Если это ваш первый визит, рекомендуем почитать справку по форуму. Для размещения своих сообщений необходимо зарегистрироваться. Для просмотра сообщений выберите раздел. |
Троян? |
Обсуждение всего, что связано с интернет, а также сетевого оборудования и сетевых технологий от офисных сетей до домашних. |
|
Опции темы |
05.11.2003, 00:17 | #1 |
лентяй
Сообщений: 590
Регистрация: 28.09.2003
Возраст: 43
Не в сети |
Троян?
Народ, помогите!
поставил на днях файрвол и тот в логах отражает что ко мне постоянно с разных IP 213.22.xxx.xxx постоянно ломятся. иногда оттуда же порты щупают. Стянул прогу для TCP/UDP мониторинга - та выдает что мой ком после подключения к инету отсылает на 213.22.xxx.xxx пакеты по 50 байт. раз пять-десять, после чего ко мне начинают ломиться. Процесс что отсылает - system, иногда services а еще был разок и spoolsv отправлял туда что-то... AVP со свежим набором баз ничего не продетектил. какой-то Троян-сканер прошарил все .ini, реестр и ничего не нашел. В общем стенка все эти запросы блокирует, но (полагаю именно из-за этих запросов) на простое компа генерится трафик 1-2мб в час. что при цене 2р/mb и постоянном подключении меня разорит. что посоветуете? |
05.11.2003, 10:33 | #4 |
лентяй
Сообщений: 590
Регистрация: 28.09.2003
Возраст: 43
Не в сети |
все не так просто. "точного IP" нету - там рандомные вариации на тему от 213.22.0.0 до 213.22.255.255.
да и что мне сканирование даст?. у меня была мысль отрубить файрвол и посмотреть с каким приложением/процессом коннект установится . но стремно. |
05.11.2003, 22:52 | #6 |
Murderator
Сообщений: 4,388
Регистрация: 19.07.2003
Не в сети |
что за FW установлен??? может ли он показать, какое именно приложение жрет трафик??? В конце-концов есТь команда ping -a 213.22.xxx.xxx - и можно )с долей вероятности ( узрить DNS-имя получателя... А еще есть прога commview - показывает кто куда и с каким трафиком лезет :-) )IP, порты, DNS-имена, весь трафик, поддержка dial-up и LAN-адаптеров, и даже русский для особых ценителей...(
|
05.11.2003, 23:06 | #7 |
лентяй
Сообщений: 590
Регистрация: 28.09.2003
Возраст: 43
Не в сети |
ZEUS ZoneAlarm. трафик он не показывает. ping-ом можно пощупать те адреса, но что толку? они каждую минуту разные и в 80% случаев DNS-имена у них a213-22-140-42.netcabo.pt (140-42 это в качестве примера).
|
06.11.2003, 00:05 | #9 |
Murderator
Сообщений: 4,388
Регистрация: 19.07.2003
Не в сети |
мда, поставь себе McAffee Desktop FW или OutPost - все как на ладони будет )трафик(. Ось у тебя наверное w2k? А сервисы какие запущены? А так -правда - обнови антивирь и проверь ВСЮ систему.
ZEUS добавил [date]1068070289[/date]: мда побывал я там - трафик и правда охрененный... )порядка 50кб в сек( забил я его себе в intruders и он прикрылся %-) а вообще поставь себе нормалантивиРь - вот я McAffee два года юзаю и ни одного вируса... скорость работы - Касперский со своей колымагой отдыхает...Хотя уже сколько атак было на мою тачку %-) |
06.11.2003, 01:27 | #10 |
Форумец
Сообщений: 22
Регистрация: 15.10.2003
Не в сети |
А у меня похожая лабуда:
Вот с этих адресов сначала идут пинги, потом попытка соединиться с каким-нибудь портом, потом возникает попытка установить исходящее NETbios-соединение. Все это блокируется, но достает морально, да и непонятно как-то: последовательность событий и наличие какого-то трафика настораживает. Началось это дело примерно в конце августа, до этого никаких исходящих и попытки не возникало, хотя сканирование 17300 порта сутками с разных сторон, в т.ч. и воронежских. А сейчас про этот порт забыли, зато вот такая лажа началась. Странно, но ничего лишнего не ставил, машина чистая и пропатченная Win2000Server+SP4, наворотов никаких, из прог - DirectX 8.1, Opera, TheBat и офис XP. Стенка - Agnitum Outpost. Пара твикеров еще - MagicTweak и Customizer. IP : 80.80.7.113 80.81.32.5 80.81.33.11 80.81.35.227(эта гнида опознаваемые атаки регулярно проводит) 212.59.7.210 218.190.32.66 195.158.93.136 213.180.193.87 81.19.66.20 80.83.132.76 Их гораздо больше (только записанных более 100) и повторяются незакономерно, но постоянно. Прокси, в основном... У меня смутное подозрение на две штучки - на MS заплатку для защиты RPC и утилитку от Nortona для удаления blastera... Или SP4... Или трактовка всего этого неправильная... Все предыдущие советы не меняют ситуации. Может, еще есть мнения? |
06.11.2003, 13:52 | #11 |
лентяй
Сообщений: 590
Регистрация: 28.09.2003
Возраст: 43
Не в сети |
LSL,ZEUS как только просек эти нездоровые моменты - обновил базы и проверил всю систему. был I.Worm в msblast (красиво, да) и его залечили. сейчас уже неделя как все в норме, а все равно ломятся. может они по старой памяти пытаются пробиться.
второй момент. поставил CommView. по ip-трафику особых подозрений ничего не вызвало, но трафик TCP/UDP пакетов выдает что около 80% пакетов идут как boardcast (не ко мне и не от меня). Были замечены нездоровые пакеты ARP_REQ на первичный DNS с запросоми про уже известные мне 213.22.x.x, 66.106.x.x... но CommView не показывает какой процесс отправлял эти запросы. И последне по CommView - он не может прицепиться к сетевой карточке пока она отключена. а после включение карточки (соединение с нетом), запуска commview и логирования запросов скорее всего самые первый и самые важные запросы не успевает захватить. вот такая бадяга... ZEUS сервисы какие запущены тут вопрос сложный. в администрировании/сервисы показаны лишь часть сервисов (все что мне казалось лишним и подозрительным отрубил). но есть еще в реестре (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services) около 50 сервисов которы в панели администрирования не отображаются (что наверное хорошо), но и среди них есть подозрительные. |
06.11.2003, 15:17 | #12 |
лентяй
Сообщений: 590
Регистрация: 28.09.2003
Возраст: 43
Не в сети |
Что за ***!!! всплыло pop-up (не IExporer) "Служба сообщений". сообщение от Merlin Holiday для 213.255.255.255 и там всякий бред... отрубаю нафиг эту службу..
в комментариях к службе: Посылает и получает сообщения, переданные администраторами или службой оповещений.. это ж что за такой администратор на www.merlinholiday.com сидит?!. |