Freesco, NND, CDN, EOS

Mam mały problem, mam sieć rozciągniętą w 4 blokach, ktoś ma jakiegoś wirusa, byłem tam dzisiaj i jak wróciłem to zaczęły mi się ciąć strony. po prostu przeglądarka wyświetla stronę do połowy i trzeba czekać, jak by gasło połączenie, coś wyszukuje przejęło mój mac karty, po zmianie maca wszystko chodzi cacy. Są takie wirusy? Mam zaporę!

Jak to znaleźć?

Co dokładnie miałeś na mysli i skąd taki wniosek?

Prosta sprawa, ogranicz liczbe połączeń i zablokuj porty robaków.
Jeżeli to nic nie da będziemy martwić się dalej



Może to głupie pytanie ale czy masz antywira?

_________________
Pozdrawiam

Antywira nie mam, ale poprzednim razem jak byłem w tych blokach (4 bloki podłączone do 1 ap z blokadą komunikacji) wirus nie wydostaje się na zewnątrz, myślę że to przez tą blokadę!, miałem to samo, wtedy zainstalowałem antywira (nic nie wykrył chyba to było avg) pomyślałem, że może coś z arp na serwerze, zmieniłem maca i było wszystko ok, do dzisiaj znowu tam byłem, do tej pory myślałem że nawalają radia (u klientów to samo!) tylko bloki podłączone do tego ap. Czym się objawia, poprostu na chwile (10s) zamiera sieciówka, naprzykład jak włączyłem sobie putty i iptraf na nim, żeby pokazywał ile pakietów płynie na interfejsie eth1, to pokazywał przez jakieś 10 s i zamarcie na 10 s, patrze na kontrolki od karty sieciowej (zgasły), zmieniam mac na inny jest lala, na porcie 445 mam strasznie dużo pakietów, ale to gostek podłączony do innego ap. Czyli to nie Blaster, porty mogę poblokować, ale to nie rozprzestrzenia się poza te 4 bloki, mam skrypt który udostępnia kilka portów, a resztę drastycznie obcina, działa! Muszę to znaleźć, albo wszystkim zrobić formata, ale sprawa jest ciekawa dlatego wolał bym to znaleźć.


Przeskanowałem Pandą 2007 demo i wykryła trojan downloader.mhl czy ten trojan może płatać takie figle? Szukałem w googlach ale nic ciekawego nie znalazłem, zablokował bym port ale nie wiem na jakim się rosprzestrzenia.

Wydaje mi się, że to nie to, sprawdzę jeszcze, ale jak dobrze pamiętam to po wystartowaniu kompa z knopixem było to samo, coś na serwerze czy wewnątrz sieci coś przekierowuje ruch?

Starałem się pozbierać Twój post do kupy i coś z niego wywnioskować więc wybacz mi jeżeli czegoś nie zrozumiałem.
Jeżeli te bloki są podpięte do jednego AP to czy nie wato by sprawdzić AP ?


1. Na porcie 445 też sieją robaczki.

2. Poszukaj na googlach to bedziesz wiedział na jakich portach

3. Nie skanuj wersją demo


Gratuluje

_________________
Pozdrawiam

Nie jest mi potrzebny, notebook, strasznie zamula, cos z ap, co masz na mysli. Wrzucilem knoppixa i to samo!!!! Jak jestem w firmie to nie lacze sie przez ap, kabel i do serwerka, dzieje sie to samo, wyglada tak jak by cos spisalo mojego mac w bloku, dzialalo na serwerze, bez sensu. jak mozna sprawdzic ap. pod jakim katem i czym bo nie wiem czego szukac

A po polsku jak by to było?
Bo ja z tych bredni naprawdę nic nie potrafię zrozumieć.

_________________
Belfer.one.PL
Audio Cafe

wlacz jakiegos sniffera np. Ethereal'a i szukaj, po drugie sam piszesz ze jeden gostek sieje na 445 to bierz go za dupe ( nie doslownie ) i wyczysc mu system z doswiadczenia wiem ze nie kazdy program poradzi sobie z wszystkimi wirusami, ostatnio skanowalem Node'm, Mks, Avastem a dopiero Kaspersky sobie poradzil

Racja tylko dlaczego komp tak samo się zachowuje jak jest na min linux?

Tak na marginesie: Jak można zmienić temat posta, bo zrobiłem byka!!!

no to dziwne ale musi byc jakas przyczyna

co do podszywania sie pod adres to wnioskuje ze nie masz zarzadzalnych switchy, wiec zmien swoj Mac na inny jemu pozostanie twoj, bierzesz laptopa i podpinasz pod switcha nastepnie pingujesz hosta, bedzie widzial gdzie leca zapytania, jak ida na most to robisz to samo w danym bloku i zaraz dorwiesz gostka


chyba nie da sie

gdzie zrobiłeś tego byka?

_________________
Pozdrawiam

Nie, chyba jest dobrze uje się nie kreskuje? Chyba, że teraz zrobiłem byka. Czyli tak idę do bloku wpinam się w swicza i puszczam ping na adres serwera?

no na adres serwera ale na ten adres co przed zmiana czyli ten pod ktory ci sie ktos podszywa

dla ulatwienia dodaj sobie do ping'a -i 0.001

Hmmm adresu nie zmieniałem tylko mac adres i nie zmieniałem go w serwerze tylko na swoim laptopie.

piszac adres mialem na mysli Mac address

co do zmiany to raczej musisz zmienic Mac adres w serwerze po to abys mogl pingowac komputer pod ktory sie ktos podszywa bo nie wiem jak beda leciec pakiety w przypadku jak sa 2 kompy o tym samym Mac adresie

ale wyrzuciłem wadliwy adres z arp, czyli raczej nikt go nie wykorzystuje

zrob jak uwazasz ale wydaje mi sie ze jest to prosty i skuteczny sposob na znalezienie winowajcy w kilka minut (jak bedzie potrzeba latania z bloku do bloku )

A może być tak, że switch zapamiętuje mac? Bo dzisiaj znowu byłem w blokach, wracam do sklepu i znowu to samo. Wirusa bym wykluczył bo w blokach nic takiego się nie dzieje, net śmiga. To że ktoś się podszywa raczej też wykluczam, za dużo przypadków, po pierwsze zawsze gdy tam jestem tak się dzieje, czyli gościu musiał by siedzieć przy kompie dzień i noc.

A czemu może nie mieć

Nie każdy wirus "wyłącza" internet Są takowe które np. sieją po sieci fałszywymi MAC-kami.

_________________
Pozdrawiam

A co można zrobić w takim wypadku? Nie pasuje mi to, to dlaczego u klientów jest dobrze? Może dlatego że oni nie podłańczają się w innych miejscach w sieci?? Ale co do tego ma wirus? Nie lubi transparentnych mostów?? Jeżeli to wirus to dlaczego nie przenosi się na inne kompy??

Inaczej, narysuj schemat sieci i po:
1) czy na serwerze w tym momencie dziala normalnie net
2)czy wszystkim user'om musli net czy tylko w okreslonym bloku, bloki masz podlaczone skretka czy 2,4ghz albo 5ghz
3) jak logujesz polaczenia (a mam nadzieje ze tak ) to sprawdz logi z godzin w ktorych muli net