DarkSpider

Неплохо, но чтоб не наступать на грабли, есть несколько замечаний. Если я не прав - поправьте. 445 порт это порт захода на папки по сети (для WinXP,Vista,Seven - 95,98 и Linux используют 139 порт) и их закрывать в сети, если используются сетевые ресурсы нельзя. достаточно просканировать машину KidoKiller(Касперский) или аналогами (есть у меня от Авиры, F-secure) и в обязательном порядке ставить заплатки от MS. Ну а про сканировании всей машины - так это полезно раз в недельку делать в любом случае. В сети эта гадость присутствует. На машины с Win Vista SP1(Аваст Хоум) и Windows 7(Авира Хоум) с последними обновлениями эта зараза не пробралась. Антивирусники Хоум версии - потому что бесплатно и официально-лицензионно. Фаервола нет.

Зоррик, Версия 31 с сайта касперского не определяется как вирус - у себя выложил ее. icecube, не скажу как пролечить по сети. Имхо только локально на каждом.

Зоррик, отличное описание. А вот утилитка ......

Verlihub - пока чистый.

Если работает с ДМЗ - значит копай в сторону фаервола. Фаер обычно настроен такчто не блочит ДМЗ. Я у себя не указывал его. Смотри что блочит фаервол и перенастраивай или попробуй для проверки временно его отключить совсем.

Кто получает IP по DHCP ? Твой комп или роутер ? Не знаком с такой моделью Д-Линка внутрях , но похожую ситуацию решал так : Роутер получает айпи из сетки по DHCP. В настройках роутера поставил перенаправление портов В ДЦ указал что режим с фаерволом с ручным перенаправлением портов. и IP роутера. В качестве портов UDP и TCP прописанные в роутере перенаправленные порты. Настраивал такое на TP-Link 542g IP на машине из подсети 192. мопед укртелефона тоже 192 он же и основной шлюз. Причина низкой скорости на ДЦ - нет прямого соединения между тобой и др юзером локалки.

Более года (2002) юзал АВП, потом першел на НОД32. Но в последнее время стал замечать , что НОД пропускает большое количество троянов. Половину вирусов видит только по факту их запуска. У знакомого 3-я лицуха - говорит работает хорошо, в отличие от триала (триал не лечит в архивах, в файлах с укр буквами и по сети). Дома пользуюсь Аваст Хомка - из преимуществ неплохой анализ трафика. После него вирусов не обнаружено, но на работе віловил парочку что ни нод ни Аваст не увидели, но увидели на тестовой машине Авира и тренд микро (последний установлен на работе под базы Домино Лотуса). Мой итог - Аваст или Авира премиум.

Кто может выложить рабочий вариант шейпера с IFB на аплоад для пользователей ? Интересует с применением меток MARK в IPTABLES. Если использовать u32 ip dst все работает прекрасно , а вот если использовать метки - на даунлоад работает прекрасно, а вот с IFB (или возможно просто не там метку ставлю) не шейпит. На даунлоад использую CBQ (мне больше нравиться (инет игры лагают меньше) а на аплоад htb. Вот пример того что есть у меня. iptables -t nat -A POSTROUTING -s 192.24.44.13 -o eth1 -j SNAT --to 192.168.12.2 iptables -t mangle -I FORWARD -d 192.24.44.13 -j MARK --set-mark 0x13 iptables -t mangle -I FORWARD -s 192.24.44.13 -j MARK --set-mark 0x113 #############Шейпер##################################################### #Даунлоад юзера tc class add dev eth0 parent 1: classid 1:13 cbq rate 256Kbit allot 1500 prio 3 bounded isolated tc filter add dev eth0 parent 1: protocol ip prio 2 handle 0x13 fw classid 1:13 #### Работает прекрасно #################################################### #Аплоад юзера tc class add dev ifb0 parent 2: classid 2:113 htb rate 256Kbit ceil 256Kbit tc filter add dev ifb0 parent 2: protocol ip prio 5 handle 800::113 u32 match ip src 192.24.44.13 flowid 2:113 ########################## Работает прекрасно ############################## #######Но если заменить эту строчку на : ######################################### #tc filter add dev ifb0 parent 2: protocol ip prio 6 handle 0x113 fw classid 2:113 # #То скорость уже не режет # ####################################################################### может метку не там ставлю ?

рядом была темка с АРП. Очень похожая ситуация. Попробуйте поставить утилитку ARPWATCH. Если она есть для фри. Она пишет все в сислог. Потом cat /var/log/messages | grep arpwatch > 111 cat ./111 | grep change и вам покажет сколько ИПов пыталось сменить МАК. В первой колонке маков(там их 2) покажет одинаковый адрес на многих айпи. Это и есть мак атакующего компа. У себя что-то реализовать толковое не смогли - единственный выход - занести этот мак в статическую базу на "умном" свитче и забанить. Потом топаем к абоненту и разбираемся. Если конечно у вас то же что и мы схватили. Гуглим на тему arpspoof.

как по-моему невыполнимая задача в некоторых сетях. У нас установлен arpwatch - IP я получу за 2-3 минуты после атаки. Но вот ведь в чем вопрос пока я его забаню на свитче, пока перегружу биллинг/фаервол - пройдет минут 10-20 - для кого-то это недопустимые сроки. К тому же на "умных" свитчах бан идет по маку , а не по IP, так что IP - это уже только для проформы. Все описанные пока способы ведут только к ручной работе админа, а все это время сеть "мертва" =( что не есть гуд.

Как раз подобная фиготень =( Работает сеть на DHCP МОжно ли каким то программным способом полечить ? Потому как только помогает отключение абонента, но через какое-то время заразу начинает новый и так далее... Сервер под ASP 12 Linux.

DHCP и дома и на работе. На работе аналогично сменили подсеть за полчаса на 200+ машинах. Левые DHCP сервера банить по 68 порту на свитчах в подьездах, если порты управляемые.

А не даст ли во втором случае что "Логин уже используется" ? Ведь разговор идет о двух одновременно подключенных IP ?

Я не говорил про подсчет траффика. Это действительно только для анлимных пакетов. Для них может СТГ и не нужен, но помимо них еще множество других клиентов. Опять же это не панацея, а частное решение.

есть =) Не совсем просто , но есть. Способ , который работает у меня: так как таких клиентов не много пишем таких отдельными скриптами. итак есть у меня 3 IP (192.168.5.2, 192.168.5.3, 192.168.5.4)которые работают по 1 логину - делаем файл (копию OnConnect для каждого IP, в котором переменные $1,$2,$3 (т.е. логин, IP,ID ) прописываем явно. т.е. не IP=$3 ,а IP=192.168.5.2, ID=888. Скрипт должен запускаться после коннекта первого IP либо ставить его "всегда онлайн", а остальные запускаем вручную после загрузки СТГ. У меня всего 4 таких клиента, так что ручками нет проблем стартонуть это хозяйство. Если все запутанно и непонятно - можно в ПМ. По поводу, что там не прокатило через запятую - проверьте чтоб небыло пробелов - т.е. запись должна быть типа "192.168.5.2,192.168.5.3" БЕЗ ПРОБЕЛА.

Я редактирую через Akelpad http://akelpad.sourceforge.net/ru/ Клиентов море - после Strong'а - перестал искать - полностью устраивает.

Да я просто пишу в него и все. Правило только одно - пишу в Acelpad - там кодировку можно поставить utf-8(или любую нужную). Для DC++ полно клиентов , для мирц - юзаю mIRC 6.13. - все довольно просто.

Имхо чат в ДЦ и есть почти (а то и полный ) аналог мирц. У меня в /etc/verlihub/motd

2Gall Работает Сам использую связку Verlihub + StrongDC++ - motd (message of the day) - это отдельный файл в /etc/verlihub/motd или может отличаться.

Какой процесс сборки готового продукта ? РМП - это конечно уже совсем сказка, но хотелось бы хотя бы что-то типа : ./build или ./configure; make; make install , а не билд, патч, патч, линк, линк, линк и т.п. В идеале скрипт install.sh linux(gentoo, free, *nix) либо РПМ.

База пока в файлах как раз по причине нестабильности связки. Присоеденяюсь.

Поздравляю с Юбилеем (не каждому участнику форума 100-ка стукает ) Присоеденяюсь к поздравлениям !

Самое неприятное, что после сообщения что у меня в ящике пусто, через часа 3 получил . Точно БОТ ?

У меня пусто, но высветилось сообщение двухнедельной давности, как новое и непрочитанное сегодня.

Если честно все эти истории с плохим самочувствием и нерастущими овощами очень напоминает старый анекдот: Поставили не селе вышку для мобильников. Все жители села начали возмущаться, жаловаться на плохое самочувствие, нерастущие овощи и прочее. Чтобы не оставаться голословными собрали сельсовет и голове принесли бумажку с подписями 90% населения села. Жалобы и так далее. Вызвали представителей компании на следующее собрание. Представитель начинает описывать как им всем будет хорошо от мобильной связи, но его перебивают и орут как у всех болит голова и такое прочее, на что он отвечает : А ВЫ ПРЕДСТАВЛЯЕТЕ ЧТО БУДЕТ, КОГДА МЫ ЕЕ ВКЛЮЧИМ ???? так что все относительно. А вообще совет на будущее - вежливость решает.