| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Wirus który blokuje komunikacje. http://forum.freesco.pl/viewtopic.php?f=8&t=14543 |
Strona 1 z 2 |
| Autor: | marcin [ piątek, 12 stycznia 2007, 00:00 ] |
| Tytuł: | Wirus który blokuje komunikacje. |
Mam mały problem, mam sieć rozciągniętą w 4 blokach, ktoś ma jakiegoś wirusa, byłem tam dzisiaj i jak wróciłem to zaczęły mi się ciąć strony. po prostu przeglądarka wyświetla stronę do połowy i trzeba czekać, jak by gasło połączenie, coś wyszukuje przejęło mój mac karty, po zmianie maca wszystko chodzi cacy. Są takie wirusy? Mam zaporę! Jak to znaleźć? |
|
| Autor: | Jacq [ piątek, 12 stycznia 2007, 01:26 ] |
| Tytuł: | |
Cytuj: coś wyszukuje przejęło mój mac karty Co dokładnie miałeś na mysli i skąd taki wniosek? Prosta sprawa, ogranicz liczbe połączeń i zablokuj porty robaków. Jeżeli to nic nie da będziemy martwić się dalej  Cytuj: Mam zaporę!
Może to głupie pytanie ale czy masz antywira? 
|
|
| Autor: | marcin [ piątek, 12 stycznia 2007, 02:01 ] |
| Tytuł: | |
Antywira nie mam, ale poprzednim razem jak byłem w tych blokach (4 bloki podłączone do 1 ap z blokadą komunikacji) wirus nie wydostaje się na zewnątrz, myślę że to przez tą blokadę!, miałem to samo, wtedy zainstalowałem antywira (nic nie wykrył chyba to było avg) pomyślałem, że może coś z arp na serwerze, zmieniłem maca i było wszystko ok, do dzisiaj znowu tam byłem, do tej pory myślałem że nawalają radia (u klientów to samo!) tylko bloki podłączone do tego ap. Czym się objawia, poprostu na chwile (10s) zamiera sieciówka, naprzykład jak włączyłem sobie putty i iptraf na nim, żeby pokazywał ile pakietów płynie na interfejsie eth1, to pokazywał przez jakieś 10 s i zamarcie na 10 s, patrze na kontrolki od karty sieciowej (zgasły), zmieniam mac na inny jest lala, na porcie 445 mam strasznie dużo pakietów, ale to gostek podłączony do innego ap. Czyli to nie Blaster, porty mogę poblokować, ale to nie rozprzestrzenia się poza te 4 bloki, mam skrypt który udostępnia kilka portów, a resztę drastycznie obcina, działa! Muszę to znaleźć, albo wszystkim zrobić formata, ale sprawa jest ciekawa dlatego wolał bym to znaleźć. Przeskanowałem Pandą 2007 demo i wykryła trojan downloader.mhl czy ten trojan może płatać takie figle? Szukałem w googlach ale nic ciekawego nie znalazłem, zablokował bym port ale nie wiem na jakim się rosprzestrzenia. Wydaje mi się, że to nie to, sprawdzę jeszcze, ale jak dobrze pamiętam to po wystartowaniu kompa z knopixem było to samo, coś na serwerze czy wewnątrz sieci coś przekierowuje ruch? |
|
| Autor: | Jacq [ sobota, 13 stycznia 2007, 00:19 ] |
| Tytuł: | |
Starałem się pozbierać Twój post do kupy i coś z niego wywnioskować więc wybacz mi jeżeli czegoś nie zrozumiałem. Jeżeli te bloki są podpięte do jednego AP to czy nie wato by sprawdzić AP ? 1. Na porcie 445 też sieją robaczki. 2. Poszukaj na googlach to bedziesz wiedział na jakich portach
3. Nie skanuj wersją demo
Cytuj: Antywira nie mam
Gratuluje
|
|
| Autor: | marcin [ sobota, 13 stycznia 2007, 00:39 ] |
| Tytuł: | |
Nie jest mi potrzebny, notebook, strasznie zamula, cos z ap, co masz na mysli. Wrzucilem knoppixa i to samo!!!! Jak jestem w firmie to nie lacze sie przez ap, kabel i do serwerka, dzieje sie to samo, wyglada tak jak by cos spisalo mojego mac w bloku, dzialalo na serwerze, bez sensu. jak mozna sprawdzic ap. pod jakim katem i czym bo nie wiem czego szukac |
|
| Autor: | Maciek [ sobota, 13 stycznia 2007, 01:11 ] |
| Tytuł: | |
A po polsku jak by to było? Bo ja z tych bredni naprawdę nic nie potrafię zrozumieć. |
|
| Autor: | sert [ sobota, 13 stycznia 2007, 01:29 ] |
| Tytuł: | |
wlacz jakiegos sniffera np. Ethereal'a i szukaj, po drugie sam piszesz ze jeden gostek sieje na 445 to bierz go za dupe ( nie doslownie  ) i wyczysc mu system z doswiadczenia wiem ze nie kazdy program poradzi sobie z wszystkimi wirusami, ostatnio skanowalem Node'm, Mks, Avastem a dopiero Kaspersky sobie poradzil
|
|
| Autor: | marcin [ niedziela, 14 stycznia 2007, 13:20 ] |
| Tytuł: | |
Racja tylko dlaczego komp tak samo się zachowuje jak jest na min linux? Tak na marginesie: Jak można zmienić temat posta, bo zrobiłem byka!!! |
|
| Autor: | sert [ niedziela, 14 stycznia 2007, 19:02 ] |
| Tytuł: | |
marcin pisze: Racja tylko dlaczego komp tak samo się zachowuje jak jest na min linux? no to dziwne ale musi byc jakas przyczyna co do podszywania sie pod adres to wnioskuje ze nie masz zarzadzalnych switchy, wiec zmien swoj Mac na inny jemu pozostanie twoj, bierzesz laptopa i podpinasz pod switcha nastepnie pingujesz hosta, bedzie widzial gdzie leca zapytania, jak ida na most to robisz to samo w danym bloku i zaraz dorwiesz gostka marcin pisze: Tak na marginesie: Jak można zmienić temat posta, bo zrobiłem byka!!!
chyba nie da sie |
|
| Autor: | Jacq [ poniedziałek, 15 stycznia 2007, 01:50 ] |
| Tytuł: | |
gdzie zrobiłeś tego byka? |
|
| Autor: | marcin [ poniedziałek, 15 stycznia 2007, 02:06 ] |
| Tytuł: | |
Nie, chyba jest dobrze uje się nie kreskuje? Chyba, że teraz zrobiłem byka. Czyli tak idę do bloku wpinam się w swicza i puszczam ping na adres serwera? |
|
| Autor: | sert [ poniedziałek, 15 stycznia 2007, 02:12 ] |
| Tytuł: | |
no na adres serwera ale na ten adres co przed zmiana czyli ten pod ktory ci sie ktos podszywa dla ulatwienia dodaj sobie do ping'a -i 0.001 |
|
| Autor: | marcin [ poniedziałek, 15 stycznia 2007, 23:19 ] |
| Tytuł: | |
Hmmm adresu nie zmieniałem tylko mac adres i nie zmieniałem go w serwerze tylko na swoim laptopie. |
|
| Autor: | sert [ wtorek, 16 stycznia 2007, 00:46 ] |
| Tytuł: | |
marcin pisze: Hmmm adresu nie zmieniałem tylko mac adres i nie zmieniałem go w serwerze tylko na swoim laptopie.
piszac adres mialem na mysli Mac address co do zmiany to raczej musisz zmienic Mac adres w serwerze po to abys mogl pingowac komputer pod ktory sie ktos podszywa bo nie wiem jak beda leciec pakiety w przypadku jak sa 2 kompy o tym samym Mac adresie |
|
| Autor: | marcin [ wtorek, 16 stycznia 2007, 01:02 ] |
| Tytuł: | |
ale wyrzuciłem wadliwy adres z arp, czyli raczej nikt go nie wykorzystuje |
|
| Autor: | sert [ wtorek, 16 stycznia 2007, 01:14 ] |
| Tytuł: | |
zrob jak uwazasz ale wydaje mi sie ze jest to prosty i skuteczny sposob na znalezienie winowajcy w kilka minut (jak bedzie potrzeba latania z bloku do bloku )
|
|
| Autor: | marcin [ wtorek, 16 stycznia 2007, 22:41 ] |
| Tytuł: | |
A może być tak, że switch zapamiętuje mac? Bo dzisiaj znowu byłem w blokach, wracam do sklepu i znowu to samo. Wirusa bym wykluczył bo w blokach nic takiego się nie dzieje, net śmiga. To że ktoś się podszywa raczej też wykluczam, za dużo przypadków, po pierwsze zawsze gdy tam jestem tak się dzieje, czyli gościu musiał by siedzieć przy kompie dzień i noc. |
|
| Autor: | Jacq [ środa, 17 stycznia 2007, 00:28 ] |
| Tytuł: | |
A czemu może nie mieć
Nie każdy wirus "wyłącza" internet Są takowe które np. sieją po sieci fałszywymi MAC-kami.
|
|
| Autor: | marcin [ środa, 17 stycznia 2007, 01:22 ] |
| Tytuł: | |
A co można zrobić w takim wypadku? Nie pasuje mi to, to dlaczego u klientów jest dobrze? Może dlatego że oni nie podłańczają się w innych miejscach w sieci?? Ale co do tego ma wirus? Nie lubi transparentnych mostów?? Jeżeli to wirus to dlaczego nie przenosi się na inne kompy?? |
|
| Autor: | sert [ środa, 17 stycznia 2007, 03:33 ] |
| Tytuł: | |
Inaczej, narysuj schemat sieci i po: 1) czy na serwerze w tym momencie dziala normalnie net 2)czy wszystkim user'om musli net czy tylko w okreslonym bloku, bloki masz podlaczone skretka czy 2,4ghz albo 5ghz 3) jak logujesz polaczenia (a mam nadzieje ze tak ) to sprawdz logi z godzin w ktorych muli net
|
|
| Strona 1 z 2 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|