LINUX.ORG.RU
ФорумSecurity

Что это может быть?


0

0 


лог сквида:
1123965023.862   1186 10.1.1.11 TCP_MISS/600 10 GET http://205.188.2.32:443/ - DIRECT/205.188.2.32 -
1123965090.910   1386 10.1.1.11 TCP_MISS/600 10 GET http://64.12.25.88:443/ - DIRECT/64.12.25.88 -

Если туда зайти, то пытается качать какой-то ехе-файл!!!

ЗЫ
Сорри, что коротко, до этого было полно, но после второго сбоя добавления, уже сил нет писать =(
★★★★★
VServer
Обновление Security FAQ

DIRECT - это когда прокси обеспечивает передачу потока через себя, без кеширования и всего остального. Это как правило используется в SSL, что и видно из лога.

То, что там exe какой-то отдается, может говорить о чем угодно. В том числе, и о том, что на 10.1.1.11 стоит троянец, если уж высказываться в теме этого форума. ;)

ivlad ★★★★★
()
Ответ на: комментарий от ivlad 

Троянца у меня нет, просто я проверяю переодически, чтоб гадость резать всякую =)
Заодно, потом на основе одной статистики везде правила резок делаю.
А тут зашел, а он пытается ехе скачать, учитывая, что у меня линукс - мне по барабану =)

Учитывая, что я это много где вижу, есть подозрение, что винде 
передают троянца или еще какую гадость по SSL!

Посмотрите плиз в своих кэшах, просто интересно это только у меня?

ЗЫ
обнаружел еще один сайт, который передает тоже самое:
http://login.icq.com:443/

ЗЫЫ
Бред какой-то
Завтра на работе скачаю и антивирусом гляну.
Если не запарюсь.

ManJak ★★★★★
() автор топика
Ответ на: комментарий от ManJak

> ЗЫ обнаружел еще один сайт, который передает тоже самое: http://login.icq.com:443/

Ну. Нормальное явление. Я не пойму, что тебя беспокоит?

ivlad ★★★★★
()
Ответ на: комментарий от ManJak

Отдает 10 байт. На исполняемый файл не похоже. ID сессии или что-то в этом роде...

Andy_ua
()
Ответ на: комментарий от ManJak

> Да это понятно, НАХРЕНА они файлы закачать пытаются?

не пытаются они ничего

ivlad ★★★★★
()
Ответ на: комментарий от ivlad 

У кого есть винда под рукой и антивирус, что в файлах?
Я постоянно об этом дома вспоминаю =(

ManJak ★★★★★
() автор топика
Ответ на: комментарий от ManJak

НИ-ЧЕ-ГО!!! Это протокол аськи. Если он у тебя интерпретируется как exe-файл - это тебе так кажется.

Он интерпретируется, как application/octet-stream (Binary File), что в общем - верно.

Зайди телнетом и посмотри.

Deleted
()
Ответ на: комментарий от Deleted 

Блин, спасибо всем!
Эко меня торкнуло, вроде не пил ничего!

ManJak ★★★★★
() автор топика
Ответ на: комментарий от ivlad

> DIRECT - это когда прокси обеспечивает передачу потока через себя, без кеширования и всего остального. Это как правило используется в SSL, что и видно из лога.
А мне кажется, "DIRECT" говорит только о том, что этот squid напрямую обратился к указанному серверу, а не через посредников-proxy. Т.е. "DIRECT" бывает не только в SSL, и кеширование при этом не отменяется.

spirit ★★★★★
()
Ответ на: комментарий от spirit 

> Т.е. "DIRECT" бывает не только в SSL, и кеширование при этом не отменяется.

Кстати, да, сам замечал, но я думаю, что он просто запрашивает изменения, а если их нет, то отдает из своего кэша.

ЗЫ
Это заметно если сильно нагрузить/зажать канал, т.е., он куда-то 
обращается (ждет), а потом мухой отдает.

ManJak ★★★★★
() автор топика
Ответ на: комментарий от ivlad 

Но, ИМХО, я правильно говорю, что DIRECT - не означает полную скачку файла?!

Это говорит о том, что прокся обратилась к первоисточнику!

А, как тогда отличать
1-е от 2-го?

Вот тут-то, снова непонятки родяться!

ManJak ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
VServer
Security
Обновление Security FAQ