LINUX.ORG.RU

Кто-то жрёт траффик


0

1

Последнее время обеспокоился, что стало уходить много траффика. Поставил darkstat - уходит около 100 Мб в час, а это 2.5 Гб в день. Посмотрел список портов, оказалось, что больше всего траффика ходит через порты 58062, 58072, 58040.
Далее:


[penguin@arch ~]$ sudo netstat -tnp | grep 58062
Пароль:
tcp 0 0 192.168.1.2:58062 84.22.159.131:80 TIME_WAIT -
[penguin@arch ~]$ sudo netstat -tnp | grep 58072
tcp 0 0 192.168.1.2:58072 84.22.159.131:80 TIME_WAIT -
[penguin@arch ~]$ sudo netstat -tnp | grep 58040
tcp 0 0 192.168.1.2:58040 84.22.159.131:80 TIME_WAIT -


Везде один и тот-же айпишник. Если по нему пройти, то можно попасть на сайт, который я изредка посещаю. При этом, этот нигде в браузере этот сайт не открыт, но траффик продолжает капать. Простите за нубский вопрос, возможно я плохо знаком с матчастью, но, кто-нибудь может обьяснить почему такое происходит?

Возможности:

* Защита от Хакеров и Вирусов, с помощью обновлений системы * Бесплатная встроенная утилита проверки вирусов Cureit от DrWEB * Встроенный плеер IP телевидения * Встроенный проигрыватель радио * Встроенные программы для удалённой помощи * Информация о балансе счета * Популярные ссылки на ресурсы Игра-Сервиc и Оптизон, а так же новости с этих порталов

Скачать последнюю версию

* Обновление Агента происходит автоматически.

не оно?

ukr_unix_user ★★★★
()
Ответ на: комментарий от ukr_unix_user

Не, я эту каку даже не трогал.
Перезагружаюсь - всё нормально.
Открываю браузер - всё нормально.
Открываю сайт - всё нормально.
Закрываю сайт - появляются 3 зомби на 3 портах, жрущие трафик.

Dragon59 ★★
() автор топика

Возможно, я что-то путаю, но: http://ru.wikipedia.org/wiki/TCP

TIME-WAIT
Узел-1 получил сегмент с флагом FIN, отправил сегмент с флагом ACK и ждёт 2*MSL секунд, перед окончательным закрытием соединения

AITap ★★★★★
()
Ответ на: комментарий от mopsene

Закрыл, проверил - ничего не изменилось. Кстати, теперь их не 3, а 7-8.

Dragon59 ★★
() автор топика
Ответ на: комментарий от mopsene

В том то и дело, что нет. После того, как поставил систем, под рутом не заходил ни разу. Все рутовые операции делаю через sudo.

Dragon59 ★★
() автор топика

Если сайт тебе не нужен, запрети в /etc/hosts, город Скала в Новосибирской области, занятно

coldy ★★
()
Ответ на: комментарий от mopsene

Нет. Всё, что есть в системе - либо из официального репозитория (зеркало на Яндексе), либо из AUR'a.
Сайт - обычный игровой форум - читаю, пишу сообщения.

Dragon59 ★★
() автор топика

Под рутом левых директорий (cod4) не появилось? Просто сниппет (pastebin.com/vDFLkQBr) нашелся, но там не 80, а ftp.

anonymous
()
Ответ на: комментарий от ukr_unix_user

и смотри сколько угодно что это за программа, творит такое безобразие.

ukr_unix_user ★★★★
()

На всякий случай возьми wireshark, посмотри какие данные идут.

YYY
()

просто установи систему заново

Lordwind ★★★★★
()
Ответ на: комментарий от Dragon59

Он ничего криминального не делает, просто заливает на ftp несколько файлов.

Dragon59 ★★
() автор топика
Ответ на: комментарий от Dragon59

Это я писал для админа этого сайта месяца два назад =)

Может просто не все почистилось, какой-нибудь дебаг-код?

anonymous
()
Ответ на: комментарий от Slavaz

Вообще-то nethogs покажет просто огромное кол-во таких подключений (USER = root и неизвестный PID) на любой машине с запущенным торрент-клиентом.

AITap ★★★★★
()

Кто-то жрёт траффик

Червие следит за тобой!

slackwarrior ★★★★★
()
Ответ на: комментарий от anonymous

Сходил по ссылке. Там советуют посмотреть, что за приложение стоит за соединением командой

netstat -tuvnap
Выполняю. Напротив нужного адреса в колонке PID/Program name прочерк. Не беда, добрый человек предусмотрел эту возможность и советует в этом случае запустить команду через sudo. Запускаю. Опять прочерк. Вот вывод: http://pastebin.com/rvjdHrm8. Может-быть я что-то делаю не так? Не хочу переустанавливать шиндовс =(

Dragon59 ★★
() автор топика

Это бот проверяет трояны/руткиты или еще что оставленные или это просто вирусы балуются, просто дропни ip у меня такие сотнями каждый день долбятся. Хотя если столько трафика, то как-то странно. Порты причем будут разные.

Failed password for root from ip port 39894 ssh2
Failed password for root from ip port 36423 ssh2
Failed password for root from ip port 49275 ssh2
Failed password for root from ip port 48483 ssh2
Failed password for root from port 47211 ssh2

anonymous_sama ★★★★★
()
Ответ на: комментарий от AITap

Первая:

20:23:08.037891 IP 192.168.1.2.36613 > www.optizone.ru.http: Flags [.], ack 2, win 229, options [nop,nop,TS val 470251 ecr 2725366964], length 0
20:23:08.039187 IP www.optizone.ru.http > 192.168.1.2.36661: Flags [.], ack 0, win 65535, length 0
20:23:08.039201 IP 192.168.1.2.36661 > www.optizone.ru.http: Flags [.], ack 2, win 229, options [nop,nop,TS val 470252 ecr 3698738204], length 0
20:23:08.041599 IP www.optizone.ru.http > 192.168.1.2.36820: Flags [.], ack 1, win 65535, length 0
20:23:08.041608 IP 192.168.1.2.36820 > www.optizone.ru.http: Flags [.], ack 1, win 229, options [nop,nop,TS val 470252 ecr 1968820927], length 0
20:23:08.041959 IP www.optizone.ru.http > 192.168.1.2.36613: Flags [.], ack 0, win 65535, length 0
И так ещё куча строк.

Вторая ничего не выводит. Оценил траффик - пересылаются пакеты по 66 байт. Вот скриншот. У остальных отличается 4-6 байт в середине.

Dragon59 ★★
() автор топика
Ответ на: комментарий от Dragon59

Какое содержимое пакетов покажет tcpdump, если запустить его вот так?
sudo tcpdump -i <интерфейс> -A host 84.22.159.131

Вторая ничего не выводит.

Вообще ничего? Даже если подождать? Даже на секунду (вывод, к сожалению, не сохраняется)? Значит, соединения открываются на очень короткие промежутки времени.

AITap ★★★★★
()
Ответ на: комментарий от AITap
20:38:12.151067 IP www.optizone.ru.http > 192.168.1.2.36614: Flags [.], ack 1, win 65535, length 0
E..(..@.x.W.T........P..^...h8l.P...z$........
20:38:12.151075 IP 192.168.1.2.36614 > www.optizone.ru.http: Flags [.], ack 1, win 229, options [nop,nop,TS val 741485 ecr 822503283], length 0
E..4..@.@.......T......Ph8l.^.......W4.....
..Pm1.gs
20:38:12.164791 IP www.optizone.ru.http > 192.168.1.2.36567: Flags [.], ack 1, win 65535, length 0
E..(.+@.x.V`T........P....f..c..P....a........
20:38:12.164804 IP 192.168.1.2.36567 > www.optizone.ru.http: Flags [.], ack 1, win 229, options [nop,nop,TS val 741489 ecr 2952542961], length 0
E..4..@.@.......T......P.c....f............
..Pq..:.
20:38:12.191678 IP www.optizone.ru.http > 192.168.1.2.36624: Flags [.], ack 1, win 65535, length 0
E..(.W@.x.S4T........P.......Z..P....`........
20:38:12.191686 IP 192.168.1.2.36624 > www.optizone.ru.http: Flags [.], ack 1, win 229, options [nop,nop,TS val 741497 ecr 1963688790], length 0
E..4..@.@.......T......P.Z..........:|.....
..Pyu..V

Минуты 3 ждал, ничего.

Dragon59 ★★
() автор топика
Ответ на: комментарий от anonymous_sama

Такой вариант не подойдёт, сайтом ведь всё-равно приходится пользоваться. Да и iptables у меня нету.

Dragon59 ★★
() автор топика
Ответ на: комментарий от Dragon59

Запустите tcpdump -w filename.cap -i <интерфейс> host 84.22.159.131, подержите подольше и покажите этот файл сюда. Если опасаетесь, что он содержит личные данные, предварительно изучите его у себя на компьютере при помощи wireshark.

AITap ★★★★★
()

Ребутнулся и, ничего не запуская, открыл сайт файрфоксом. Та же фигня, только соединения теперь больше 30. Мне страшно. Пока не буду заходить на сайт вообще, но, на всякий случай, скачаю установочный диск арча.
Вообще, проблема с трафиком появилась 3 дня назад. До этого всё было нормально.

Dragon59 ★★
() автор топика
Ответ на: комментарий от Dragon59

Да и iptables у меня нету. - ССЗБ
Такой вариант не подойдёт, сайтом ведь всё-равно приходится пользоваться - дык пользуйся.

anonymous_sama ★★★★★
()
Ответ на: комментарий от xtraeft

если в фаерфоксе открыть только about:blank - трафик будет идти?


От фаерфокса - нет.
Но на странный ip неизвестно откуда трафик продолжает идти, даже если вообще все браузеры закрыты.

Dragon59 ★★
() автор топика
Ответ на: комментарий от Dragon59

Из того, что wireshark удалось расшифровать: браузер Google Chrome версии 16.0.912.63 (или другая программа с его user-agent) читает сайт games.optizone.ru (адреса /_menu_new_2/?style_bg=7 и /_menu_new_2/counter.php, оба по 2 раза).

Покажите ещё на всякий случай вывод ps aux, вдруг что интересное увидим? Может быть, какое-нибудь wine-приложение прописалось в автозапуск (wine часто гадит куда ни попадя своими desktop-файлами)?

AITap ★★★★★
()
Ответ на: комментарий от xtraeft

Открываю сайт - появляется процесс флеша. Грохаю процесс - соединения не исчезают.

Dragon59 ★★
() автор топика
Ответ на: комментарий от AITap

http://pastebin.com/sRaGfdBt
Вроде, ничего подозрительного. Но я, похоже, понял, откуда ноги растут. Там на сайте есть js-менюшка, попробую её заблокировать.

Dragon59 ★★
() автор топика
Ответ на: комментарий от Dragon59

Всмысле ничего не работает. Соединения так-же висят, даже при мёртвом хромиуме.

Dragon59 ★★
() автор топика

Смотрю сайт линксом - всё нормально. Значит, проблема либо во флеше либо в жабаскрипте. Пойду искать.

Dragon59 ★★
() автор топика

Наконец-то дождались вирусов под линукс?

Кстати, а нет ли способа вкладкам фаерфокса запретить устанавливать постоянные соединения с поддержкой белого списка?

Xenius ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.