Ogólnie mój router nie schodził w load average poniżej 0.35.
Nastąpiła u moich userów fala wirusów, trjanów itp. Poczytałem forum, www.mks.com.pl, i inne rzeczy i doszedłem do wniosku, że nie da się tego zwalczyć za pomocą blokowania portów. Wpadłem na pomysł by logowac na interfejsie WEWNĘTRZNYM pakiety które nie idą do internetu albo mają adres SPOZA sieci wew.
Na firewallu Zciecha zrobiłem coś takiego :
====================================================================
# B L O K A D Y A N T Y W I R U S O W E
#====================================================================
#
# Blokada DOCELOWEGO adresu 192.xxx.0.0/16 na eth1 ..
$i -A FORWARD -i eth1 -p tcp -d 192.xxx.0.0/16 -j LOG -m limit --limit 10/minute --log-prefix "bad_addr_dst "
$i -A FORWARD -i eth1 -p tcp -d 192.xxx.0.0/16 -j DROP
# Nie wpuszczaj na int.wew. nikogo bez 192.xxx..
$i -t nat -A PREROUTING -i eth1 -s ! 192.xxx.0.0/16 -j LOG -m limit --limit 10/minute --log-prefix "bad_addr_des
$i -t nat -A PREROUTING -i eth1 -s ! 192.xxx.0.0/16 -j DROP
# B L O K A D Y A N T Y W I R U S O W E
#====================================================================
#
# Blokada DOCELOWEGO adresu 192.xxx.0.0/16 na eth1 ..
$i -A FORWARD -i eth1 -p tcp -d 192.xxx.0.0/16 -j LOG -m limit --limit 10/minute --log-prefix "bad_addr_dst "
$i -A FORWARD -i eth1 -p tcp -d 192.xxx.0.0/16 -j DROP
# Nie wpuszczaj na int.wew. nikogo bez 192.xxx..
$i -t nat -A PREROUTING -i eth1 -s ! 192.xxx.0.0/16 -j LOG -m limit --limit 10/minute --log-prefix "bad_addr_des
$i -t nat -A PREROUTING -i eth1 -s ! 192.xxx.0.0/16 -j DROP
)Potem już tylko drobne skrypciki wychwytujące z logów delikwentów:
!/bin/bash
# skrypt sprawdzajcy syslog pod katem sieci localnej i zlych adresow docelowych
echo '#'
echo '# WIRUSY !!!'
echo '#'
cat /var/log/syslog | grep bad_addr_dst | grep "Apr 29" > t_bad_dst.txt
cat t_bad_dst.txt | awk '{ print $9" \t"$10" \t"$0 }'| sort > t_bad_dst_S.txt
cat t_bad_dst.txt | awk '{ print $9" \t"$10 }'| sort -u > t_bad_dst_Su.txt
cat t_bad_dst_S.txt | awk '{ print $1 }'| sort -u > t_bad_dst_uA.txt
# skrypt sprawdzajcy syslog pod katem sieci localnej i zlych adresow docelowych
echo '#'
echo '# WIRUSY !!!'
echo '#'
cat /var/log/syslog | grep bad_addr_dst | grep "Apr 29" > t_bad_dst.txt
cat t_bad_dst.txt | awk '{ print $9" \t"$10" \t"$0 }'| sort > t_bad_dst_S.txt
cat t_bad_dst.txt | awk '{ print $9" \t"$10 }'| sort -u > t_bad_dst_Su.txt
cat t_bad_dst_S.txt | awk '{ print $1 }'| sort -u > t_bad_dst_uA.txt
W przykładzie wycinany jest JEDEN DZIEŃ i u siebie trzeba to wyrzucić.Drugi skrypcik to taki :
#!/bin/bash
# skrypt sprawdzajcy syslog pod katem sieci localnej i złych adresow zrodlowych
echo '#'
echo '# bad_addr_src'
echo '#'
cat /var/log/syslog | grep bad_addr_src > t_bad_addr_src.txt
cat t_bad_addr_src.txt | awk '{print $9 }' | sort -u > t_bad_addr_src_uM.txt
cat t_bad_addr_src.txt | awk '{mac=substr($9,23,17); mac = toupper(mac); gsub(/[0-9A-F]+/,"0&", mac); gsub(/0[
exec 3<t_bad_addr_src_uS.txt
echo "" > t_bad_addr_src_uSS.txt
while read -u 3 src dst mac_1 MAC reszta ;do
# echo "$MAC"
IP="brak w /etc/ethers"
grep "$MAC" < "/etc/ethers" | while read IP mac ;do
echo -e "$src \t $dst \t $mac_1 \t $MAC \t $reszta \t $IP" >> t_bad_addr_src_uSS.txt
done
done
# skrypt sprawdzajcy syslog pod katem sieci localnej i złych adresow zrodlowych
echo '#'
echo '# bad_addr_src'
echo '#'
cat /var/log/syslog | grep bad_addr_src > t_bad_addr_src.txt
cat t_bad_addr_src.txt | awk '{print $9 }' | sort -u > t_bad_addr_src_uM.txt
cat t_bad_addr_src.txt | awk '{mac=substr($9,23,17); mac = toupper(mac); gsub(/[0-9A-F]+/,"0&", mac); gsub(/0[
exec 3<t_bad_addr_src_uS.txt
echo "" > t_bad_addr_src_uSS.txt
while read -u 3 src dst mac_1 MAC reszta ;do
# echo "$MAC"
IP="brak w /etc/ethers"
grep "$MAC" < "/etc/ethers" | while read IP mac ;do
echo -e "$src \t $dst \t $mac_1 \t $MAC \t $reszta \t $IP" >> t_bad_addr_src_uSS.txt
done
done
) Te adresy...
Apr 23 22:49:03 s_nnd2 kernel: bad_addr_src IN=eth1 OUT= MAC=00:02:44:a5:73:f9:00:0e:a6:a1:5b:a2:08:00 SRC=195.168.0.5
Apr 23 22:49:04 s_nnd2 kernel: bad_addr_src IN=eth1 OUT= MAC=00:02:44:a5:73:f9:00:0e:a6:a1:5b:a2:08:00 SRC=195.168.0.2
Apr 23 22:49:05 s_nnd2 kernel: bad_addr_src IN=eth1 OUT= MAC=00:02:44:a5:73:f9:00:0e:a6:a1:5b:a2:08:00 SRC=195.168.0.2
...
Apr 23 22:49:03 s_nnd2 kernel: bad_addr_src IN=eth1 OUT= MAC=00:02:44:a5:73:f9:00:0e:a6:a1:5b:a2:08:00 SRC=195.168.0.5
Apr 23 22:49:04 s_nnd2 kernel: bad_addr_src IN=eth1 OUT= MAC=00:02:44:a5:73:f9:00:0e:a6:a1:5b:a2:08:00 SRC=195.168.0.2
Apr 23 22:49:05 s_nnd2 kernel: bad_addr_src IN=eth1 OUT= MAC=00:02:44:a5:73:f9:00:0e:a6:a1:5b:a2:08:00 SRC=195.168.0.2
...
Po długotrwałej walce z userami:
load average spadł ...ponizej 0.17 a często widzę na nim 0.05, 0.04 itp.
Miłego kombinowania
P.S.
Lektura www.mks.com.pl nasunęła mi jeszcze jeden pomysł znajdowania śmieci. Skanowanie komputerów userów na porcie 80 - jeden z wirusów otwierał ten właśnie port. Spróbowałem nawet ręcznie to zrobić ale do jakiegoś automatyzmu jeszcze nie doszedłem.
P.S.2
Skuteczność tego rozwiązania określiłbym na 95%. Problemem było ...znaleźć antrywirusa, który wykrywałby znalezione przeze mnie śmieci (wirusy-trojany-itp.). Z doświadczeń userów wynika, że nieźle robi to skaner ze strony www.mks.com.pl i Kasperski. Zdarzało się, że user mówi: 'Mam avasta i nie mam wirusów", ale po naszej wizycie zmieniał zdanie
. Często były to trojany a nie wirusy i trzeba antyspyware itp. to brać.
P.S.3
Troche problemu jak zawsze jest z p2p. Po pierwsze generuje pakiety DO SIEBIE
Czyli 192.10.10.25 -> 192.10.10.25 oraz jak ciągną userzy od siebie wzajemnie to powstają pakiety 'bezpośrednie' 192.168.10.10.25->192.10.10.26. Ale jak już o ty sie wie to nie jest problem.
P.S.3
Wspomogłem się przełacznikami FSD-1600 Planeta, które KIERUJĄ ruch TYLKO do SERWERA. Kosztują około 200zł i blokują ruch między userami zwłaszcza W SIECI WI-FI. Kombinuję by robić przełaczniki programowane komputerowe, ale mam za mało czasu
a pomocników brak.
no i dlaczego nie mam pliku syslog 
)
