On Wed, 12 Jan 2005 18:38:51 +0300 Andrey Melnikoff <[EMAIL PROTECTED]> wrote:
> Ildar Shaynurov <[EMAIL PROTECTED]> wrote: > > On Wed, 12 Jan 2005 17:46:22 +0300 > > Andrey Melnikoff <[EMAIL PROTECTED]> wrote: > > > > Ildar Shaynurov <[EMAIL PROTECTED]> wrote: > > > > Всем привет. > > > > > > > > > > Такая проблема. > > > > Откуда-то из внутренний сети ползет бешенный трафик. > > > > Судя по всему троян сидит. > > > > > > > Чем можно посмотреть с каких ip-адресов это все лезет и куда > > > > уходит. И скаких портов идет. > > > > Ну на шлюзе есстесно стоит linux Master 2.2. Все идут через NAT. > > > > > > > Пока что просто закрыл всем прямой досту и оставил только > > > > прокси. > > > Это надо было делать раньше и навсегда. Дабы всякие спамилки да > > > вирусынапрямую через NAT в интернет не шастали. > > > Заодно, в /etc/network/options поставить spoofprotect=yes > > У нас много софта есть который не толкьо по http, ftp ходит. ПОэтому > > так не подойдет > Ну как бы тебе это сказать... Для них можно дырку с dst:20,21 > оставить. Я говорю, что не только http и ftp используется. А не то, что кроме http используется ftp > > > > По одному откурывал компы и таким образом выявил три компа с > > > > которых идетбольшой трафик, но антивирусом на них ничего не > > > > нашел. > > > Антивирус какой ? Бери hijackthis (ищеться в гуглях) и смотри, > > > чего он тамнайдет. Все подозрительное - ручками выковырять и в > > > virustotal.org скормитьна проверку. > Ты всё-таки скажи - какой у тебя антивирус? Читать выше надо. Я писал уже об этом. DrWeb свежий > > > > Хотелось бы выявить остальные машины (а они точно есть), и > > > > попытатьсянайти троянов. НА клиентских машинах стоит WinXP > > > Без сервиспаков и обновлений ? > > сервис пак 1-ый стоит. Больше нету. > Мдя. И www.windowsupdate.com ничего не предлогает? И на лотках у > продавцовнету супер нового диска с XPSP2? Ага. Ставил я уже такое. Матерился долго. Пока sp3 не выйдет ничего ставить не буду. На одном компе еще стоит этот SP2. Дак постоянно с ним какие-то проблемы, вечно то его не видят, то он сетку не видит. Да и так глюки по мелкому. > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]