5 listopada 2004, 03:24 ]
Tytuł:
Witam ... Wiec tak gdy wpisałem tak regułkę iptabes -I FORWARD -j DROP OKI przestało naparzać z SERWA tymi ARP Ale jednocześnie nie maam tłumaczenia i net mi nie działa ((( a gdy dodałem taką regułkę ( tyko wpuściłem net na port 80 no www ) iptables -I FORWARD -p tcp -s 192.168.0.1/16 --dport 80 -j ACCEPT to zaczęło obrazu naparza I TU MMA problem a W zasadzie pytanie przecenisz wpuściłem port 80 i na tcp to czemu zaczął naparzać SERWER tymi ARP moje usługi z ps auxa to USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 1 3.9 0.1 480 228 ? S 02:12 0:03 init [3] root 2 0.0 0.0 0 0 ? SW 02:12 0:00 [keventd] root 3 0.0 0.0 0 0 ? SW 02:12 0:00 [kapmd] root 4 0.0 0.0 0 0 ? SWN 02:12 0:00 [ksoftirqd_CPU0] root 5 0.0 0.0 0 0 ? SW 02:12 0:00 [kswapd] root 6 0.0 0.0 0 0 ? SW 02:12 0:00 [bdflush] root 7 0.0 0.0 0 0 ? SW 02:12 0:00 [kupdated] root 8 0.0 0.0 0 0 ? SW 02:12 0:00 [kinoded] root 9 0.0 0.0 0 0 ? SW 02:12 0:00 [kjournald] root 60 0.0 0.3 1632 696 ? S 02:12 0:00 /usr/sbin/syslogd root 63 0.0 0.2 1360 460 ? S 02:13 0:00 /usr/sbin/klogd -c 3 -x root 65 0.0 0.2 1396 524 ? S 02:13 0:00 /usr/sbin/inetd root 68 0.2 0.7 3044 1388 ? S 02:13 0:00 /usr/sbin/sshd root 74 0.0 0.2 1480 552 ? S 02:13 0:00 /usr/sbin/crond -l10 root 155 0.0 0.8 2628 1656 ? S 02:13 0:00 dhcpd eth1 nobody 157 0.0 0.4 1848 872 ? S 02:13 0:00 thttpd -p 80 -u nobody -d /var/www -l /dev/null root 160 0.0 0.4 1848 872 ? S 02:13 0:00 thttpd -p 82 -u root -d /var/wwa82 -l /dev/null -c **.cgi proc 163 0.0 0.3 1564 628 ? S 02:13 0:00 /usr/local/sbin/oidentd -m -u proc -g proc root 166 0.3 1.2 4480 2464 ? S 02:13 0:00 /usr/sbin/named root 272 0.0 0.2 1356 488 tty1 S 02:13 0:00 /sbin/agetty 38400 tty1 linux root 273 0.0 0.2 1356 488 tty2 S 02:13 0:00 /sbin/agetty 38400 tty2 linux root 274 0.0 0.2 1356 488 tty3 S 02:13 0:00 /sbin/agetty 38400 tty3 linux root 275 0.0 0.2 1356 488 tty4 S 02:13 0:00 /sbin/agetty 38400 tty4 linux root 276 0.0 0.2 1356 488 tty5 S 02:13 0:00 /sbin/agetty 38400 tty5 linux root 277 0.0 0.2 1356 488 tty6 S 02:13 0:00 /sbin/agetty 38400 tty6 linux root 278 0.0 0.2 1356 488 tty10 S 02:13 0:00 /sbin/agetty 38400 tty10 linux root 279 0.1 0.8 5660 1608 ? S 02:14 0:00 /usr/sbin/sshd root 281 0.1 0.6 2304 1324 pts/0 S 02:14 0:00 -bash root 292 0.0 0.4 2656 808 pts/0 R 02:14 0:00 ps aux morze to cos komu powie bo ja tu nie wiedze żeby to miała usługa jakąś robić a i z TOPa 293 root 19 0 984 984 804 R 0.3 0.5 0:00.04 top 1 root 10 0 228 228 196 S 0.0 0.1 0:03.73 init 2 root 9 0 0 0 0 S 0.0 0.0 0:00.00 keventd 3 root 9 0 0 0 0 S 0.0 0.0 0:00.00 kapmd 4 root 18 19 0 0 0 S 0.0 0.0 0:00.00 ksoftirqd_CPU0 5 root 9 0 0 0 0 S 0.0 0.0 0:00.00 kswapd 6 root 9 0 0 0 0 S 0.0 0.0 0:00.00 bdflush 7 root 9 0 0 0 0 S 0.0 0.0 0:00.00 kupdated 8 root 9 0 0 0 0 S 0.0 0.0 0:00.00 kinoded 9 root 9 0 0 0 0 S 0.0 0.0 0:00.00 kjournald 60 root 9 0 696 696 584 S 0.0 0.4 0:00.03 syslogd 63 root 9 0 460 460 400 S 0.0 0.2 0:00.01 klogd 65 root 9 0 524 524 464 S 0.0 0.3 0:00.01 inetd 68 root 9 0 1388 1388 1284 S 0.0 0.7 0:00.12 sshd 74 root 9 0 552 552 484 S 0.0 0.3 0:00.00 crond 155 root 9 0 1656 1656 840 S 0.0 0.9 0:00.01 dhcpd 157 nobody 9 0 872 872 668 S 0.0 0.5 0:00.00 thttpd 160 root 9 0 872 872 668 S 0.0 0.5 0:00.00 thttpd 163 proc 8 0 628 628 548 S 0.0 0.3 0:00.00 oidentd 166 root 17 0 2492 2492 1848 S 0.0 1.3 0:00.29 named 272 root 9 0 488 488 428 S 0.0 0.3 0:00.01 agetty 273 root 9 0 488 488 428 S 0.0 0.3 0:00.00 agetty 274 root 9 0 488 488 428 S 0.0 0.3 0:00.00 agetty 275 root 9 0 488 488 428 S 0.0 0.3 0:00.00 agetty 276 root 9 0 488 488 428 S 0.0 0.3 0:00.00 agetty 277 root 10 0 488 488 428 S 0.0 0.3 0:00.01 agetty 278 root 10 0 488 488 428 S 0.0 0.3 0:00.00 agetty 279 root 11 0 1608 1608 1456 S 0.0 0.8 0:00.03 sshd 281 root 15 0 1324 1324 1032 S 0.0 0.7 0:00.02 bash aa dodam iż byłem sam a nawet wpiąłem się krosem do SERWA i takie cosik się dziej CZY TO WINA NND aa lolgi nic nie pokazują żeby złego się cos działo .

Autor:	fishu [ piątek, 5 listopada 2004, 09:46 ]
Tytuł:
może to wina named? spróbuj go wyłączyć.

Autor:	Koriolan [ piątek, 5 listopada 2004, 12:02 ]
Tytuł:
Nie do końca rozumiem Twoje problemy ale podczas ataku Blastera: 1) Ja zainstalowałem sobie mrtg oraz oglądałem logi /var.log/syslog Dzieki temu wiedziałem, że atakuje Blaster oraz KTO go ma. Zadzwoniłem do gościa i powiedziałem mu, że jak za dwie godziny nie skasuje to go odłaczam ( ja mu skasuję Blastera za 30-50 zł). Po tym się uspokoiło. Z tym że moja sieć to przetrzymywała - blokowało się ale jakoś chodziło. 2) Jeden z gości puścił Kazę czy inne ... na MAXA dało to efekt na mrtg 600MB/sek WYSYŁANIA (pakiety atrakowały router) po telefonie się uspokoiło. Gość tłumaczył, że sam nie wiedział co puścił ale ponieważ net mu się blokował to chętnie współpracował . 3) Padł mi router i w nerwach stawiałem nowy (10 minut) niestety popełniłem błąd wpisując w routerze bramę zew. zamiast 195....254 to 195,..1 czyli ten interfejs co był w routerze. Internet muląc się okropnie chodził a na ekranie kooopa komunikatów.

Autor:	NertoM [ sobota, 6 listopada 2004, 03:35 ]
Tytuł:
Witam... Koriolan pisze: Nie do końca rozumiem Twoje problemy ale podczas ataku Blastera: 1).. 2)..3).. Nie źle zrozumiałeś JPG to serwer WYSYŁA zapytania do sieci i tu jest problem nie że TOS mi wysyła ( to to pikus bo zawsze morzna kolesia bloknąć ; podzielić na podsieci aby nie zakłócał innych ; czy też mu powiedzieć że ma blastera ; to to nie problem ) chodzi o to że MUJ serwer wysyła w siec zapytania na ARP do all IP jakie udostępniłem FORWARDEM ( jak tam wyżej przeczytasz , no nawet jak zblokowałem all forward i tylko udostępniłem KONKRETNY PORT 80 obrazu zaczął naparzac ) i z powodu tego WAPY się zwieszaja ( an wapach nikt niam tego alni blastera bo dalej nieweim z czego to sa zapyania jkai wirus to robi MORZE < SASER > ) i 2 swicze mi się zapętliły (zapętliły to chodzi mi o to iż jak odpalisz LANCZATA to robi DUPLIKATY na BRODKASCIE [podwójne info ci wyrzuca zamiast tylko jeden text co wpisałeś ] [siec pada]) Wiec dalej Zabilem to co sie dalo i nadal naparzal ( zostalo tylko to ) root 1 0.0 0.1 480 228 ? S 04:08 0:03 init [3] root 2 0.0 0.0 0 0 ? SW 04:08 0:00 [keventd] root 3 0.0 0.0 0 0 ? SW 04:08 0:00 [kapmd] root 4 0.0 0.0 0 0 ? SWN 04:08 0:05 [ksoftirqd_CPU0] root 5 0.0 0.0 0 0 ? SW 04:08 0:00 [kswapd] root 6 0.0 0.0 0 0 ? SW 04:08 0:00 [bdflush] root 7 0.0 0.0 0 0 ? SW 04:08 0:00 [kupdated] root 8 0.0 0.0 0 0 ? SW 04:08 0:00 [kinoded] root 9 0.0 0.0 0 0 ? SW 04:08 0:00 [kjournald] root 68 0.0 0.7 3044 1388 ? S 04:09 0:00 /usr/sbin/sshd root 674 0.0 0.8 5740 1632 ? S 14:56 0:00 /usr/sbin/sshd root 676 0.0 0.6 2312 1336 pts/0 S 14:57 0:00 -bash root 844 0.0 0.4 2656 808 pts/0 R 16:17 0:00 ps aux ALE wbilem te regulki iptables -t nat -I PREROUTING --match mac --mac-source ff:ff:ff:ff:ff:ff -j DROP . iptables -t nat -A PREROUTING --match mac --mac-source ff:ff:ff:ff:ff:ff -j DROP . iptables -t nat -I PREROUTING --match mac --mac-source 00:00:00:00:00:00 -j DROP . iptables -t nat -A PREROUTING --match mac --mac-source 00:00:00:00:00:00 -j DROP . iptables -I FORWARD --match mac --mac-source ff:ff:ff:ff:ff:ff -j DROP . iptables -A FORWARD --match mac --mac-source ff:ff:ff:ff:ff:ff -j DROP . iptables -I FORWARD --match mac --mac-source 00:00:00:00:00:00 -j DROP . iptables -A FORWARD --match mac --mac-source 00:00:00:00:00:00 -j DROP . . I jak na razie USTALO !!! WIEM że to dziwne bo to po pierwsze są regułki o zapytanie do serwera ( czyli serwer nie wpuszcza tych maków ) a nie żeby nie wypuszczał zapytania w siec do tych maków .. i .. jeszcze to że dałem każda regułkę podwójnie NA początek FIREWALA i na koniec ( tu też dopiero wtedy zadziałało ) TOTALNIE DZIWNE jak dla mnie ALE jakby ktoś miał jakiś pomysł co to morze być TO by było fajnie bo to co ja zrobiłem to POLOWICZNE rozwiązanie ((( (( i piernik wie co z tego wyniknie

Autor:	fishu [ sobota, 6 listopada 2004, 09:23 ]
Tytuł:
A może to wina sprzętu? Wymień sieciówkę, odepnij wszystkich /fizycznie/ i pozostaw włączonego tylko swojego kompa i wtedy sprawdź.

Autor:	Koriolan [ sobota, 6 listopada 2004, 12:44 ]
Tytuł:
Jeżeli blokujesz na FORWARD i to pomaga to by znaczyło, że coś PRZELATUJE przez router a nie ROUTER wypuszcza pakiety. Spróbuj jeszce pokombinować z interfejsami, tzn. zablokuj np. interfejs internetowy i zobacz czy dalej to samo, potem odwrotnie interfejs wewnetrzny... Może to coś atakuje Cię z zewnątrz ?? Nie pamietam czy pytałem, czy masz firewall zCiecha ?

Strona 1 z 1	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/