Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
 |
Загадочные пролазы на 209.10.17.134:80 01.04.02 08:41 Число просмотров: 1350
Автор: funky Статус: Незарегистрированный пользователь
|
> Есть приватная сетка клиентов за машиной FreeBSD. > Клиентам запрещено ходить напрямую. Только SQUID. > IPFW ловит с периодичностью в несколько минут такую > деятельность: > две машины (из 20) упрямо лезут на два адреса, > по 80 порту изредка их чередуя > 209.10.17.134 > 209.73.225.8 > > Клиенты под NT4 SP6a > Вирусы на них не обнаружены, точно знаю, что на эти тачки > юзверя пытались ставить Асю, которая была снесена. Больше > они ни чем не выделяются.Посторонних процессов не видно. > > Прошу совета: > Чем бы схватить/разобрать пакеты, чтобы понять что же это > лезет? > Или может кому этот адресок знаком? > > Если сходить телнетом на 80 порт - там что-то есть, но это > не http
если хочешь узнать какое приложение лезет на этот порт, то для этого есть хорошая простецкая програмка, называется Active Ports. Показывает какие порты какое приложение использует. Установи на клиентских машинах и посмотри. В свое время, я долго не мог понят что у меня использует порт 6666. Оказалось UPS
;-)
|
<networking>
|
Загадочные пролазы на 209.10.17.134:80 20.03.02 17:14
Автор: tadmin Статус: Незарегистрированный пользователь
|
Есть приватная сетка клиентов за машиной FreeBSD.
Клиентам запрещено ходить напрямую. Только SQUID.
IPFW ловит с периодичностью в несколько минут такую деятельность:
две машины (из 20) упрямо лезут на два адреса,
по 80 порту изредка их чередуя
209.10.17.134
209.73.225.8
Клиенты под NT4 SP6a
Вирусы на них не обнаружены, точно знаю, что на эти тачки
юзверя пытались ставить Асю, которая была снесена. Больше они ни чем не выделяются.Посторонних процессов не видно.
Прошу совета:
Чем бы схватить/разобрать пакеты, чтобы понять что же это лезет?
Или может кому этот адресок знаком?
Если сходить телнетом на 80 порт - там что-то есть, но это не http
|
 |
Загадочные пролазы на 209.10.17.134:80 01.04.02 08:41
Автор: funky Статус: Незарегистрированный пользователь
|
> Есть приватная сетка клиентов за машиной FreeBSD. > Клиентам запрещено ходить напрямую. Только SQUID. > IPFW ловит с периодичностью в несколько минут такую > деятельность: > две машины (из 20) упрямо лезут на два адреса, > по 80 порту изредка их чередуя > 209.10.17.134 > 209.73.225.8 > > Клиенты под NT4 SP6a > Вирусы на них не обнаружены, точно знаю, что на эти тачки > юзверя пытались ставить Асю, которая была снесена. Больше > они ни чем не выделяются.Посторонних процессов не видно. > > Прошу совета: > Чем бы схватить/разобрать пакеты, чтобы понять что же это > лезет? > Или может кому этот адресок знаком? > > Если сходить телнетом на 80 порт - там что-то есть, но это > не http
если хочешь узнать какое приложение лезет на этот порт, то для этого есть хорошая простецкая програмка, называется Active Ports. Показывает какие порты какое приложение использует. Установи на клиентских машинах и посмотри. В свое время, я долго не мог понят что у меня использует порт 6666. Оказалось UPS
;-)
|
 |
Отлавливает пакет 25.03.02 01:29
Автор: Korsh <Мельников Михаил> Статус: Elderman
|
Много раз уже для этого (отлавливание пакетов) советовали
IRIS Network Traffic Analyzer 2.0
или поздние, но кряк я только на неё нашел.
Там ставишь фильтр на пакеты, которые идут с этих машин и посмотришь, что там.
Ссылку даунлода не помню, если понадобится и не найдёшь могу залить.
|
 |
Загадочные пролазы на 209.10.17.134:80 24.03.02 16:13
Автор: :-) <:-)> Статус: Elderman
|
Может лучше на те 2 клиентские машины поставит файрвол (чтобы узнать, какой процесс шлет эти запросы)? Сразу ситуация прояснится.
|
|
|