[KAA]

пинги странные, до шлюза не должно быть больше 1мс, проверьтесь на вирусы и проверьте баланс на Вашем счете.

P.S. Вы заблокированы за icmp-флуд, о котором несколько раз кидали сообщения через utm_tray, лечитесь.

Сообщение отредактировал KAA - 2.3.2008, 0:20

[SVR]

Интересно с чего бы. А можно распечатку логов?

[KAA]

по заявке в рабочее время

P.S. с Вас атака шла на адрес 202.108.125.36 и таки атак было порядка с 30-40 зараженных компьютеров, пришлось убрать маршрут на атакуемые адреса и тех, кто попался под руку - заблокировать.

[Forve]

Измеряю знаете ли ресурсом ВоВ. Есть там такая встроенная опция как показатель пинга.
И в случае если этот показатель в 5-10 раз выше стандартного - значит наблюдаются скачки скорости интернета у провайдера.
Просьба не писать про сервер) если бы проблемы были на нем, то они наблюдались бы у ВСЕХ.
В следующий раз буду выкладывать трасировку и скрины.

Сообщение отредактировал Forve - 2.3.2008, 3:08

[full-lamo]

Цитата: (Forve @ 2.3.2008, 0:07) Измеряю знаете ли ресурсом ВоВ. Есть там такая встроенная опция как показатель пинга. И в случае если этот показатель в 5-10 раз выше стандартного - значит наблюдаются скачки скорости интернета у провайдера. Просьба не писать про сервер) если бы проблемы были на нем, то они наблюдались бы у ВСЕХ. В следующий раз буду выкладывать трасировку и скрины.

Бред, причем детский

[SVR]

Уважаемый КАА! Компьютер был проверен антивирусами: NOD32 (2.70.39), CureIT 4.44, AVZ 4.29. Вирусов не обнаружено. Прошу открыть доступ в инет.

[KAA]

Цитата: (SVR @ 2.3.2008, 19:57) Уважаемый КАА! Компьютер был проверен антивирусами: NOD32 (2.70.39), CureIT 4.44, AVZ 4.29. Вирусов не обнаружено. Прошу открыть доступ в инет.

если не нашли, значит не вылечили, cureit брали последний?

P.S.
http://forum.beirel.ru/index.php?showtopic=3735
http://www.beirel.ru/files/cureit.exe - обновил версию на нашем сайте.

[SVR]

Да, последняя 4.44. Проверял на все и Rootkit в том числе.
По какому порту рассылка была?

Сообщение отредактировал SVR - 2.3.2008, 20:23

[KAA]

она 4.44 уже черти сколько, главное чтоб базы там стояли последние.
у нас есть детализация и факт, что с Вашего(и не только) адреса шел флуд на указанный выше адрес, если это делала не вредоносная программа, которая до сих пор сидит в Вашем компе, то значит это делали Вы намеренно?

[Lexus77]

Цитата: (KAA @ 2.3.2008, 19:58) если не нашли, значит не вылечили, cureit брали последний? P.S. http://forum.beirel.ru/index.php?showtopic=3735 http://www.beirel.ru/files/cureit.exe - обновил версию на нашем сайте.

Извините за то, что вмешиваюсь, но сомневаться в компетентности SVR я бы не стал, ибо он неплохо (я бы даже сказал ОЧЕНЬ неплохо) разбирается в компах и сетев.технологиях. Мне самому ну ОЧЕНЬ уж интересно,за что же всетаки SVR отрубили от инета (как это могла быть произведена атака с его адреса). Дело в том,что на его(SVR) серваке,как и на моем,почти одинаково все настроено (в том числе и безопастность) и мне тоже не хочется быть отключенным от инета по непонятным мне и SVR причинам.

[KAA]

и на старуху бывает проруха©народная поговорка

дело не в сомнениях, а в фактах - есть адрес источника и есть адрес назначения, трафика в сторону атакуемого было не много, по сравнению с остальными, но он был.

[Сергеич]

КАА подмены IP не могло быть? или по MAC?

[SVR]

И как же я по вашему обновлю CureIT есть нет сети??? Скачал с сайта что было вот и пользуюсь.
Лех, спасибо за поддержку.
Каа, у вас есть информация что это за вирус по сетке гулял? Пока нет доступа в сеть я не смогу отследить откуда лезет зараза. 3 неплохих антивиря просканировали систему. Возможно его уже нет в живых. Если опять пойдет рассылка вы всегда сможете заблокировать вновь.

MWAV 9.7.6 только ругает Radmin да ломаный Serv-U

Сообщение отредактировал SVR - 2.3.2008, 20:45

[KAA]

в нашей системе слежения другие маки за этим адресом не числятся, да и передача длилась довольно-таки продолжительно.

что за вирус - не искали и не дампили, маршруты на атакумеые адреса завернуты в null0, но наличие детализации, которую я скинул все-таки через ЛС, доказывает, что факт имеет место быть, а значит то, что вирус не нашли означает то, что он до сих пор живой, врядли он самоликвидируется.

[Сергеич]

Во вирусина=)))

[SVR]

Ищем....

Spybot нашел только Cookie в Firefox`e. Больше ничего подозрительного

в Winroute заблокировал любые ICMP.
Прошу дать инет!

Сообщение отредактировал SVR - 2.3.2008, 21:33

[KAA]

открыл

[Lexus77]

Цитата: (SVR @ 2.3.2008, 20:59) .......... в Winroute заблокировал любые ICMP. .........

Я тоже - от греха подальше

[SVR]

Спасибо. Будем смотреть что ж за зараза такая поселилась в компе

[KAA]

через гугл набрел
http://forum.pravda.com.ua/read.php?2,202042741,page=8

Цитата: Для тех, кому ещё интересно, пара слов о ддос атаках. Как уже здесь объяснялось, поток идёт с массы инфицированных и _неадминистрируемых_ компьютеров. Как они заражаются -- тоже было объяснено. Раньше сидящая на них зараза слушала на определённом порту и ждала команду с определённого адреса. Посему, поймав заразу, можно было потянуть за ниточку и разыскать "командира" (образовалась даже специальная сеть с приманками -- проект honeypot). нынче схемы усложнились (всё-таки терять хост-коммандер жалко). Одна из простейших: зараза отправляет тупой мейл на тупой адрес (типа mud110@yahoo.com), который служит лишь для того, чтобы сообщить свои координаты. Этот ящик время от времени очищается ( не вручную) и создаётся база инфицированных хостов. При необходимости вся эта банда получает распоряжение от коммандера, который, в свою очередь, может пройти через десяток скомпрометированных машин. Поэтому вычислить его практически невозможно (ну или очень трудно).