Есть линуксовый сервер с прокси, через него происходят практически все соединения в нашей сети. Случайно обнаружилось, что от некоторых пользователей время от времени появляются такие запросы:
GET http://<some>.<lan>.4.168:2869/upnphost/udhisapi.dll?
От какого именно пользователя идет запрос - понятно по попадающему в лог сквида имени доменного аккаунта, и среди 5 юзеров, за которыми такое замечено, у одной девушки таких запросов на два порядка больше, чем у остальных:
# zgrep /upnphost/udhisapi.dll /var/log/squid/access.log* | egrep "[a-z]+_[a-z]{2}" | awk '{print $8}' | sort | uniq -c | sort -n | awk '{print $1}'
11
67
92
117
6983
Есть подозрение, что с компом этой девушки что-то не так. Можно сходить и поглядеть, но хорошо бы, конечно, знать, что искать.
Если кому-то такое попадалось в практике, поделитесь, пожалуйста, опытом.
