Linux за българи: Форуми

Натъкнах се на неприятен проблем след токовия удар.
Като си пуснах компютрите, на този който ми служи за рутер има ненормално използване на входящ и изходящ трафик.

Всички портове и програми са спрени. Но трафика не спира, опитах да филтрирам няколко от мрежите, но ефекта бе само че още повече се засили трафика.

Установих че атаките в голяма част са от IP на Булсатком в Добрич.

http://imglink.ru/pictures/07-01-12/03bb5f71ba8abc8070d3949d02f2f77e.jpg

Извинявай ROKO, ама какво трябва да гледаме на снимката ти? Че процесора ти пак грее или че имаш входящ и изходящ трафик по-малко от 1 МБ?

Извинявай ROKO, ама какво трябва да гледаме на снимката ти? Че процесора ти пак грее или че имаш входящ и изходящ трафик по-малко от 1 МБ?

Ако няма да си обективен ми спести присъствието си.
32 градуса не са греене. Но натоварването беше жестоко.

Трафика се увеличава до 10 - 20 мегабита.

Исках идеи, а не някой като теб да се заяжда с мен.

Пуска ли скенер от рода на tcpdump, sniffer?

Пуска ли скенер от рода на tcpdump, sniffer?

Само с iptraf каквото можах да видя.

Само с iptraf каквото можах да видя.

Добре, ще споделиш ли с нас какво видя с iptraf?

Ако атаката идва от определено IP не е никакъв проблем да го забраниш с iptables,

Установих че атаките в голяма част са от IP на Булсатком в Добрич.

iptables -A INPUT -s xx.xxx.xx.xx -j DROP

Цитат на: AMD в Jan 07, 2012, 21:20

Само с iptraf каквото можах да видя.

Добре, ще споделиш ли с нас какво видя с iptraf?

IP адреси от Булсатком Добрич мрежа 46.10.X.X

Ако атаката идва от определено IP не е никакъв проблем да го забраниш с iptables,

Цитат на: AMD в Jan 07, 2012, 17:57

Установих че атаките в голяма част са от IP на Булсатком в Добрич.

iptables -A INPUT -s xx.xxx.xx.xx -j DROP

Пробвах, и както споменах по-долу трафика ставаше още по-силен след това.
Успях само да установя че покрай онлайн телевизиите съм барнал някоя помия която е останала в настройките на системата.

Защото с жив диск пробвах и нямаше трафик никакъв.

ама какъв е трафика?
TCP или UDP?!
Към определен порт?

ама какъв е трафика?
TCP или UDP?!
Към определен порт?

Не мога просто да видя, виждам само tcp udp всичко друго хвърчи с 200 километра.

Цитат на: Georgy в Jan 08, 2012, 18:28

ама какъв е трафика?
TCP или UDP?!
Към определен порт?

Не мога просто да видя, виждам само tcp udp всичко друго хвърчи с 200 километра.

Защо не редиректнеш изхода към някой файл или просто не си се сетил за това.... (chuckle)

Ако атаката идва от определено IP не е никакъв проблем да го забраниш с iptables,

Цитат на: AMD в Jan 07, 2012, 17:57

Установих че атаките в голяма част са от IP на Булсатком в Добрич.

iptables -A INPUT -s xx.xxx.xx.xx -j DROP

Нищо няма да направи с това.
Нали все пак трафика ще достигне до машината му? Какво като има правило DROP? :)

То проблема го локализирах. Но още не съм открил източника му.
Имам отделен дял за /home и 2 Операционни системи които го използват.

Та пробвах после и с другата която не я ползвам от месеци. Но и при нея абсолютно същото.

Най-лесното но и мизерно решение е да форматирам /home раздела и да си направя наново настройките.

То проблема го локализирах. Но още не съм открил източника му.
Имам отделен дял за /home и 2 Операционни системи които го използват.

Та пробвах после и с другата която не я ползвам от месеци. Но и при нея абсолютно същото.

Най-лесното но и мизерно решение е да форматирам /home раздела и да си направя наново настройките.

wtf?
И по какъв начин с форматиране и преинсталиране ще спреш атаката???

Проблема при тебе е локализиран и централизиран :)
Реално атаките можеш да ги спреш като извадиш кабела от мрежовата си карта :)

lsof | grep TCP

lsof | grep UDP

http://nethogs.sourceforge.net/



....и други подобни стъпки.

Цитат на: AMD в Jan 09, 2012, 15:10

То проблема го локализирах. Но още не съм открил източника му.
Имам отделен дял за /home и 2 Операционни системи които го използват.

Та пробвах после и с другата която не я ползвам от месеци. Но и при нея абсолютно същото.

Най-лесното но и мизерно решение е да форматирам /home раздела и да си направя наново настройките.

wtf?
И по какъв начин с форматиране и преинсталиране ще спреш атаката???

Казах че ще форматирам само раздела който ми служи за домашна директория.
Явно не си чел внимателно постовете ми.

Тествах от LiveUSB където нямаше такива проблеми. И единственото място е домашна папка. Защото и под друг потребител в същата система не се образува този луд трафик, а само под моят.

Цитат на: Mitaka в Jan 09, 2012, 16:45

Цитат на: AMD в Jan 09, 2012, 15:10

То проблема го локализирах. Но още не съм открил източника му.
Имам отделен дял за /home и 2 Операционни системи които го използват.

Та пробвах после и с другата която не я ползвам от месеци. Но и при нея абсолютно същото.

Най-лесното но и мизерно решение е да форматирам /home раздела и да си направя наново настройките.

wtf?
И по какъв начин с форматиране и преинсталиране ще спреш атаката???

Казах че ще форматирам само раздела който ми служи за домашна директория.
Явно не си чел внимателно постовете ми.

Тествах от LiveUSB където нямаше такива проблеми. И единственото място е домашна папка. Защото и под друг потребител в същата система не се образува този луд трафик, а само под моят.

Ами освен да си лепнал нещо.. някоя буба?

Цитат на: AMD в Jan 09, 2012, 22:30

Цитат на: Mitaka в Jan 09, 2012, 16:45

Цитат на: AMD в Jan 09, 2012, 15:10

То проблема го локализирах. Но още не съм открил източника му.
Имам отделен дял за /home и 2 Операционни системи които го използват.

Та пробвах после и с другата която не я ползвам от месеци. Но и при нея абсолютно същото.

Най-лесното но и мизерно решение е да форматирам /home раздела и да си направя наново настройките.

wtf?
И по какъв начин с форматиране и преинсталиране ще спреш атаката???

Казах че ще форматирам само раздела който ми служи за домашна директория.
Явно не си чел внимателно постовете ми.

Тествах от LiveUSB където нямаше такива проблеми. И единственото място е домашна папка. Защото и под друг потребител в същата система не се образува този луд трафик, а само под моят.

Ами освен да си лепнал нещо.. някоя буба?

Вероятно. Защото рових да търся онлайн телевизии. И изглежда някъде е имало някой вредел плейлист който да е набарал дупка в плейъра. Еба ли му мамата, това са само хипотези.

Здравей,

Опитай да монтираш /home дяла с "noexec", (fstab) и от двете дистрибуции.
Да видим какво ще стане.
Успех, Румен

Хмм а възможно ли е, само питам - възможно ли е някой от тези плугини за онлайн телевизия, които работят на P2P принцип, тип инхатч да му ползват компютъра за нещо като super node при скайп ?! И дефакто оттам да му иде трафика ?

Хмм а възможно ли е, само питам - възможно ли е някой от тези плугини за онлайн телевизия, които работят на P2P принцип, тип инхатч да му ползват компютъра за нещо като super node при скайп ?! И дефакто оттам да му иде трафика ?

Въпроса е че само изтеглих няколко готови плейлисти от български сайтове. В xml формат.

Но това не мисля че е проблем в системата. С друг потребител в нея нямам никакъв проблем.

Мислех си за идеята на Рей за noexec но трябва да пробвам.

Хмм а възможно ли е, само питам - възможно ли е някой от тези плугини за онлайн телевизия, които работят на P2P принцип, тип инхатч да му ползват компютъра за нещо като super node при скайп ?! И дефакто оттам да му иде трафика ?

 това е много логично предположение, преди няколко месеца имах същия проблем и виновника се оказа скайп. Излових го с тази програма:

 http://etherape.sourceforge.net/

 Оттогава зареждам скайп ръчно само при нужда.

 пс това за inhatch съм си го мислел, много внезапно се появиха и пак така изчезнаха, дали цялата работе не беше посявка на трояци или други вируси

Елементаренo,задача от 3-ти  клас :)
Защо просто не видиш на кои порт и кое приложение прави трафика ?!
Има маса тулове като почнеш ifstat,iftop,iptraf,lsof,netstat,tcpdump ..