информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяГде водятся OGRыЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Зловреды выбирают Lisp и Delphi 
 Уязвимости в Mongoose ставят под... 
 По роутерам Juniper расползается... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Загадочные пролазы на 209.10.17.134:80 01.04.02 08:41  Число просмотров: 1350
Автор: funky Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Есть приватная сетка клиентов за машиной FreeBSD.
> Клиентам запрещено ходить напрямую. Только SQUID.
> IPFW ловит с периодичностью в несколько минут такую
> деятельность:
> две машины (из 20) упрямо лезут на два адреса,
> по 80 порту изредка их чередуя
> 209.10.17.134
> 209.73.225.8
>
> Клиенты под NT4 SP6a
> Вирусы на них не обнаружены, точно знаю, что на эти тачки
> юзверя пытались ставить Асю, которая была снесена. Больше
> они ни чем не выделяются.Посторонних процессов не видно.
>
> Прошу совета:
> Чем бы схватить/разобрать пакеты, чтобы понять что же это
> лезет?
> Или может кому этот адресок знаком?
>
> Если сходить телнетом на 80 порт - там что-то есть, но это
> не http

если хочешь узнать какое приложение лезет на этот порт, то для этого есть хорошая простецкая програмка, называется Active Ports. Показывает какие порты какое приложение использует. Установи на клиентских машинах и посмотри. В свое время, я долго не мог понят что у меня использует порт 6666. Оказалось UPS
;-)
<networking>
Загадочные пролазы на 209.10.17.134:80 20.03.02 17:14  
Автор: tadmin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Есть приватная сетка клиентов за машиной FreeBSD.
Клиентам запрещено ходить напрямую. Только SQUID.
IPFW ловит с периодичностью в несколько минут такую деятельность:
две машины (из 20) упрямо лезут на два адреса,
по 80 порту изредка их чередуя
209.10.17.134
209.73.225.8

Клиенты под NT4 SP6a
Вирусы на них не обнаружены, точно знаю, что на эти тачки
юзверя пытались ставить Асю, которая была снесена. Больше они ни чем не выделяются.Посторонних процессов не видно.

Прошу совета:
Чем бы схватить/разобрать пакеты, чтобы понять что же это лезет?
Или может кому этот адресок знаком?

Если сходить телнетом на 80 порт - там что-то есть, но это не http
Загадочные пролазы на 209.10.17.134:80 01.04.02 08:41  
Автор: funky Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Есть приватная сетка клиентов за машиной FreeBSD.
> Клиентам запрещено ходить напрямую. Только SQUID.
> IPFW ловит с периодичностью в несколько минут такую
> деятельность:
> две машины (из 20) упрямо лезут на два адреса,
> по 80 порту изредка их чередуя
> 209.10.17.134
> 209.73.225.8
>
> Клиенты под NT4 SP6a
> Вирусы на них не обнаружены, точно знаю, что на эти тачки
> юзверя пытались ставить Асю, которая была снесена. Больше
> они ни чем не выделяются.Посторонних процессов не видно.
>
> Прошу совета:
> Чем бы схватить/разобрать пакеты, чтобы понять что же это
> лезет?
> Или может кому этот адресок знаком?
>
> Если сходить телнетом на 80 порт - там что-то есть, но это
> не http

если хочешь узнать какое приложение лезет на этот порт, то для этого есть хорошая простецкая програмка, называется Active Ports. Показывает какие порты какое приложение использует. Установи на клиентских машинах и посмотри. В свое время, я долго не мог понят что у меня использует порт 6666. Оказалось UPS
;-)
Отлавливает пакет 25.03.02 01:29  
Автор: Korsh <Мельников Михаил> Статус: Elderman
<"чистая" ссылка>
Много раз уже для этого (отлавливание пакетов) советовали
IRIS Network Traffic Analyzer 2.0
или поздние, но кряк я только на неё нашел.
Там ставишь фильтр на пакеты, которые идут с этих машин и посмотришь, что там.
Ссылку даунлода не помню, если понадобится и не найдёшь могу залить.
Загадочные пролазы на 209.10.17.134:80 24.03.02 16:13  
Автор: :-) <:-)> Статус: Elderman
<"чистая" ссылка>
Может лучше на те 2 клиентские машины поставит файрвол (чтобы узнать, какой процесс шлет эти запросы)? Сразу ситуация прояснится.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2025 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach