Вопрос к Домолинку по трафику

[af-super]

Сейчас я вам расскажу одну историю, конца у которой пока что нет.
Я подлкючился к Домолинку на тариф ОптимаЛинк ещё 3 месяца назад, всё было замечательно... ДО ВЧЕРАШНЕГО ДНЯ!!!
Просыпаюсь я вчера радостный, включаю компьютер, а у меня трафика 807186425 байт(769 МБ)! Я в ужасе не понимая откуда он взялся т.к. точно помню что я кроме 2-х форумов на 3bb.ru не пользовался внешним интернетом пишу письмо в служьу поддержки ВСИ, а мне там отвечают-вы качали, мы посчитали, вот ip с которого качали и дают мне айпишник. Я начал разбираться в чём дело. С конца сентября у меня стоит Тметер, то есть весь ноябрь считает. Я посмотрел и Тметере у меня эти байты есть. Ну что ж их сожрал счастливый троянчик! Он был снесён, пароль на сервере статистики поменян, пакетный фильтр включён... Но это только начало...
Уже сегодня я захожу на сервер статистики и вижу там 861 351 956, а вот Тметер за весь месяц начитал мне 846 974 204, то есть получается 14 МБ взялись из воздуха, т.к. напоминаю троян снесён, пакетник поставлен, пароль поменян... но... троян не был снесён к 06.11.2006:13:55:52 когда мне насчитали эти хреновы считаводы 53 280 015, но пакетник то стоял, так что делаю вывод даже этот их хвалёный пакетник не спасает... и вообще круто когда телефонный кабель от модема отключён, а на сервере статистике мне подсчитывают мегабайты... вот отрубил я модем, а они мне получается сколько захочат столько и насчитают что ли?

Теперь кто знает подскажите мне если мне придёт счёт за телефон, а я не захочу платить за интернет, а заплачу только за тел.связь мне телефон не отрубят?

[af-super]

читайте
http://u-antona.vrn.ru/forum/showthr...98#post2411198

[UrAgAn]

а фаервольчег поставить?

[teemplazza]

af-super, не знаю я верю в граматно настроенный пакетник...

[af-super]

сверхествественного в этом пакетнике ничего не вижу, и на строен он у меня 100% правильно, только вот уже входящего трафика у меня на данный

[af-super]

момент времени почти 3 мб. Откуда спрашиваеца... про файрвол мне даже не говорите-включён!!!!

[avf]

af-super, покажи скриншот твоего 100% правильного пакетного фильтра.

[DrIQ]

пока что еще не было ни одного случая, чтобы само взялось из ниоткуда...

читайте мануалы - тметер это не истина уже сто раз писали.

а за такой тон получаете предупреждение.

[20 KB]

Цитата:

Сообщение от af-super

Потому что я думаю отключать такую шнягу потому что не хочу чтобы меня обманывали на пустом месте! И не буду платить за то чего не совершал. И пошли они в ж*пу с таким е**чим ADSL и пусть засунут себе в очко свой доисторический биллинг и пакетник! И будь они прокляты черти!

af-super, круто конечно ругаешься, но как говорится, не проклинай и не проклинаем будешь.
Ошибки в Домолинке при подсчёте сумм бывают, я сам убеждался, но советую всё же спокойно во всём разобраться, и, если необходимо, подать письменное заявление, его обязательно рассмотрят и тебе что-нибудь ответят.

[teemplazza]

af-super, да кстати....покажи..

[af-super]

Напоминаю, что согласно клиентскому договору вы и
только вы несете ответственность за работу в Интернет под вашим логином
вот что мне ответили на те 14 мб которые у меня кто то спёр... то есть что же получается, кто-то насаживает пароль спокойненько у себя дома юзает, а я виноват что у меня своровали? крууууто...
кстати вот ещё 202 402 510 байт локального трафика... только я недоумеваю как я его мог скачать если у меня на винчестере на тот момент было 83 мб... ооочень интересно!
если будет время пойду писать завтра же!

[af-super]

да вот он

[Silver Stone]

Цитата:

Сообщение от af-super

да вот он

213.248.60.195 - какой-то чат. Попробуй его закрыть, посмотри что будет.

еще одно правило интересное.
permit tcp ANY equal 110 any none

217.16.26.159 - webhosting.azz.ru

плюс майл, рамблер на которых много баннеров флеш...
для майла можно пользовать вот это http://xhtml.wap.mail.ru/cgi-bin/splash

мне кажется здесь есть куда траффику уходить

[af-super]

Silver Stone,
на этот чат не захожу, просто открыт,

Цитата:

Сообщение от Silver Stone

permit tcp ANY equal 110 any none

я точно уже и не вспомню, но по-моему это связано с почтой... но выключил...

Цитата:

Сообщение от Silver Stone

217.16.26.159 - webhosting.azz.ru

а вот по этому пункту у меня тоже сомнения...

а вообще я уже даже и не знаю, у меня такое ощущение что кто-то получил пароль к моему доступу... это вообще могут в домолинке посмотреть с какого телефона доступ по моему паролю производится?
потому что ниоткуда взявшиеся 14 мб меня сильно смущают и за вчерашний день 1.5 мб... но я уже 3 раза поменял пароль, проверился на трояны, и после проверки поменял пароль...
почту я проверяю the bat'ом так что я не захожу на веб-интерфейс... рамблер там работает только главная страница и я его не отрывал...
чтож, вот статистика за вчерашний день
Трафик из Интернет 07.11.2006:00:32:09 0.0.0.0 0.0.0.0 184 524
Трафик из Интернет 07.11.2006:01:14:16 0.0.0.0 0.0.0.0 31 560
Трафик из Интернет 07.11.2006:10:22:38 0.0.0.0 0.0.0.0 17 507
Трафик из Интернет 07.11.2006:10:39:34 0.0.0.0 0.0.0.0 23 295
Трафик из Интернет 07.11.2006:10:58:50 0.0.0.0 0.0.0.0 9 477
Трафик из Интернет 07.11.2006:11:18:45 0.0.0.0 0.0.0.0 19 092
Трафик из Интернет 07.11.2006:11:21:14 0.0.0.0 0.0.0.0 971
Трафик из Интернет 07.11.2006:23:43:42 0.0.0.0 0.0.0.0 1 452 510
Трафик из городской сети 07.11.2006:00:31:38 0.0.0.0 0.0.0.0 1 739 528
Трафик из городской сети 07.11.2006:01:14:16 0.0.0.0 0.0.0.0 4 279
Трафик из городской сети 07.11.2006:10:22:38 0.0.0.0 0.0.0.0 72 632
Трафик из городской сети 07.11.2006:10:39:34 0.0.0.0 0.0.0.0 935 974
Трафик из городской сети 07.11.2006:10:58:50 0.0.0.0 0.0.0.0 430 802
Трафик из городской сети 07.11.2006:11:18:45 0.0.0.0 0.0.0.0 294 024
Трафик из городской сети 07.11.2006:11:21:14 0.0.0.0 0.0.0.0 1 289
Трафик из городской сети 07.11.2006:23:43:42 0.0.0.0 0.0.0.0 516 185
пока что всё нормально, но это притом что я вчера модем из сети дерганул на целый день с 11 до 23... чтож теперь может правда его не включать?
а насчёт моих ниоткуда взявшихся 728 мб... неужели троян мог стока вкачать? и зачем? и куда он их мог вкачать если у меня на диске нет места под столько? но вот тметер это зарегистрировал...
а вот несчастные 14 мб мне приписали ниоткуда да и зачем мне их качать када я уже на 700 с лишним попал и пакетник был включен, только мне говорят что выключен...
да и ещё локального трафа на 200 мб... тож мне их некуда вкачивать то, на тот момент у меня было доступно только 83 мб на диске Д и 25 мб на диске Ц... вот поэтому мне и кажется что какой-то добрый пользователь домолинка из Воронежа тырит у меня, но по чуть-чуть... из дома пароль утечь не мог 100%! троян передал? но как я уже говорил пароль я менял... не знаю, буду ждать ответа, а если будет накапывать дальше то пойду с письменной формой во ВСИ...

[af-super]

permit tcp ANY equal 110 any none
без это строки почту не получает =(((

[af-super]

теперь мой пакетник выглядит так, убрал всё лишнее...

[af-super]

а ваще я вам скажу вот что... мои догадки как у меня спёрли пароль...
один из кулхацкеров берёт заходит на мой IP который пропалил в стронг DC, заходит в настройки модема, беспалева сморит мой парольчег на соединение в настройках с помощью программы, например peeper, вбивает его и качаит информацию как хочит... мне пока что повезло что это 14 мб... так что граждане-предохраняйтесь... миняйте пароли на 192.168.1.1 а то вот видите как просто спереть...

[netwind]

af-super, ты только пиши заявление с просьбой подтвердить факт использования логина с другой абонентской линии и если подтвердят, то тащи в милицию. деньги, просто потому что ты профукал пароль, тебе конечно же не вернут.

кстати модемчик у тебя usb ? пароль в компе вбит?

[Ivan XXX]

Цитата:

Сообщение от af-super

миняйте пароли на 192.168.1.1

эт ваще-то самое первое, што делать надо. везде пишут об этом
а то оставят админ/админ, а потом жалуюцо

[avf]

af-super, лог с сервера авторизации в котором видно состав фильтра на тот момент показать? вот он:

Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] INDEX Name:'vauxkeg' Called:'' Calling:'' Nas:'c10008-a77' Nas Port Type:'Virtual' DSL:'ma1-a31 0/0/0/61:10.40'
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] PASSCHECK Cached: vauxkeg, chap accept
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS get profile name for vauxkeg from cache -> 'vauxkeg'
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS profile 'vauxkeg' not in cache, get from db
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS profile 'PF_DSL_INET_ISG' in cache
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS profile 'PF_DENY_NETBIOS' in cache
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS profile 'PF_VPDN_ISG' in cache
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS profile 'PF_VPDN_ROUTER' in cache
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] SIMUL checking 'vauxkeg' for 1, cnt=0 -> OK
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#1=permit ip host 80.82.32.9 any}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#2=permit tcp host 80.82.32.53 eq 80 any}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#3=permit ip host 80.82.32.14 any}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#4=deny ip host 80.82.32.10 any}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#5=deny ip host 80.82.32.11 any}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#6=deny ip host 80.82.32.19 any}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#7=deny ip host 80.82.32.27 any}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#8=permit ip 80.82.32.0 0.0.31.255 any}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#9=permit ip 88.83.192.0 0.0.31.255 any}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#10=permit tcp 64.12.0.0 0.0.255.255 eq 5190 any established}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#11=permit tcp 205.188.0.0 0.0.255.255 eq 5190 any established}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#12=permit tcp host 194.67.23.102 eq 110 any established}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#13=permit tcp host 194.67.23.111 eq 25 any established}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#14=permit tcp any eq 110 any established}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#15=permit ip host 81.19.70.1 any}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#16=permit ip host 87.242.123.16 any}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#17=permit ip host 217.16.26.159 any}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#18=permit ip host 84.17.243.19 any}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#19=permit ip host 213.248.60.195 any}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#20=permit tcp host 63.208.196.95 eq 443 any}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair {ip:outacl#21=permit ip any any}
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair ip:vrf-id=inet
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair ip:ip-unnumbered=Loopback100
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-AVPair ip:sub-qos-policy-in=assign_mpls_exp_inet
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Framed-Routing None
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Service-Type Framed-User
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Framed-MTU 1500
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-Account-Info Avsi-net-svc
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-Account-Info Aall-inet-svc
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Cisco-Account-Info Aportal
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] OPTIONS Framed-Protocol PPP
Nov 5 10:32:24 serva radiusd: [ID 702911 local6.info] [WWYgP551] ACCT Start Current IP=88.83.204.220

обратите внимание на последнее правило permit ip any any.

А если Вы считаете, что Ваш пароль кто-то украл - прямая дорога в правоохранительные органы. Вычислить злоумышленника не составит труда, т.к. в первой строчке DSL:'ma1-a31 0/0/0/61:10.40' - это то с какого порта и по каким vpi/vci пришло соединение.

Все ходы записаны.

[teemplazza]

af-super, netwind, а разьве логин и пароль не на станции привзан к линии?

[Silver Stone]

Цитата:

Сообщение от af-super

permit tcp ANY equal 110 any none
без это строки почту не получает =(((

да это почта, но лучше вместо any поставить конкретный IP почты, кот. пользуешься

[netwind]

teemplazza, неа, можешь лишную абонетку сдавать друзьям..

[af-super]

netwind, нет, модем подключён через сетевуху... всмысле вбит?

[af-super]

да сделали хотя бы привязку к твоему номеру было бы лучше... короче они там просто деньги собирают и делать больше ничего не хотят...

[af-super]

даже када у тебя кто-нить сопрёт пароль накачает-всё равно тебе же платить, а им это в радость =))))))))

[teemplazza]

а мне кажеться что твой логин и пароль вбит в кросс, а кросс в линию....будем щас пробовать это на практике...результаты отпишу

[netwind]

teemplazza, зря не веришь, такова специфика.
адсль-концентратор выводит твою линию некое пространство pppoe, а авторизация pppoe уже отдельно на роутерах. Пытливые пользователи могут заметить буковки a53 и a77, то есть их всего два на область (может есть и третий в резерве, не ко мне вопрос).

[netwind]

af-super, тогда вариант с трояном менее вероятен.
Может и пароль на модеме был по умолчанию. ( хотя мой dlink500T нифига с наружи с интернета не пускает в телнет).

В любом случае это не повод требовать возврата денег от ЦТ, не отдадут.

[netwind]

Так что работает или нет? вроде раньше на форуме поддержки писали что работает и так можно делать.
Судя по этому логу у домолинка есть техническая возможность cопоставить логины и порт на адсль-концентраторе и , если захотят, запретить.
Можете уже начинать обвинять домолинк в попустительстве в целях получения дохода.