Здравствуйте.
Вобщем имеется одна конторка. Там стоит сервак на FreeBSD-6.2.
Выполняет функцию гейта в инет (напрямую. не через сквид) и мейл-сервака.
Так же в сетке имеется winserver2003. он толком ни зачем не нужен. сидит за основным серваком наравне с клиентскими машинами и занимается авторизацией в домене, но это всё не настроено практически и роли не играет. В инет ходят мимо этой машины всёравно.
С месяцок назад меня попросили сделать "чтобы трафик можно было смотреть". Я поднял сквид. Засадил его _на внутренний интерфейс_, закинул сарг по крону. Поднял апач _на локалхосте_ для просмотра логов сарга. Тоесть вродебы наружу ничего не высунул. Настроил транспаретный прокси.
Всё гут. Траффик считается. (по айпишникам).
Но вдруг 30 июня в логах сарга появляется запись что некий 192.168.0.165 накачал 57.39гигов за день. на следующий день ситуация примерно такая же. потом затишье и больше этот айпи в логах не фигурировал. машины с таким айпишником у них в сети нет.
Огромные счета за трафик ещё пока тоже не приходили до этого)
Вот топ 5 сайтов с которых шёл траффик:
www.8888sf.net.cn 57.39G
www.30ok3000ok.cn 23.41G
www.11166sf.cn 7.77G
www.kk8832.cn 6.96G
www.aoyuncq.cn 196.63M
все корейские. что это может быть, троян на клиентской машине?
или сервак поломали? но тогда зачем тогда так было извращаться и лезть через сквид да ещё и с левого айпи какогото? (у сервака айпи 192.168.0.3)
В меня просьба палками и помидорами не кидать. К конторе я не имею никакого отношения. Так что настраивал всё изначально не я. Просто самому интересно узнать что случилось.
"Одмин" в этой конторе только так называется. машина с FreeBSD для него чёрный ящик, да и с винсервером он незнаком. Но это уже всё не моё дело...
Ответ на:
комментарий
от xio
Ответ на:
комментарий
от Nao
Ответ на:
комментарий
от anonymous
Ответ на:
комментарий
от dimon555
Ответ на:
комментарий
от anonymous
Ответ на:
комментарий
от tommy
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.