Jump to content
Local
Sign in to follow this  
ufoclub

вирус в сети ?

Recommended Posts

Нужна помощь! Мучаемся уже полторы недели.

Началось с того, что резко увеличился пинг на сервер. Решили ,что большая загрузка сервера. Но пинг не просто увеличился,он стал скачкообразно меняться .При этом страницы с инета еле грузились. Стали разбираться ,отключая ветви сети. При отключении одной из ветветй все пришло в норму.

По цепочке дошли до компа ,который портил нормальную работу сервера.

Отключили его. На следующий день все повторилось. Поставили программу

,которая отслеживает соответствие в сети айпи и мак адресов.

Увидели следующее : в сети есть компы , которые меняют айпи адреса.

При этом ,если меняется айпи на адрес другого клиента,то его комп не может нормально работать с инетом. Но хуже ,когда идет подмена адреса сервера.

Тогда вся сеть с трудом выходит , а иногда и не выходит в инет ( при этом сервер вообще не пингуется). Все компы с подменами оказались не закрытые фаерволом.Установили фаерволы. Не помогло. Прошлись антивирусами, не помогло. Переустановили систему( пока на двух) .На одном все нормально, на другом опять та же беда.

Какие подмечены особенности :

1. подмена идет на пяти-шести компах, но незакрытых фаерволом клиентов в сети явно гораздо больше.

2. подменяются айпи компов на этот момент работающих в сети

3. подменяютя одни и теже адреса ( каждый подменяющий комп соответчтвует одному и тому же подменяемому)

4.подмена происходит не сразу , а в какой-то момент икс

Вобще у нас до сих пор нет уверенности ,что это вирус. Есть еще два варианта:

1. глючит какой-то свич , но честно говоря за все время мы с таким выборочным глюком не сталкивались

2. человеческий фактор - кто-то запустил программулину и портит нам жизнь, но тогда два вопроса : можно ли дистанционно менять айпи на компах под виндой и собственно какой в этом глубокий смысл ?

Share this post


Link to post
Share on other sites

как насчеси соответствия IP + Mac ??

имхо, в сети абычный снифер...

Share this post


Link to post
Share on other sites

ставь прогу ipguard - и будет тебе счастье :)

Share this post


Link to post
Share on other sites

Проблема - примерно раз в час или два происходит пропажа связи с серваком, длительностью секунд на 10-15. Естесно за такое время не реально вычислить из какого сегмента может идти проблема. (инет по впн, 10-15 сек вполне достаточно для его обрыва, так что очень напрягает...) Вопрос - как или с какой программой можно определить айпи или мак компа, поскольку пологаю что это скорее всего вирус на компе пользователя (лей).

 

На серваке отображается примерно такое:

Mar 9 05:13:09 serv pppd[26374]: Modem hangup

Mar 9 05:13:09 serv pppd[28129]: Modem hangup

Mar 9 05:13:09 serv pppd[3172]: Connection terminated.

Mar 9 05:13:10 serv pppd[2964]: Terminating on signal 15

Mar 9 05:13:10 serv pppd[2964]: Exit.

Mar 9 05:13:10 serv pppd[4343]: Connect time 2.3 minutes.

Mar 9 05:13:10 serv pppd[4343]: Sent 33 bytes, received 1735 bytes.

Mar 9 05:13:10 serv pppd[4343]: Connection terminated.

Mar 9 05:13:10 serv pppd[3010]: Connect time 4.1 minutes.

Mar 9 05:13:10 serv pppd[3010]: Sent 41 bytes, received 1934 bytes.

Mar 9 05:13:10 serv pptpd[2962]: CTRL: Client 192.168.10.8 control connection finished

Mar 9 05:13:10 serv pptpd[2962]: CTRL: EOF or bad error reading ctrl packet length.

Mar 9 05:13:10 serv pptpd[2962]: CTRL: couldn't read packet header (exit)

Mar 9 05:13:10 serv pptpd[2962]: CTRL: Fatal error reading control message in disconnect sequence

Mar 9 05:13:10 serv pppd[2793]: Exit.

Mar 9 05:13:10 serv pptpd[2792]: CTRL: Client 192.168.20.158 control connection finished

Mar 9 05:13:11 serv pppd[3172]: Terminating on signal 15

Mar 9 05:13:11 serv dhcpd: DHCPINFORM from 192.168.30.63 via eth0: not authoritative for subnet 192.168.0.0

Mar 9 05:13:11 serv pppd[26374]: Connect time 82.9 minutes.

Очень много раз повторяется Modem hangup и Terminating on signal 15.

Share this post


Link to post
Share on other sites

Помогите , тоже самое

скрин PING.JPG:):):)

2003+ТИ+АвастСервер

Жуткий пинг из сети , пинговал с разных машин , при этом жутко лагает сам и сервер , не смотря на 4-х ядерность , отключаю магистраль ухода , пинг сразу нормальный , сам пинг не имеет периодичности , появился 10-20 минут поколбасило и опять <1 =1 , может появицца в любой момент , на соседний сераер пинг стабильный , тоесть проблемы в свичах и магистрали - нет.

 

Не помогла переустановка ОС , ни отключение Антивира ,ни замена сетевых карт , ни установка Агнитум Фаервола , ipchmon ничего криминального не показывает , оборудывание в сети не управляемое . Что это за апокалипсис ,подозрений на ТИ также мало , что можно предпринять ? :)

Share this post


Link to post
Share on other sites

только сервер так пингуется? компы между собой нормально? тогда похоже что банально один из компов в сети имеет такой же айпи как сервер

ноут в ноги и по крышам...

Share this post


Link to post
Share on other sites

Да только сервер .

Конфликта по айпи - нет , винда увидила б . Тут в другом дело , Олег88 подсказал вариант с центр. свичем , у нас мыло DES-1226G , будем копить на DES-3526 , это хоть свичем можно назвать . Вероятно решит проблему , а если и не решит , то будет в 1000 раз полезней в центре , чем то , что стоит сейчас ...

Share this post


Link to post
Share on other sites

Немного не понял ..причины чего ? замены свича ? ..сеть ростет , текста много начитал на этом форуме по-поводу ядра сети , да и функцыональность и безопасность на уровне доступа этого свича нравится , в частности IP-MAC-Port Binding: 512 записей .

Бегать с ноутом в принцыпе можно , недавно уже бегали , но это , если гадость идет не от структуры сети , а от конкретного ПК и желательно одного .

Share this post


Link to post
Share on other sites

причины такого прохождения

от того что много пробежало текста на 100мбит врятли будет вышескринованое, посмотрим на свитч :)

разберетесь если - отпишись, интересно

Share this post


Link to post
Share on other sites
ноут в ноги и по крышам...

Не забыть прихватить дубинку. Ох и попили моей крови такие уроды с подменами...

Иногда если ветка слишком длинная и этот сучонок включается когда хочет, например ночью, то удобно поставить на пол ветки управляемый свитч и включать выключать порты, поочередно, сначала мастриальные уходящие, потом если не помогло то клиентские.

Share this post


Link to post
Share on other sites

Скорее всего, что арп спуфинг это. Смотреть на арп таблицу биллингового сервака, если увидишь 2 одинковых мака в таблице, ищи кто это, дай ему по голове дубинкой, и скажи, чтобы комп на вирусы почистил, и что будет отключен до выяснения обстоятельств. Я уже пятерых так словил. Ну, и желательно сделать статическую арп таблицу на серваке.

Share this post


Link to post
Share on other sites

арп таблицу биллингового сервака ...знать бы гдето это чудо на 2003ей ...ipchmon это не увидит , он обратное видит .

 

2Foster: в данный момент переключил сервер на отдельный 8 портовый свич , кстати при переключении , и замечал даже при перезагрузке свича сервак ребутится жостко -

 

--

Причина непредвиденного завершения работы данного компьютера, предоставленная пользователем BILLING\Administrator: Отказ системы: Ошибка STOP

Код причины: 0x805000f

Код ошибки:

Строка проверки: 0x000000c2 (0x00000007, 0x0000121a, 0x02c70000, 0x88b75008)

Комментарий: 0x000000c2 (0x00000007, 0x0000121a, 0x02c70000, 0x88b75008)

----

Код ошибки 000000c2, параметр1 00000007, параметр2 0000121a, параметр3 02c70000, параметр4 88b75008.

--

 

Посоветуйте что лучьше на ядро сети , бюджет до 350 у/е

D-Link DES-3526 или Edge-Core ES3526XA ?

Share this post


Link to post
Share on other sites

3526 обкатанная лошадка, бери ее.

Ты луше найди урода который тебя спуфит, йопт, кардинально L2 свитч не решит проблемы, нужна дубинка и потяжелее :).

Share this post


Link to post
Share on other sites
3526 обкатанная лошадка, бери ее.

Ты луше найди урода который тебя спуфит, йопт, кардинально L2 свитч не решит проблемы, нужна дубинка и потяжелее :).

а кто вам сказал, что Es3526XA - не обкатанная? :)

 

кстати, у меня с апреля они все будут второй хардварной версии + цену я на них даю интереснее д-линка, а тем кто не одну берёт гораздо интереснее, так что, если кому надо - милости прошу :)

Share this post


Link to post
Share on other sites
арп таблицу биллингового сервака ...знать бы гдето это чудо на 2003ей ...ipchmon это не увидит , он обратное видит .

 

2Foster: в данный момент переключил сервер на отдельный 8 портовый свич , кстати при переключении , и замечал даже при перезагрузке свича сервак ребутится жостко -

 

--

Причина непредвиденного завершения работы данного компьютера, предоставленная пользователем BILLING\Administrator: Отказ системы: Ошибка STOP

Код причины: 0x805000f

Код ошибки:

Строка проверки: 0x000000c2 (0x00000007, 0x0000121a, 0x02c70000, 0x88b75008)

Комментарий: 0x000000c2 (0x00000007, 0x0000121a, 0x02c70000, 0x88b75008)

----

Код ошибки 000000c2, параметр1 00000007, параметр2 0000121a, параметр3 02c70000, параметр4 88b75008.

--

 

Посоветуйте что лучьше на ядро сети , бюджет до 350 у/е

D-Link DES-3526 или Edge-Core ES3526XA ?

Если ось ребутается, тогда смотри в сторону глючности сервака :)

Share this post


Link to post
Share on other sites
2Foster: в данный момент переключил сервер на отдельный 8 портовый свич , кстати при переключении , и замечал даже при перезагрузке свича сервак ребутится жостко

Чего-то я в этой жизни не понимаю раз от состояния л2 свитча зависит здоровье сервера. Под винду не подскажу, ну хоть сниффер чтоли - посмотреть что с сети сыпется.

Share this post


Link to post
Share on other sites

В данный момент полёт нормальный от утра и ниразу не перегрузился , криминального пинга также не наблюдается О_О ..интиресно , завтра буду дальше мониторить неужели всё это творил старенький свич .

 

2tihon: Цену пожалуйста или ф студию , или хоть в аську 275114410 , интиресно :)

Share this post


Link to post
Share on other sites

У нас тоже похожая проблема. стоит в центре 3526. Включена функция IPMB. С недавнего времени в снифере заметил с определенных адресов (допустим 10.0.0.5) перебор адресов(arp запросы) арп спуфинг.

 

10.0.0.5 broadcast arp who has 10.0.X.X tell 10.0.0.5

10.0.0.5 broadcast arp who has 10.0.Y.Y tell 10.0.0.5

 

 

 

Где Х и Y числа идущие по порядку, т.е. 10.0.2.1; 10.0.2.2, 10.0.2.3 и т. д.

 

на одном из серверов началось вот это "Neighbour table overflow", в сзязи с этим сервер начал подолгу думать при обращении к нему, и думаю не только на нем.

 

echo 256 > /proc/sys/net/ipv4/neigh/default/gc_thresh1

echo 1024 > /proc/sys/net/ipv4/neigh/default/gc_thresh2

echo 2048 > /proc/sys/net/ipv4/neigh/default/gc_thresh3

 

это не помогает

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×