Freesco, NND, CDN, EOS

Witam...

Jak w temacie . Dziś wieczorem no jakieś 15 min przed napisaniem tego postu włączyłem standardowo SNIFERA do sprawdzani sieci co się dzieje i kto ma jakiego wira ( no chodzi o to kto robi ruch na sieci i obniża jej ogólna wydajność ).
Co się ukazało moim oczom to do tej pporyy nie mogę uwierzyć NND złapało WIRA i to robaka ( w każdym bądź razie tak mi się wydaje bo podobnie ukazuje SIĘ BLASTER ).
poniżej zamieszam SKRINA z tego programu co ukazuje właśnie tego WIRA a konkretnie HYBA BLASTERA albo jakiegoś robaka

http://80.51.255.93:93/lol1.JPG

Dziś w nocy zainstaluje MksA (tego z download) morze to cos pomorze ALE jak by sicie mieli jakieś inne pomysły to proszę. Czy też propozycje co to morze BYĆ !!!

Bzdury waść pleciesz i to na dodatek z fatalną ortografią...

_________________
Belfer.one.PL
Audio Cafe

Jak waść wie to czemu nie powie . ?

A na dodatek przy poszukiwaniach tego zdarzenia znalazłem kolesia co siedział na 192.168.0.255 ( brodkascie ) i miał neta . A w zasadzie nigdy tego na serwie nie blokowałem .

UUps sory http mi się wyłączyło ale już powinno być dostępne.

1) Nie widzę na jakie porty wysyła router (192...1) Blaster działa na 135.

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator

Witam ...
1.) problem wrócił ( totalnie miażdżąco )prawie 45kb generuje mi odebranych na kompie pakietów ( tak jak na załączonym obrazku )

HODIZ MI TU o TEN programik co pokazuje jaki ruch jest na LANIE

2.) uuuu nie zgodzę się z tobą to jest totalnie robak SERIO takie samo mam u ludzi i wiem że ma blastera ( no nie koniecznie jego ) ale ma wira na 100%

3.) sprawdziłem NND MKSem i nic ( jedynie to na chwile umilkł i tyle )

4.) to jest protokół arp i jak widać w JPG on tylko zapytuje cala klasę 255*255 bo mam 2 zera na końcu ( to morza sobie wyobrazić jaki ruch robi [ wapy zwiesza masakra ])

5.) próbowałem to wykasować icmp-kiem ale nic z tego
iptables -I INPUT -p icmp -s 192.168.0.1/16 -j DROP i z opcją d i z ustawieniem OUTPUT i nic to nie dało ( standardowo on wrzucił ta regułkę do tablicy FILTER ) nie próbowałem z NAT ani z managle ( ale to jest do czegoś innego )

6.) CO radzicie ( macie jakieś pomysły )


INFO o ARP z stąd -- >> http://www.amwaw.edu.pl/~adybkows/telefonip/5.3.html


ps.
morze to jakis protokul robi a ja o nim nie wiem , ale nic niewlączałem

Witam ...

Wiec tak
gdy wpisałem tak regułkę iptabes -I FORWARD -j DROP OKI przestało naparzać z SERWA tymi ARP Ale jednocześnie nie maam tłumaczenia i net mi nie działa ((( a gdy dodałem taką regułkę ( tyko wpuściłem net na port 80 no www ) iptables -I FORWARD -p tcp -s 192.168.0.1/16 --dport 80 -j ACCEPT
to zaczęło obrazu naparza I TU MMA problem a W zasadzie pytanie przecenisz wpuściłem port 80 i na tcp to czemu zaczął naparzać SERWER tymi ARP moje usługi z ps auxa to

USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 3.9 0.1 480 228 ? S 02:12 0:03 init [3]
root 2 0.0 0.0 0 0 ? SW 02:12 0:00 [keventd]
root 3 0.0 0.0 0 0 ? SW 02:12 0:00 [kapmd]
root 4 0.0 0.0 0 0 ? SWN 02:12 0:00 [ksoftirqd_CPU0]
root 5 0.0 0.0 0 0 ? SW 02:12 0:00 [kswapd]
root 6 0.0 0.0 0 0 ? SW 02:12 0:00 [bdflush]
root 7 0.0 0.0 0 0 ? SW 02:12 0:00 [kupdated]
root 8 0.0 0.0 0 0 ? SW 02:12 0:00 [kinoded]
root 9 0.0 0.0 0 0 ? SW 02:12 0:00 [kjournald]
root 60 0.0 0.3 1632 696 ? S 02:12 0:00 /usr/sbin/syslogd
root 63 0.0 0.2 1360 460 ? S 02:13 0:00 /usr/sbin/klogd -c 3 -x
root 65 0.0 0.2 1396 524 ? S 02:13 0:00 /usr/sbin/inetd
root 68 0.2 0.7 3044 1388 ? S 02:13 0:00 /usr/sbin/sshd
root 74 0.0 0.2 1480 552 ? S 02:13 0:00 /usr/sbin/crond -l10
root 155 0.0 0.8 2628 1656 ? S 02:13 0:00 dhcpd eth1
nobody 157 0.0 0.4 1848 872 ? S 02:13 0:00 thttpd -p 80 -u nobody -d /var/www -l /dev/null
root 160 0.0 0.4 1848 872 ? S 02:13 0:00 thttpd -p 82 -u root -d /var/wwa82 -l /dev/null -c **.cgi
proc 163 0.0 0.3 1564 628 ? S 02:13 0:00 /usr/local/sbin/oidentd -m -u proc -g proc
root 166 0.3 1.2 4480 2464 ? S 02:13 0:00 /usr/sbin/named
root 272 0.0 0.2 1356 488 tty1 S 02:13 0:00 /sbin/agetty 38400 tty1 linux
root 273 0.0 0.2 1356 488 tty2 S 02:13 0:00 /sbin/agetty 38400 tty2 linux
root 274 0.0 0.2 1356 488 tty3 S 02:13 0:00 /sbin/agetty 38400 tty3 linux
root 275 0.0 0.2 1356 488 tty4 S 02:13 0:00 /sbin/agetty 38400 tty4 linux
root 276 0.0 0.2 1356 488 tty5 S 02:13 0:00 /sbin/agetty 38400 tty5 linux
root 277 0.0 0.2 1356 488 tty6 S 02:13 0:00 /sbin/agetty 38400 tty6 linux
root 278 0.0 0.2 1356 488 tty10 S 02:13 0:00 /sbin/agetty 38400 tty10 linux
root 279 0.1 0.8 5660 1608 ? S 02:14 0:00 /usr/sbin/sshd
root 281 0.1 0.6 2304 1324 pts/0 S 02:14 0:00 -bash
root 292 0.0 0.4 2656 808 pts/0 R 02:14 0:00 ps aux


morze to cos komu powie bo ja tu nie wiedze żeby to miała usługa jakąś robić a i z TOPa

293 root 19 0 984 984 804 R 0.3 0.5 0:00.04 top
1 root 10 0 228 228 196 S 0.0 0.1 0:03.73 init
2 root 9 0 0 0 0 S 0.0 0.0 0:00.00 keventd
3 root 9 0 0 0 0 S 0.0 0.0 0:00.00 kapmd
4 root 18 19 0 0 0 S 0.0 0.0 0:00.00 ksoftirqd_CPU0
5 root 9 0 0 0 0 S 0.0 0.0 0:00.00 kswapd
6 root 9 0 0 0 0 S 0.0 0.0 0:00.00 bdflush
7 root 9 0 0 0 0 S 0.0 0.0 0:00.00 kupdated
8 root 9 0 0 0 0 S 0.0 0.0 0:00.00 kinoded
9 root 9 0 0 0 0 S 0.0 0.0 0:00.00 kjournald
60 root 9 0 696 696 584 S 0.0 0.4 0:00.03 syslogd
63 root 9 0 460 460 400 S 0.0 0.2 0:00.01 klogd
65 root 9 0 524 524 464 S 0.0 0.3 0:00.01 inetd
68 root 9 0 1388 1388 1284 S 0.0 0.7 0:00.12 sshd
74 root 9 0 552 552 484 S 0.0 0.3 0:00.00 crond
155 root 9 0 1656 1656 840 S 0.0 0.9 0:00.01 dhcpd
157 nobody 9 0 872 872 668 S 0.0 0.5 0:00.00 thttpd
160 root 9 0 872 872 668 S 0.0 0.5 0:00.00 thttpd
163 proc 8 0 628 628 548 S 0.0 0.3 0:00.00 oidentd
166 root 17 0 2492 2492 1848 S 0.0 1.3 0:00.29 named
272 root 9 0 488 488 428 S 0.0 0.3 0:00.01 agetty
273 root 9 0 488 488 428 S 0.0 0.3 0:00.00 agetty
274 root 9 0 488 488 428 S 0.0 0.3 0:00.00 agetty
275 root 9 0 488 488 428 S 0.0 0.3 0:00.00 agetty
276 root 9 0 488 488 428 S 0.0 0.3 0:00.00 agetty
277 root 10 0 488 488 428 S 0.0 0.3 0:00.01 agetty
278 root 10 0 488 488 428 S 0.0 0.3 0:00.00 agetty
279 root 11 0 1608 1608 1456 S 0.0 0.8 0:00.03 sshd
281 root 15 0 1324 1324 1032 S 0.0 0.7 0:00.02 bash


aa dodam iż byłem sam a nawet wpiąłem się krosem do SERWA i takie cosik się dziej CZY TO WINA NND aa lolgi nic nie pokazują żeby złego się cos działo .

może to wina named? spróbuj go wyłączyć.

Nie do końca rozumiem Twoje problemy ale podczas ataku Blastera:
1) Ja zainstalowałem sobie mrtg oraz oglądałem logi /var.log/syslog
Dzieki temu wiedziałem, że atakuje Blaster oraz KTO go ma.
Zadzwoniłem do gościa i powiedziałem mu, że jak za dwie godziny nie skasuje to go odłaczam ( ja mu skasuję Blastera za 30-50 zł).

Po tym się uspokoiło. Z tym że moja sieć to przetrzymywała - blokowało się ale jakoś chodziło.

2) Jeden z gości puścił Kazę czy inne ... na MAXA dało to efekt na mrtg 600MB/sek WYSYŁANIA (pakiety atrakowały router) po telefonie się uspokoiło. Gość tłumaczył, że sam nie wiedział co puścił ale ponieważ net mu się blokował to chętnie współpracował .

3) Padł mi router i w nerwach stawiałem nowy (10 minut) niestety popełniłem błąd wpisując w routerze bramę zew. zamiast 195....254 to 195,..1 czyli ten interfejs co był w routerze. Internet muląc się okropnie chodził a na ekranie kooopa komunikatów.

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator

Witam...



Nie źle zrozumiałeś JPG to serwer WYSYŁA zapytania do sieci i tu jest problem nie że TOS mi wysyła ( to to pikus bo zawsze morzna kolesia bloknąć ; podzielić na podsieci aby nie zakłócał innych ; czy też mu powiedzieć że ma blastera ; to to nie problem ) chodzi o to że MUJ serwer wysyła w siec zapytania na ARP do all IP jakie udostępniłem FORWARDEM ( jak tam wyżej przeczytasz , no nawet jak zblokowałem all forward i tylko udostępniłem KONKRETNY PORT 80 obrazu zaczął naparzac ) i z powodu tego WAPY się zwieszaja ( an wapach nikt niam tego alni blastera bo dalej nieweim z czego to sa zapyania jkai wirus to robi MORZE < SASER > ) i 2 swicze mi się zapętliły (zapętliły to chodzi mi o to iż jak odpalisz LANCZATA to robi DUPLIKATY na BRODKASCIE [podwójne info ci wyrzuca zamiast tylko jeden text co wpisałeś ] [siec pada])

Wiec dalej
Zabilem to co sie dalo i nadal naparzal ( zostalo tylko to )
root 1 0.0 0.1 480 228 ? S 04:08 0:03 init [3]
root 2 0.0 0.0 0 0 ? SW 04:08 0:00 [keventd]
root 3 0.0 0.0 0 0 ? SW 04:08 0:00 [kapmd]
root 4 0.0 0.0 0 0 ? SWN 04:08 0:05 [ksoftirqd_CPU0]
root 5 0.0 0.0 0 0 ? SW 04:08 0:00 [kswapd]
root 6 0.0 0.0 0 0 ? SW 04:08 0:00 [bdflush]
root 7 0.0 0.0 0 0 ? SW 04:08 0:00 [kupdated]
root 8 0.0 0.0 0 0 ? SW 04:08 0:00 [kinoded]
root 9 0.0 0.0 0 0 ? SW 04:08 0:00 [kjournald]
root 68 0.0 0.7 3044 1388 ? S 04:09 0:00 /usr/sbin/sshd
root 674 0.0 0.8 5740 1632 ? S 14:56 0:00 /usr/sbin/sshd
root 676 0.0 0.6 2312 1336 pts/0 S 14:57 0:00 -bash
root 844 0.0 0.4 2656 808 pts/0 R 16:17 0:00 ps aux

ALE wbilem te regulki
iptables -t nat -I PREROUTING --match mac --mac-source ff:ff:ff:ff:ff:ff -j DROP
.
iptables -t nat -A PREROUTING --match mac --mac-source ff:ff:ff:ff:ff:ff -j DROP
.
iptables -t nat -I PREROUTING --match mac --mac-source 00:00:00:00:00:00 -j DROP
.
iptables -t nat -A PREROUTING --match mac --mac-source 00:00:00:00:00:00 -j DROP
.
iptables -I FORWARD --match mac --mac-source ff:ff:ff:ff:ff:ff -j DROP
.
iptables -A FORWARD --match mac --mac-source ff:ff:ff:ff:ff:ff -j DROP
.
iptables -I FORWARD --match mac --mac-source 00:00:00:00:00:00 -j DROP
.
iptables -A FORWARD --match mac --mac-source 00:00:00:00:00:00 -j DROP
.
.
I jak na razie USTALO !!! WIEM że to dziwne bo to po pierwsze są regułki o zapytanie do serwera ( czyli serwer nie wpuszcza tych maków ) a nie żeby nie wypuszczał zapytania w siec do tych maków .. i .. jeszcze to że dałem każda regułkę podwójnie NA początek FIREWALA i na koniec ( tu też dopiero wtedy zadziałało ) TOTALNIE DZIWNE jak dla mnie

ALE jakby ktoś miał jakiś pomysł co to morze być TO by było fajnie bo to co ja zrobiłem to POLOWICZNE rozwiązanie ((( (( i piernik wie co z tego wyniknie

A może to wina sprzętu? Wymień sieciówkę, odepnij wszystkich /fizycznie/ i pozostaw włączonego tylko swojego kompa i wtedy sprawdź.

Jeżeli blokujesz na FORWARD i to pomaga to by znaczyło, że coś PRZELATUJE przez router a nie ROUTER wypuszcza pakiety.

Spróbuj jeszce pokombinować z interfejsami, tzn. zablokuj np. interfejs internetowy i zobacz czy dalej to samo, potem odwrotnie interfejs wewnetrzny...

Może to coś atakuje Cię z zewnątrz ??

Nie pamietam czy pytałem, czy masz firewall zCiecha ?

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator