tcpdump

0

0

Мне позвонил провайдер и сказал что у меня на компе троян.
На машине стоит Ubuntu

вот tcpdump
http://paste.org.ru/?1kmjix

Откуда такая активность ?

Ссылка

←	где достать ресурсы от google-chrome?

ssh over mc

→

sudo netstat -ap
Тоже не помешает.

AITap ★★★★★
(06.05.10 19:06:38 MSD)

Ответ на: комментарий от AITap 06.05.10 19:06:38 MSD

http://paste.org.ru/?fxneat

ANGELOS
(06.05.10 19:21:58 MSD) автор топика

Ссылка

В такой мешанине разобраться невозможно. tcpdump надо запускать так:

tcpdump -i any -s 0 -w tcp.dump

и получившисчя после 30 секунд работы бинарный файл положить куда-нибудь на slil.ru

AEP ★★★★★
(06.05.10 19:26:10 MSD)

Ссылка

Торренты не бось раздаешь вовсю?

~~gh0stwizard~~ ★★★★★
(06.05.10 20:26:26 MSD)

Ответ на: комментарий от gh0stwizard 06.05.10 20:26:26 MSD

Нет никаких торрентов, машина бездействует, все службы выключены....
А трафик идет

tcpdump -i any -s 0 -w tcp.dump
говорит
tcpdump: tcp.dump: Permission denied

ANGELOS
(06.05.10 20:50:41 MSD) автор топика

Ответ на: комментарий от ANGELOS 06.05.10 20:50:41 MSD

>Permission denied

Не может создать файл? /tmp/tcp.dump?

А в том файле, который вы выкладывали ранее не понятно, там не видно пакетов от 10.10.8.133, только пакеты, идущие к 10.10.8.133. Но icmp пакетов там очень много, у вас запущен «ping -f» ?

А вобще, лучше спрашивайте своего провайдера, какая именно сетевая активность ему не нравится.

mky ★★★★★
(06.05.10 21:02:26 MSD)

Ответ на: комментарий от mky 06.05.10 21:02:26 MSD

создал файл вручную /tmp/tcp.dump
и запустил tcpdump -i any -s 0 -w tcp.dump
вот файл
http://zalil.ru/upload/29093069

ping -f не запущен

ANGELOS
(06.05.10 21:16:18 MSD) автор топика

Ответ на: комментарий от ANGELOS 06.05.10 21:16:18 MSD

жуть, куча чужого трафика SMB, UPnP, torrets и фиг ещё знет кто. просто рай для снифинга.

врубай firewall и drop'ь всё что к тебе не относится и будет тебе покой и щастье.

beastie ★★★★★
(06.05.10 21:42:02 MSD)

Ответ на: комментарий от beastie 06.05.10 21:42:02 MSD

а поподробней можно ?
какие правила нужны для firewall
откуда берется этот трафик ?
все службы выключены

ANGELOS
(06.05.10 21:46:48 MSD) автор топика

Ответ на: комментарий от ANGELOS 06.05.10 21:46:48 MSD

трафик похоже не твой, а тоих соседей-виндузятников, которые голдят на всю подсеть как оголелые, а твой интерфейс их просто слышит.

с файерволом помочь к сожалению не могу — я в iptables не разбираюсь.

beastie ★★★★★
(06.05.10 22:03:32 MSD)

Ссылка

Ответ на: комментарий от ANGELOS 06.05.10 21:46:48 MSD

Не знаю относительно iptables. У вас там, похоже, hub или у свича переполнение MAC-таблицы, раз у вас на порту столько левого трафика. Кстати, а какой там ваш ip-адрес?

ping -f не запущен

Но в этом дампе и нет такого кол-ва icmp пакетов, а в первом были. А вобще лучше всё таки говорить с провайдером, почему он решил, что троян, хотя бы из-за исходящего тарфика, или по причине, что у вас какой-либо порт (считающийся троянским) открыт на компе.

mky ★★★★★
(07.05.10 10:17:49 MSD)

Ответ на: комментарий от mky 07.05.10 10:17:49 MSD

Помогите пожалуйста разобраться, кто то из пользователей моего провайдера похоже поставил у себя дома hub, из за чего у всех пользователей сети на порту много лишнего трафика.
У провайдера 2000 пользователей и весь трафик каждого из пользователей идет на порты всех остальных...

tcpdump -i eth1 -s 0 -w tcp.dump
вот файл за час http://slil.ru/29113913
службы на прослушиваемом интерфейсе были выключены.

Как определить источник ??

ANGELOS
(11.05.10 17:37:34 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	где достать ресурсы от google-chrome?

General

ssh over mc

→

Похожие темы