https://www.opennet.dev/openforum/vsluhforumID6/18948.html С некоторых пор заметил огромного количество нат преобразований по 53 порту на циске. <br>sh ip nat tr &#124; begin :53<br><br><br>udp 1.1.1.1:49260 192.168.10.2:49260 83.242.140.10:53 83.242.140.10:53<br>udp 1.1.1.1:49273 192.168.10.2:49273 83.242.139.10:53 83.242.139.10:53<br>udp 1.1.1.1:49273 192.168.10.2:49273 83.242.140.10:53 83.242.140.10:53<br>udp 1.1.1.1:50349 192.168.10.2:50349 83.242.140.10:53 83.242.140.10:53<br>udp 1.1.1.1:50354 192.168.10.2:50354 83.242.140.10:53 83.242.140.10:53<br>udp 1.1.1.1:50406 192.168.10.2:50406 83.242.140.10:53 83.242.140.10:53<br>udp 1.1.1.1:50446 192.168.10.2:50446 83.242.140.10:53 83.242.140.10:53<br>udp 1.1.1.1:50475 192.168.10.2:50475 83.242.140.10:53 83.242.140.10:53<br>udp 1.1.1.1:50554 192.168.10.2:50554 83.242.140.10:53 83.242.140.10:53<br>udp 1.1.1.1:50588 192.168.10.2:50588 83.242.140.10:53 83.242.140.10:53<br>udp 1.1.1.1:50627 192.168.10.2:50627 83.242.140.10:53 83.242.140.10:53 https://www.opennet.dev/openforum/vsluhforumID6/18948.html#25 Fri, 29 May 2009 10:47:42 GMT &gt;[оверквотинг удален]<br>&gt;Предолжение поставить на другой хост антивир+антихакер DNS-service переопределить ДНС на него и <br>&gt;ждать..ждать.. или приобрести лицензию на рабочие станции и установить. <br>&gt;После 3 месячного безантивирусного срока работы (увы договра, торги) на одном хосте <br>&gt;умудрились выловить ажно около 1300 штаммов вирусов (сервак-файловая помойка благо под <br>&gt;новелом крутился иначе давно бы упал)причем машинка даже в инет не <br>&gt;ходила все по сетке и флешках натаскали. <br>&gt;После установки и чистки систем служебный трафик упал в 4 раза. <br>&gt;Судя по описанию это разновидность DOS или DDOS ее могут делать как <br>&gt;черви так и бэкдоры <br>&gt;Так что желаю Вам приятной охоты с успешным финалом <br><br>спасибо всем кто откликнулся....Проблему удалось решить поднятием друго днс сервера. Запросы по 53 перестали нагружить циску. Видимо сам днс сервер на винде начал подтупливать)<br> https://www.opennet.dev/openforum/vsluhforumID6/18948.html#24 Fri, 29 May 2009 10:45:37 GMT Да и нормальный провайдер всегда предупреждает о наличии от пользователя подозрительной активности на строго определенных портах<br> https://www.opennet.dev/openforum/vsluhforumID6/18948.html#23 Fri, 29 May 2009 10:41:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;нет не делал..как можно проделать данную процедуру? <br>&gt;&gt;<br>&gt;&gt;скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/ <br>&gt;&gt;установите на сервер и смотрите откуда идут запросы, если в логах не <br>&gt;&gt;можете найти. <br>&gt;<br>&gt;собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере <br>&gt;он показывает что кроме почтовика никто запросы на обработку внешних запросов <br>&gt;никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не <br>&gt;так много <br><br>О как много написано!!!<br>1)Трафик ниоткуда не возьмется его кто-то генерит<br>Значит надо найти генератора трафика<br>2)Если в данный момент нет трафика это не значит что его и не будет в будущем, скорее всего данный хост просто выключен<br>3)Отлов делать исходя из пункта 2 в момент "тупления" интернета.<br>4)Не все вирусы определяются антивирусной системой <br>Практика показала что снятие винта с "чистой" машины и подключением к хосту с изначально установленным антивирусом находило достаточно много вирусн https://www.opennet.dev/openforum/vsluhforumID6/18948.html#22 Fri, 29 May 2009 10:12:23 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;нет не делал..как можно проделать данную процедуру? <br>&gt;&gt;<br>&gt;&gt;скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/ <br>&gt;&gt;установите на сервер и смотрите откуда идут запросы, если в логах не <br>&gt;&gt;можете найти. <br>&gt;<br>&gt;собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере <br>&gt;он показывает что кроме почтовика никто запросы на обработку внешних запросов <br>&gt;никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не <br>&gt;так много <br><br>В общем... Я уже запутался сколько у вас физически серверных машинок и какие сервера на них подняты... Тем более, если у Вас виндюки стоят.... но это собственно не особо важно, если Вы выяснили какая физически машинка посылает постоянно основную массу запросов...<br>Берете еще одну машинку... поднимаете на ней тоже самое и ставите на место той, которая шлет всякую х**, а старую временно в угол, отключенной от сети. Если эта х** через циску прекратится, то значит сносите систему на старой машинке к https://www.opennet.dev/openforum/vsluhforumID6/18948.html#21 Fri, 29 May 2009 09:12:06 GMT &gt;&gt;&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;нет не делал..как можно проделать данную процедуру? <br>&gt;<br>&gt;скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/ <br>&gt;установите на сервер и смотрите откуда идут запросы, если в логах не <br>&gt;можете найти. <br><br>собственно им только и пользуюсь(проводной акулой) для отлова траффика только на котроллере он показывает что кроме почтовика никто запросы на обработку внешних запросов никто не посылает ну еще+ прокся.....остальные запросы внутренние но их не так много<br> https://www.opennet.dev/openforum/vsluhforumID6/18948.html#20 Fri, 29 May 2009 06:33:31 GMT &gt;&gt;&gt;<br>&gt;<br>&gt;нет не делал..как можно проделать данную процедуру? <br><br>скачайте какой-нибудь сниффер, нечто по типу http://www.wireshark.org/<br>установите на сервер и смотрите откуда идут запросы, если в логах не можете найти.<br> https://www.opennet.dev/openforum/vsluhforumID6/18948.html#19 Thu, 28 May 2009 19:59:07 GMT &gt;&gt;<br><br>нет не делал..как можно проделать данную процедуру?<br> https://www.opennet.dev/openforum/vsluhforumID6/18948.html#18 Thu, 28 May 2009 19:52:52 GMT Пароль будете 10 минут набирать...<br>Но, подозрение на вирус - определенное...<br>Перехват по SMTP делали?<br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/18948.html#17 Thu, 28 May 2009 19:50:32 GMT &gt;