форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Помогите разобраться огромный трафик"
Сообщение от Alex on 17-Окт-02, 09:28  (MSK)
Поставил линус сервер как шлюз в интернет. настроил firewall как в книге Безопасность и оптимизация Linux. Редакция для Red Hat. сервер простоял неделю и вдруг уже второй день огромный входящий трафик его режет firewall (а исходящих пакетов на эти хосты вроде нет) подскажите как быть с чего копать пример лога . 212.xxx.xxx.xxx - мой внешний адрес Oct 17 11:23:10 iserver kernel: Packet log: input DENY eth1 PROTO=17 200.132.73.72:1812 212.xxx.xxx.xxx:1812 L=69 S=0x00 I=0 F=0x4000 T=44 (#99) Oct 17 11:23:24 iserver kernel: Packet log: input DENY eth1 PROTO=17 61.221.104.33:1812 212.xxx.xxx.xxx:1812 L=69 S=0x20 I=0 F=0x4000 T=51 (#99) Oct 17 11:24:02 iserver kernel: Packet log: input DENY eth1 PROTO=17 210.178.88.200:1812 212.xxx.xxx.xxx:1812 L=6 9 S=0x00 I=0 F=0x4000 T=50 (#99) Oct 17 11:24:14 iserver kernel: Packet log: input DENY eth1 PROTO=17 203.249.70.159:1812 212.xxx.xxx.xxx:1812 L=6 9 S=0x00 I=0 F=0x4000 T=48 (#99) Oct 17 11:24:29 iserver kernel: Packet log: input DENY eth1 PROTO=17 65.218.203.76:1812 212.xxx.xxx.xxx:1812 L=88 S=0x00 I=0 F=0x4000 T=47 (#25) Oct 17 11:24:53 iserver kernel: Packet log: input DENY eth1 PROTO=17 209.223.132.12:1812 212.xxx.xxx.xxx:1812 L=6 9 S=0x00 I=0 F=0x4000 T=44 (#99) Oct 17 11:25:09 iserver kernel: Packet log: input DENY eth1 PROTO=17 209.98.248.93:1812 212.xxx.xxx.xxx:1812 L=69 S=0x00 I=0 F=0x4000 T=44 (#99) Oct 17 11:25:40 iserver kernel: Packet log: input DENY eth1 PROTO=17 202.28.123.21:1812 212.xxx.xxx.xxx:1812 L=69 S=0x00 I=0 F=0x4000 T=41 (#99)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Помогите разобраться огромный трафик"
Сообщение от Ilia on 17-Окт-02, 10:35  (MSK)
>Поставил линус сервер как шлюз в интернет. >настроил firewall как в книге >Безопасность и оптимизация Linux. >Редакция для Red Hat. > >сервер простоял неделю и вдруг уже второй день огромный входящий трафик >его режет firewall (а исходящих пакетов на эти хосты вроде нет) >подскажите как быть с чего копать > >пример лога . 212.xxx.xxx.xxx - мой внешний адрес > >Oct 17 11:23:10 iserver kernel: Packet log: input DENY eth1 PROTO=17 200.132.73.72:1812 >212.xxx.xxx.xxx:1812 L=69 > S=0x00 I=0 F=0x4000 T=44 (#99) Угу. UDP на порт 1812, так работает какой-то из червяков. "Slapper" его зовут, кажетсяю
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Помогите разобраться огромный трафик"
	Сообщение от ivi on 17-Окт-02, 10:40  (MSK)
	>>Поставил линус сервер как шлюз в интернет. >>настроил firewall как в книге >>Безопасность и оптимизация Linux. >>Редакция для Red Hat. >> >>сервер простоял неделю и вдруг уже второй день огромный входящий трафик >>его режет firewall (а исходящих пакетов на эти хосты вроде нет) >>подскажите как быть с чего копать >> >>пример лога . 212.xxx.xxx.xxx - мой внешний адрес >> >>Oct 17 11:23:10 iserver kernel: Packet log: input DENY eth1 PROTO=17 200.132.73.72:1812 >>212.xxx.xxx.xxx:1812 L=69 >> S=0x00 I=0 F=0x4000 T=44 (#99) > >Угу. UDP на порт 1812, так работает какой-то из червяков. "Slapper" его >зовут, кажетсяю Вполне возможно... :) $ HEAD 200.132.73.72 200 OK Connection: close Date: Thu, 17 Oct 2002 06:42:38 GMT Server: Apache/1.3.20 (Unix)  (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b DAV/1.0.2 PHP/4.0.6 mod_perl/1.24_01 Content-Type: text/html Client-Date: Thu, 17 Oct 2002 06:39:21 GMT Client-Response-Num: 1 X-Powered-By: PHP/4.0.6 Дыра на дыре... :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Помогите разобраться огромный трафик"
	Сообщение от Alex on 17-Окт-02, 12:13  (MSK)
	>>>Поставил линус сервер как шлюз в интернет. >>>настроил firewall как в книге >>>Безопасность и оптимизация Linux. >>>Редакция для Red Hat. >>> >>>сервер простоял неделю и вдруг уже второй день огромный входящий трафик >>>его режет firewall (а исходящих пакетов на эти хосты вроде нет) >>>подскажите как быть с чего копать >>> >>>пример лога . 212.xxx.xxx.xxx - мой внешний адрес >>> >>>Oct 17 11:23:10 iserver kernel: Packet log: input DENY eth1 PROTO=17 200.132.73.72:1812 >>>212.xxx.xxx.xxx:1812 L=69 >>> S=0x00 I=0 F=0x4000 T=44 (#99) >> >>Угу. UDP на порт 1812, так работает какой-то из червяков. "Slapper" его >>зовут, кажетсяю > > >Вполне возможно... :) >$ HEAD 200.132.73.72 >200 OK >Connection: close >Date: Thu, 17 Oct 2002 06:42:38 GMT >Server: Apache/1.3.20 (Unix)  (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b DAV/1.0.2 PHP/4.0.6 mod_perl/1.24_01 >Content-Type: text/html >Client-Date: Thu, 17 Oct 2002 06:39:21 GMT >Client-Response-Num: 1 >X-Powered-By: PHP/4.0.6 > >Дыра на дыре... :) Поясни про $ HEAD 200.132.73.72
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Помогите разобраться огромный трафик"
	Сообщение от ivi on 17-Окт-02, 12:27  (MSK)
	>>>>Поставил линус сервер как шлюз в интернет. >>>>настроил firewall как в книге >>>>Безопасность и оптимизация Linux. >>>>Редакция для Red Hat. >>>> >>>>сервер простоял неделю и вдруг уже второй день огромный входящий трафик >>>>его режет firewall (а исходящих пакетов на эти хосты вроде нет) >>>>подскажите как быть с чего копать >>>> >>>>пример лога . 212.xxx.xxx.xxx - мой внешний адрес >>>> >>>>Oct 17 11:23:10 iserver kernel: Packet log: input DENY eth1 PROTO=17 200.132.73.72:1812 >>>>212.xxx.xxx.xxx:1812 L=69 >>>> S=0x00 I=0 F=0x4000 T=44 (#99) >>> >>>Угу. UDP на порт 1812, так работает какой-то из червяков. "Slapper" его >>>зовут, кажетсяю >> >> >>Вполне возможно... :) >>$ HEAD 200.132.73.72 >>200 OK >>Connection: close >>Date: Thu, 17 Oct 2002 06:42:38 GMT >>Server: Apache/1.3.20 (Unix)  (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b DAV/1.0.2 PHP/4.0.6 mod_perl/1.24_01 >>Content-Type: text/html >>Client-Date: Thu, 17 Oct 2002 06:39:21 GMT >>Client-Response-Num: 1 >>X-Powered-By: PHP/4.0.6 >> >>Дыра на дыре... :) > >Поясни про $ HEAD 200.132.73.72 А чего тут пояснять! У веб-сервера по адресу 200.132.73.72 запрошен заголовок.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Помогите разобраться огромный трафик"
	Сообщение от Alex on 17-Окт-02, 13:21  (MSK)
	>>>>>Поставил линус сервер как шлюз в интернет. >>>>>настроил firewall как в книге >>>>>Безопасность и оптимизация Linux. >>>>>Редакция для Red Hat. >>>>> >>>>>сервер простоял неделю и вдруг уже второй день огромный входящий трафик >>>>>его режет firewall (а исходящих пакетов на эти хосты вроде нет) >>>>>подскажите как быть с чего копать >>>>> >>>>>пример лога . 212.xxx.xxx.xxx - мой внешний адрес >>>>> >>>>>Oct 17 11:23:10 iserver kernel: Packet log: input DENY eth1 PROTO=17 200.132.73.72:1812 >>>>>212.xxx.xxx.xxx:1812 L=69 >>>>> S=0x00 I=0 F=0x4000 T=44 (#99) >>>> >>>>Угу. UDP на порт 1812, так работает какой-то из червяков. "Slapper" его >>>>зовут, кажетсяю >>> >>> >>>Вполне возможно... :) >>>$ HEAD 200.132.73.72 >>>200 OK >>>Connection: close >>>Date: Thu, 17 Oct 2002 06:42:38 GMT >>>Server: Apache/1.3.20 (Unix)  (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b DAV/1.0.2 PHP/4.0.6 mod_perl/1.24_01 >>>Content-Type: text/html >>>Client-Date: Thu, 17 Oct 2002 06:39:21 GMT >>>Client-Response-Num: 1 >>>X-Powered-By: PHP/4.0.6 >>> >>>Дыра на дыре... :) >> >>Поясни про $ HEAD 200.132.73.72 > >А чего тут пояснять! У веб-сервера по адресу 200.132.73.72 запрошен заголовок. Ну а почему он шлет запросы на мой сервак ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: Помогите разобраться огромный трафик"
	Сообщение от ivi on 18-Окт-02, 12:01  (MSK)
	>>>>>>Поставил линус сервер как шлюз в интернет. >>>>>>настроил firewall как в книге >>>>>>Безопасность и оптимизация Linux. >>>>>>Редакция для Red Hat. >>>>>> >>>>>>сервер простоял неделю и вдруг уже второй день огромный входящий трафик >>>>>>его режет firewall (а исходящих пакетов на эти хосты вроде нет) >>>>>>подскажите как быть с чего копать >>>>>> >>>>>>пример лога . 212.xxx.xxx.xxx - мой внешний адрес >>>>>> >>>>>>Oct 17 11:23:10 iserver kernel: Packet log: input DENY eth1 PROTO=17 200.132.73.72:1812 >>>>>>212.xxx.xxx.xxx:1812 L=69 >>>>>> S=0x00 I=0 F=0x4000 T=44 (#99) >>>>> >>>>>Угу. UDP на порт 1812, так работает какой-то из червяков. "Slapper" его >>>>>зовут, кажетсяю >>>> >>>> >>>>Вполне возможно... :) >>>>$ HEAD 200.132.73.72 >>>>200 OK >>>>Connection: close >>>>Date: Thu, 17 Oct 2002 06:42:38 GMT >>>>Server: Apache/1.3.20 (Unix)  (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b DAV/1.0.2 PHP/4.0.6 mod_perl/1.24_01 >>>>Content-Type: text/html >>>>Client-Date: Thu, 17 Oct 2002 06:39:21 GMT >>>>Client-Response-Num: 1 >>>>X-Powered-By: PHP/4.0.6 >>>> >>>>Дыра на дыре... :) >>> >>>Поясни про $ HEAD 200.132.73.72 >> >>А чего тут пояснять! У веб-сервера по адресу 200.132.73.72 запрошен заголовок. > >Ну а почему он шлет запросы на мой сервак ? http://www.cert.org/advisories/CA-2002-27.html http://www.cert.org/advisories/CA-2002-23.html http://www.cert.org/advisories/CA-2002-17.html Ну ясно? Смотрел недавно на ОРТ фильм "Особь" :) Пришельцы хотели размножаться. :) Жалко девушку - симпатишная. ;) Вот также и черви... :) Apache там судя по HTTP-заголовку дырявый и вполне вероятно может вступить в беспорядочные половые связи с "пришельцами". :) А оттуда уже искать дальше новых жертв. :) В данном случае например тебя. Уффф... Страшно аж жуть. %) Вполне возможно, что болет он какой-нить хреновиной. Кстати, посмотри у тебя в сети нет такого же дырявого апача? ;) А то они может сблизится хотят - прямо как в фильме. :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.