форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Вирусы по 53 порту"

Сообщение от KSE (ok) on 31-Май-07, 17:17

Доброго времени суток! Я программист,выполняю сейчас из-за жадности руководства функции админа, появилась серьезная проблема, не могу разобраться... Есть шлюз на ASP Linux 9 с двумя картами - eth0 смотрит на провайдера, eth1 в локалку с 192.168.1.х. Из локалки в инет пользователи ходят через SQUID 2.5-STABLE4, на порту 8080. Поверх сквида еще стоит SAMS для управления трафиком пользователей. Есть второй сервак тоже с 9м АСП Линуксом - sendmail, pph, apache, samba . С недавнего времени люди на виндовых машинах стали ловить вирус, опознаваемый программой Antivir как HTML\Feebs.Gen. А буквально полтора часа назад отзвонились от провайдера и сказали, что от нас по 53 порту идут вирусы и они нас временно закрывают. С чего начать процесс лечения-устранения проблемы? До этого с вирусам и сталкивался только на винде :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Вирусы по 53 порту"

Сообщение от newser (ok) on 31-Май-07, 17:34

>Доброго времени суток! >Я программист,выполняю сейчас из-за жадности руководства функции админа, Не занимайтесь не своим делом. Жадность руководства не должна Вас волновать, а вот когда Вы наломаете дров с Вашим уровнем знаний, то спросят именно с Вас. >появилась серьезная проблема, не могу разобраться... >Есть шлюз на ASP Linux 9 с двумя картами - eth0 смотрит >на провайдера, eth1 в локалку с 192.168.1.х. Из локалки в инет >пользователи ходят через SQUID 2.5-STABLE4, на порту 8080. Поверх сквида еще >стоит SAMS для управления трафиком пользователей. Есть второй сервак тоже с >9м АСП Линуксом - sendmail, pph, apache, samba . > >С недавнего времени люди на виндовых машинах стали ловить вирус, опознаваемый программой >Antivir как HTML\Feebs.Gen. >А буквально полтора часа назад отзвонились от провайдера и сказали, что от >нас по 53 порту идут вирусы и они нас временно закрывают. > > >С чего начать процесс лечения-устранения проблемы? До этого с вирусам и сталкивался >только на винде :( 53 порт - это DNS. Какое отношение имеют к нему вирусы - мне неведомо. Если имеется в виду большая генерация трафика к DNS-серверам Вашего провайдера, то, чтобы его успокоить, поставьте на шлюзе кэширующий DNS-сервер и пропишите его клиентам. А вообще, для начала вылечите клиентские машины от вирусов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Вирусы по 53 порту"
	Сообщение от KSE (ok) on 31-Май-07, 18:04
	>Не занимайтесь не своим делом. Жадность руководства не должна Вас волновать, а >вот когда Вы наломаете дров с Вашим уровнем знаний, то спросят >именно с Вас. Полтора года пытаюсь это доказать. Но пока справлялся, и даже неплохо (не знаю, к счастью или нет), видимо, потому и не искали админа. >53 порт - это DNS. Какое отношение имеют к нему вирусы - >мне неведомо. Если имеется в виду большая генерация трафика к DNS-серверам >Вашего провайдера, то, чтобы его успокоить, поставьте на шлюзе кэширующий DNS-сервер >и пропишите его клиентам. Сейчас стоит на сервере стоит BIND version 9.2.1. В настройки я не углублялся. Если нужно обратить на что-то внимание, буду благодарен за совет. >А вообще, для начала вылечите клиентские машины от вирусов. Это уже сделано. Но отзвонились-то мне как раз после этого. Надо ли что-то делать с линусовыми машинами? Если надо их лечить, то как? (понимаю, что вопрос тупой) Еще пугают странные вещи в логах: /var/log/messages May 31 17:11:01 proxy sshd(pam_unix)[4401]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=node-217-23-141-180.caravan.ru  user=ftp May 31 17:11:29 proxy sshd(pam_unix)[4502]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=node-217-23-141-180.caravan.ru  user=apache May 31 17:11:37 proxy sshd(pam_unix)[4527]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=node-217-23-141-180.caravan.ru  user=root May 31 17:11:40 proxy sshd(pam_unix)[4529]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=node-217-23-141-180.caravan.ru  user=root May 31 17:11:43 proxy sshd(pam_unix)[4531]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=node-217-23-141-180.caravan.ru  user=root May 31 17:11:46 proxy sshd(pam_unix)[4533]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=node-217-23-141-180.caravan.ru  user=root May 31 17:11:49 proxy sshd(pam_unix)[4536]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=node-217-23-141-180.caravan.ru  user=root /var/log/secure May 31 17:12:09 proxy sshd[4590]: Illegal user ron from 217.23.141.180 May 31 17:12:10 proxy sshd[4592]: Illegal user ron from 217.23.141.180 May 31 17:12:11 proxy sshd[4594]: Illegal user matt from 217.23.141.180 May 31 17:12:11 proxy sshd[4596]: Illegal user matt from 217.23.141.180 May 31 17:12:12 proxy sshd[4598]: Illegal user sophie from 217.23.141.180 May 31 17:12:14 proxy sshd[4600]: Failed password for smmsp from 217.23.141.180 port 52821 ssh2 May 31 17:12:17 proxy sshd[4602]: Failed password for smmsp from 217.23.141.180 port 53815 ssh2 May 31 17:12:20 proxy sshd[4604]: Failed password for smmsp from 217.23.141.180 port 54807 ssh2
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Вирусы по 53 порту"
	Сообщение от newser (ok) on 31-Май-07, 18:45
	>>Не занимайтесь не своим делом. Жадность руководства не должна Вас волновать, а >>вот когда Вы наломаете дров с Вашим уровнем знаний, то спросят >>именно с Вас. > >Полтора года пытаюсь это доказать. Но пока справлялся, и даже неплохо (не >знаю, к счастью или нет), видимо, потому и не искали админа. > Ну тогда Вы сами себе злобный буратино. :) (Без обид) > >>53 порт - это DNS. Какое отношение имеют к нему вирусы - >>мне неведомо. Если имеется в виду большая генерация трафика к DNS-серверам >>Вашего провайдера, то, чтобы его успокоить, поставьте на шлюзе кэширующий DNS-сервер >>и пропишите его клиентам. > >Сейчас стоит на сервере стоит BIND version 9.2.1. В настройки я не >углублялся. Если нужно обратить на что-то внимание, буду благодарен за совет. > Пропишите на клиентской машине в качестве DNS-сервера Ваш шлюз. Для уменьшения DNS-трафика до вашего провайдера отключите в настройках bind форвардеров (forwarders). Проверьте, разрешаются ли имена. Если все успешно, то прописывайте Ваш шлюз на всех машинах. Можно включить в настройках bind подробные логи и смотреть с каких клиентов идет больше всего запросов и куда. Ну и т.д. Если не работали раньше с bind, почитайте документацию. > >>А вообще, для начала вылечите клиентские машины от вирусов. > >Это уже сделано. Но отзвонились-то мне как раз после этого. > >Надо ли что-то делать с линусовыми машинами? Если надо их лечить, то >как? (понимаю, что вопрос тупой) Как правило - нет. Разве что проверить на rootkit'ы. :) > >Еще пугают странные вещи в логах: > >/var/log/messages >May 31 17:11:49 proxy sshd(pam_unix)[4536]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= >rhost=node-217-23-141-180.caravan.ru  user=root > >/var/log/secure >May 31 17:12:09 proxy sshd[4590]: Illegal user ron from 217.23.141.180 >May 31 17:12:14 proxy sshd[4600]: Failed password for smmsp from 217.23.141.180 port >52821 ssh2 Осуществляется подбор пользователей/паролей для доступа по ssh. В принципе, ситуация нормальная. :) Почти у всех так. Поищите статьи на тему защиты ssh хотя бы здесь на опеннете. Удачи!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Вирусы по 53 порту"
	Сообщение от KSE (ok) on 01-Июн-07, 05:30
	>Ну тогда Вы сами себе злобный буратино. :) (Без обид) :) Какие могут быть обиды, ведь все правильно, кроме того, Вы еще мне и помогаете >Пропишите на клиентской машине в качестве DNS-сервера Ваш шлюз. Для уменьшения DNS-трафика >до вашего провайдера отключите в настройках bind форвардеров (forwarders). Проверьте, разрешаются >ли имена. Если все успешно, то прописывайте Ваш шлюз на всех >машинах. Можно включить в настройках bind подробные логи и смотреть с >каких клиентов идет больше всего запросов и куда. Ну и т.д. Попробую, спасибо. Сегодня еще свяжусь с провайдером, уточню, что за вирус вообще был. >>Надо ли что-то делать с линусовыми машинами? Если надо их лечить, то >>как? (понимаю, что вопрос тупой) > >Как правило - нет. Разве что проверить на rootkit'ы. :) Как это можно сделать?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Вирусы по 53 порту"
	Сообщение от newser (ok) on 01-Июн-07, 09:45
	>>>Надо ли что-то делать с линусовыми машинами? Если надо их лечить, то >>>как? (понимаю, что вопрос тупой) >> >>Как правило - нет. Разве что проверить на rootkit'ы. :) > >Как это можно сделать? Установить и запустить. :) Поищите в гугле, всю необходимую информацию можно почерпнуть там.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Вирусы по 53 порту"
	Сообщение от KSE (ok) on 01-Июн-07, 12:59
	>>Как это можно сделать? > >Установить и запустить. :) > >Поищите в гугле, всю необходимую информацию можно почерпнуть там. Спасибо за советы. Но ситуация сегодня разрешилась до глупости просто. Чуть ли не с ночевой проверял 40 машин на вирусы, кое-что действительно нашел. Потом перезвонил провайдеру, оказалось, они ошиблись одной цифрой в ip адресе... офигеть, дорогая редакция. Зато на вирусы все проверил :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]