Сообщения riso

dns и трафик паразит

Форум — Admin

Доброго времени суток. Я работаю в небольшой компании, имеется локалка на 50 машин, шлюз dns, squid, iptables. Недавно решил помониторить dns трафик и увидел вот такую картину

Query Name                Count      %
--------------------- --------- ------
vkontakte.ru                 75   19.2
yandex.ru                    32    8.2
google.com                   23    5.9
odnoklassniki.ru             21    5.4
ya.ru                        18    4.6
com.ua                       12    3.1
mail.ru                      11    2.8
youtube.com                   6    1.5
ytimg.com                     5    1.3
twitter.com                   5    1.3
adriver.ru                    5    1.3
vk.com                        5    1.3
wpad.local                    4    1.0
yandex.net                    4    1.0
redtram.com                   3    0.8
dt00.net                      3    0.8
facebook.com                  3    0.8
wikipedia.org                 3    0.8
microsoft.com                 3    0.8
ietf.org                      3    0.8
isatap.local                  3    0.8
godaddy.com                   3    0.8
0.1                           3    0.8
gemius.pl                     3    0.8
fbcdn.net                     2    0.5
in.ua                         2    0.5
meta.ua                       2    0.5
bigmir.net                    2    0.5
snfdszfgzf.local              2    0.5
jzqdeulwfe.local              2    0.5
hworhbrpkx.local              2    0.5
24smile.org                   2    0.5
rambler.ru                    2    0.5
qip.ru                        2    0.5
modcos.com                    2    0.5
msftncsi.com                  2    0.5
feedburner.com                2    0.5
thematicmedia.ru              2    0.5
blogspot.com                  2    0.5
google.ru                     2    0.5
yadro.ru                      2    0.5
google-analytics.com          2    0.5
habrahabr.ru                  2    0.5
retracker.local               2    0.5
oetiker.ch                    2    0.5
informer.com                  2    0.5
lg.ua                         2    0.5
googleusercontent.com         2    0.5
tns-counter.ru                2    0.5
rutube.ru                     1    0.3
vkontaktike.com               1    0.3
prime-tass.ru                 1    0.3
org.ua                        1    0.3
kp.ru                         1    0.3
ain.ua                        1    0.3
mixstatus.com                 1    0.3
facebook.net                  1    0.3
odplus.ru                     1    0.3

Статистика примерно 3 минутного мониторинга. За социальные сети понятно, но вот все остальное скорее всего вирусы. Лечить каждого клиента пока что нет времени. Как бы зарезать трафик так, что бы dns не работал в пустую?

riso
(14.10.11 11:29:11 MSK)

23 комментария

bind перестал стартовать

Форум — Admin

Доброго времени суток ЛОР. Проблема в следующем: сегодня утром при загрузке шлюза (debian) перестал стартовать bind9, поднимал я его на скорую руку и логи не настроил..fail. Раньше все работало хорошо, без косяков. Т.к. логов нет, приведу strace, /var/log/messages ничего подозрительного не пишет.

strace /etc/init.d/bind9 start
execve("/etc/init.d/bind9", ["/etc/init.d/bind9", "start"], [/* 17 vars */]) = 0
brk(0)                                  = 0x9412000
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
mmap2(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7848000
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY)      = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=19191, ...}) = 0
mmap2(NULL, 19191, PROT_READ, MAP_PRIVATE, 3, 0) = 0xb7843000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/i686/cmov/libc.so.6", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\320m\1\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0755, st_size=1323460, ...}) = 0
mmap2(NULL, 1333608, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb76fd000
mmap2(0xb783d000, 12288, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x13f) = 0xb783d000
mmap2(0xb7840000, 10600, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0xb7840000
close(3)                                = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb76fc000
set_thread_area({entry_number:-1 -> 6, base_addr:0xb76fc8d0, limit:1048575, seg_32bit:1, contents:0, read_exec_only:0, limit_in_pages:1, seg_not_present:0, useable:1}) = 0
mprotect(0xb783d000, 8192, PROT_READ)   = 0
mprotect(0xb7866000, 4096, PROT_READ)   = 0
munmap(0xb7843000, 19191)               = 0
getpid()                                = 16219
rt_sigaction(SIGCHLD, {SIG_DFL, [CHLD], SA_RESTART}, {SIG_DFL, [], 0}, 8) = 0
geteuid32()                             = 0
brk(0)                                  = 0x9412000
brk(0x9433000)                          = 0x9433000
getppid()                               = 16218
stat64("/home/riso", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
stat64(".", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
open("/etc/init.d/bind9", O_RDONLY)     = 3
fcntl64(3, F_DUPFD, 10)                 = 10
close(3)                                = 0
fcntl64(10, F_SETFD, FD_CLOEXEC)        = 0
rt_sigaction(SIGINT, NULL, {SIG_DFL, [], 0}, 8) = 0
rt_sigaction(SIGINT, {0x8056520, ~[RTMIN RT_1], 0}, NULL, 8) = 0
rt_sigaction(SIGQUIT, NULL, {SIG_DFL, [], 0}, 8) = 0
rt_sigaction(SIGQUIT, {SIG_DFL, ~[RTMIN RT_1], 0}, NULL, 8) = 0
rt_sigaction(SIGTERM, NULL, {SIG_DFL, [], 0}, 8) = 0
rt_sigaction(SIGTERM, {SIG_DFL, ~[RTMIN RT_1], 0}, NULL, 8) = 0
read(10, "#!/bin/sh -e\n\n### BEGIN INIT INF"..., 8192) = 3215
stat64("/etc/default/bind9", {st_mode=S_IFREG|0644, st_size=85, ...}) = 0
open("/etc/default/bind9", O_RDONLY)    = 3
fcntl64(3, F_DUPFD, 10)                 = 11
close(3)                                = 0
fcntl64(11, F_SETFD, FD_CLOEXEC)        = 0
read(11, "# run resolvconf?\nRESOLVCONF=yes"..., 8192) = 85
read(11, "", 8192)                      = 0
close(11)                               = 0
stat64("/usr/sbin/rndc", {st_mode=S_IFREG|0755, st_size=25884, ...}) = 0
geteuid32()                             = 0
open("/lib/lsb/init-functions", O_RDONLY) = 3
fcntl64(3, F_DUPFD, 10)                 = 11
close(3)                                = 0
fcntl64(11, F_SETFD, FD_CLOEXEC)        = 0
read(11, "# /lib/lsb/init-functions for De"..., 8192) = 8192
read(11, "_message (int exitstatus)\nlog_en"..., 8192) = 1592
stat64("/etc/lsb-base-logging.sh", 0xbfc556a0) = -1 ENOENT (No such file or directory)
read(11, "", 8192)                      = 0
close(11)                               = 0
write(1, "Starting domain name service...:"..., 38Starting domain name service...: bind9) = 38
open("/dev/null", O_WRONLY|O_CREAT|O_TRUNC|O_LARGEFILE, 0666) = 3
fcntl64(1, F_DUPFD, 10)                 = 11
close(1)                                = 0
fcntl64(11, F_SETFD, FD_CLOEXEC)        = 0
dup2(3, 1)                              = 1
close(3)                                = 0
fcntl64(2, F_DUPFD, 10)                 = 12
close(2)                                = 0
fcntl64(12, F_SETFD, FD_CLOEXEC)        = 0
dup2(1, 2)                              = 2
stat64("/sbin/modprobe", {st_mode=S_IFREG|0755, st_size=47512, ...}) = 0
clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb76fc938) = 16220
wait4(-1, [{WIFEXITED(s) && WEXITSTATUS(s) == 1}], 0, NULL) = 16220
--- SIGCHLD (Child exited) @ 0 (0) ---
dup2(11, 1)                             = 1
close(11)                               = 0
dup2(12, 2)                             = 2
close(12)                               = 0
stat64("/sbin/mkdir", 0xbfc55900)       = -1 ENOENT (No such file or directory)
stat64("/bin/mkdir", {st_mode=S_IFREG|0755, st_size=40900, ...}) = 0
clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb76fc938) = 16221
wait4(-1, [{WIFEXITED(s) && WEXITSTATUS(s) == 0}], 0, NULL) = 16221
--- SIGCHLD (Child exited) @ 0 (0) ---
stat64("/sbin/chmod", 0xbfc55940)       = -1 ENOENT (No such file or directory)
stat64("/bin/chmod", {st_mode=S_IFREG|0755, st_size=44204, ...}) = 0
clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb76fc938) = 16222
wait4(-1, [{WIFEXITED(s) && WEXITSTATUS(s) == 0}], 0, NULL) = 16222
--- SIGCHLD (Child exited) @ 0 (0) ---
open("/dev/null", O_WRONLY|O_CREAT|O_TRUNC|O_LARGEFILE, 0666) = 3
fcntl64(1, F_DUPFD, 10)                 = 11
close(1)                                = 0
fcntl64(11, F_SETFD, FD_CLOEXEC)        = 0
dup2(3, 1)                              = 1
close(3)                                = 0
fcntl64(2, F_DUPFD, 10)                 = 12
close(2)                                = 0
fcntl64(12, F_SETFD, FD_CLOEXEC)        = 0
dup2(1, 2)                              = 2
stat64("/sbin/chown", 0xbfc55940)       = -1 ENOENT (No such file or directory)
stat64("/bin/chown", {st_mode=S_IFREG|0755, st_size=49560, ...}) = 0
clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb76fc938) = 16223
wait4(-1, [{WIFEXITED(s) && WEXITSTATUS(s) == 0}], 0, NULL) = 16223
--- SIGCHLD (Child exited) @ 0 (0) ---
dup2(11, 1)                             = 1
close(11)                               = 0
dup2(12, 2)                             = 2
close(12)                               = 0
stat64("/usr/sbin/named", {st_mode=S_IFREG|0755, st_size=507376, ...}) = 0
geteuid32()                             = 0
stat64("/usr/bin/uname", 0xbfc55570)    = -1 ENOENT (No such file or directory)
pipe([3, 4])                            = 0
clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb76fc938) = 16224
close(4)                                = 0
read(3, "eth0      Link encap:Ethernet  H"..., 128) = 128
read(3, "         inet6 addr: fe80::202:4"..., 128) = 128
read(3, "   RX packets:661362 errors:0 dr"..., 128) = 128
read(3, "          collisions:0 txqueuele"..., 128) = 128
read(3, "t:22 Base address:0xc000 \n\neth1 "..., 128) = 128
read(3, ".168.1.255  Mask:255.255.255.0\n "..., 128) = 128
read(3, "CAST  MTU:1500  Metric:1\n       "..., 128) = 128
read(3, " dropped:0 overruns:0 carrier:0\n"..., 128) = 128
read(3, "73 (50.9 MiB)\n\nlo        Link en"..., 128) = 128
read(3, " Scope:Host\n          UP LOOPBAC"..., 128) = 128
read(3, "          TX packets:13267 error"..., 128) = 128
read(3, "45 (1.7 MiB)  TX bytes:1802445 ("..., 128) = 42
read(3, "", 128)                        = 0
close(3)                                = 0
wait4(-1, [{WIFEXITED(s) && WEXITSTATUS(s) == 0}], 0, NULL) = 16224
--- SIGCHLD (Child exited) @ 0 (0) ---
stat64("/sbin/start-stop-daemon", {st_mode=S_IFREG|0755, st_size=22800, ...}) = 0
clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb76fc938) = 16225
wait4(-1, [{WIFEXITED(s) && WEXITSTATUS(s) == 1}], 0, NULL) = 16225
--- SIGCHLD (Child exited) @ 0 (0) ---
ioctl(1, SNDCTL_TMR_TIMEBASE or TCGETS, {B38400 opost isig icanon echo ...}) = 0
stat64("/usr/bin/tput", {st_mode=S_IFREG|0755, st_size=9588, ...}) = 0
geteuid32()                             = 0
stat64("/usr/bin/expr", {st_mode=S_IFREG|0755, st_size=31920, ...}) = 0
geteuid32()                             = 0
open("/dev/null", O_WRONLY|O_CREAT|O_TRUNC|O_LARGEFILE, 0666) = 3
fcntl64(1, F_DUPFD, 10)                 = 11
close(1)                                = 0
fcntl64(11, F_SETFD, FD_CLOEXEC)        = 0
dup2(3, 1)                              = 1
close(3)                                = 0
fcntl64(2, F_DUPFD, 10)                 = 12
close(2)                                = 0
fcntl64(12, F_SETFD, FD_CLOEXEC)        = 0
dup2(1, 2)                              = 2
clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb76fc938) = 16230
wait4(-1, [{WIFEXITED(s) && WEXITSTATUS(s) == 0}], 0, NULL) = 16230
--- SIGCHLD (Child exited) @ 0 (0) ---
dup2(11, 1)                             = 1
close(11)                               = 0
dup2(12, 2)                             = 2
close(12)                               = 0
open("/dev/null", O_WRONLY|O_CREAT|O_TRUNC|O_LARGEFILE, 0666) = 3
fcntl64(1, F_DUPFD, 10)                 = 11
close(1)                                = 0
fcntl64(11, F_SETFD, FD_CLOEXEC)        = 0
dup2(3, 1)                              = 1
close(3)                                = 0
fcntl64(2, F_DUPFD, 10)                 = 12
close(2)                                = 0
fcntl64(12, F_SETFD, FD_CLOEXEC)        = 0
dup2(1, 2)                              = 2
clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb76fc938) = 16231
wait4(-1, [{WIFEXITED(s) && WEXITSTATUS(s) == 0}], 0, NULL) = 16231
--- SIGCHLD (Child exited) @ 0 (0) ---
dup2(11, 1)                             = 1
close(11)                               = 0
dup2(12, 2)                             = 2
close(12)                               = 0
pipe([3, 4])                            = 0
clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb76fc938) = 16232
close(4)                                = 0
read(3, "\33[31m", 128)                 = 5
read(3, "", 128)                        = 0
close(3)                                = 0
wait4(-1, [{WIFEXITED(s) && WEXITSTATUS(s) == 0}], 0, NULL) = 16232
--- SIGCHLD (Child exited) @ 0 (0) ---
pipe([3, 4])                            = 0
clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb76fc938) = 16233
close(4)                                = 0
read(3, "\33[33m", 128)                 = 5
read(3, "", 128)                        = 0
close(3)                                = 0
wait4(-1, [{WIFEXITED(s) && WEXITSTATUS(s) == 0}], 0, NULL) = 16233
--- SIGCHLD (Child exited) @ 0 (0) ---
pipe([3, 4])                            = 0
clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb76fc938) = 16234
close(4)                                = 0
read(3, "\33[39;49m", 128)              = 8
read(3, "", 128)                        = 0
close(3)                                = 0
wait4(-1, [{WIFEXITED(s) && WEXITSTATUS(s) == 0}], 0, NULL) = 16234
--- SIGCHLD (Child exited) @ 0 (0) ---
clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb76fc938) = 16235
wait4(-1,  failed!
[{WIFEXITED(s) && WEXITSTATUS(s) == 0}], 0, NULL) = 16235
--- SIGCHLD (Child exited) @ 0 (0) ---
exit_group(1)                           = ?

сам я никогда не разбирался с выводами strace, поэтому понять не сие не могу. Прошу помочь.

riso
(19.09.11 12:45:14 MSK)

6 комментариев

umask

Форум — General

Привет всем. Ситуация такова, что нужно изменить значение umask только в одной директории, у пользователя, который пишет в эту директорию, шел /bin/false, так что bash_profile отсутствует, какие есть еще варианты ?

UPD: проблему решил частично, в transmission в настройках поставил umask. Я так понимаю, что отдельно для директории umask не ставиться. Разве что в selinux.

riso
(07.09.11 13:02:42 MSK)

3 комментария

Аналог service в gentoo

Форум — General

В debian привык запускать демоны с помощью serivce. Есть ли под gentoo решения ? (кроме полного пути к файлу )

riso
(31.07.11 19:38:24 MSK)

16 комментариев

шрифт в панели закладок google-chrome

Форум — Desktop

Доброго время дня/ночи ЛОР! Есть вопрос, как изменить шрифт в панели закладок google-chrome? http://pic.lg.ua/x/7/9a1ccf/d47f6588.jpg

riso
(28.07.11 11:38:32 MSK)

11 комментариев

вопрос по шрифам в gentoo

Форум — Desktop

Не могу понять нормальный ли шрифт в браузере или нет. http://pic.lg.ua/x/8/5a4d3c/2999eb00.png

Почитал форумы и блоги, многие говорят что в gentoo из коробки шрифты нормальные. Cleartype подключать не стал. Установлены USE=«truetype type1» Если шрифты действительно кривые, подскажите, плз, как сделать лучше.

P.S. на terminus в awesome не обращайте внимания, то просто так.

riso
(24.07.11 11:24:48 MSK)

10 комментариев

Подскажите шрифт

Форум — Desktop

Прошу помощи, если кто знает, скажите какой шрифт используется. http://pic.lg.ua/x/8/bd615d/e10a6e53.png

riso
(18.05.11 22:51:24 MSK)

2 комментария

← назад

RSS подписка на новые темы