Перейти до

H_E_L_P закрыть вирус на FreeBSD


Рекомендованные сообщения

Всім привіт! Виручайте. Така ситуація:

В мережі появився вірус який флудить на 208.43.143.144-static.reverse.softlayer.com

ні як не можу файерволом його закрити. Загружає внутрішній інтерфейс на 95Мб і відповідно тупить нет. Як за допомогою ipfw можна його закрити, якщо стандартні deny ip, deny icmp не працюють

 

ось вивід tcpdump

 

22:26:34.230439 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#198, length 1032

22:26:34.230536 IP 10.0.0.89 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#72, length 1032

22:26:34.230639 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#226, length 1032

22:26:34.230736 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#226, length 1032

22:26:34.230835 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#142, length 1032

22:26:34.230935 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#229, length 1032

22:26:34.230938 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#79, length 1032

22:26:34.231035 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#169, length 1032

22:26:34.231038 IP 10.0.0.10.27005 > 81.145.34.193.static.giga-dns.com.27136: UDP, length 23

22:26:34.231135 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#58, length 1032

22:26:34.231235 IP 10.0.0.89 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#232, length 1032

22:26:34.231335 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#171, length 1032

22:26:34.231434 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#67, length 1032

22:26:34.231534 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#38, length 1032

22:26:34.231635 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#189, length 1032

22:26:34.231638 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#207, length 1032

22:26:34.231671 IP 95.66.190.201.12776 > 10.0.0.10.50078: UDP, length 77

22:26:34.231735 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#62, length 1032

22:26:34.231835 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#241, length 1032

22:26:34.231838 IP 10.0.0.91.netbios-ns > 10.0.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

22:26:34.231934 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP address mask request, length 1032

22:26:34.232033 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#120, length 1032

22:26:34.232133 IP 10.0.0.89 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#102, length 1032

22:26:34.232234 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#118, length 1032

22:26:34.232333 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#209, length 1032

22:26:34.232434 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#162, length 1032

22:26:34.232436 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#202, length 1032

22:26:34.232533 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#212, length 1032

22:26:34.232632 IP 10.0.0.89 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#43, length 1032

22:26:34.232733 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#138, length 1032

22:26:34.232833 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#181, length 1032

22:26:34.232935 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#103, length 1032

22:26:34.233032 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#139, length 1032

22:26:34.233132 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#174, length 1032

22:26:34.233135 IP 10.0.0.89 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#181, length 1032

22:26:34.233232 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#203, length 1032

22:26:34.233332 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#158, length 1032

22:26:34.233431 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#203, length 1032

22:26:34.233532 IP 0.0.0.0 > 208.43.143.144-static.reverse.softlayer.com: ICMP type-#150, length 1032

 

 

 

????????????????????????????????????????????

Ссылка на сообщение
Поделиться на других сайтах

чувак ... лови мак адресса пока есть - и иди отключай проблемных людей.

 

+ 95 на аплинке не могут из воздуха появится - смотри по портам где загрузка больше

Ссылка на сообщение
Поделиться на других сайтах

чувак ... лови мак адресса пока есть - и иди отключай проблемных людей.

 

+ 95 на аплинке не могут из воздуха появится - смотри по портам где загрузка больше

 

Врядли у когото из абонентов 95 мбит на мир, а флудят то сюда:

IP адрес: 208.43.143.144

Страна: United States

Регион: Texas

Город: Dallas

Широта: 32.7825

Долгота: -96.8207

Ссылка на сообщение
Поделиться на других сайтах

Ловити клієнта треба. МАС наврядчи видно буде, кожна нова сесія швидше за все буде з новим маком, у самого було щось схоже.

Кабельки відключати доки не зловиш.

Ще такі питання: як часто виникає атака? яка тривалість? періоди доби виникнення?

У мене атаки виникали від 8 ранку до 2-3 ночі, тривалість від 2хв до 1год. Бувало й кожен день, а інколи і раз на тиждень.

Мене це сподвигло на купівлю нового сервера і налаштування ВЛАНа на кожну багатоповерхівку(вулицю) із маршрутизацією між ними через звязку сервер_Фря--транк_2Гбіт/с--світч_24_портовий_з_вланами. Якраз закінчую налаштування.

Ссылка на сообщение
Поделиться на других сайтах

Аплінк взагалі тільки 20 Мбіт. Атака починається вечером і триває десь від 5хв до 2год. Підскажіть як можна це зарізати на внутрішньому інтерфейсі?????

Ссылка на сообщение
Поделиться на других сайтах
Як взагалі заборонити будь-яку активність на фрі по 208.43.143.144 ???

Попробуй так:

route add -host 208.43.143.144 127.0.0.1 -blackhole

неа. все одно iftop показує відправку на цю ір на швидкості 1Мбіт

Ссылка на сообщение
Поделиться на других сайтах

Вам тут правильно сказали: надо искать у кого этот вирус сидит и отключать, а вы боретесь с последствиями.

Даже если Вы сделаете:

ipfw add 10 deny all from any to 208.43.143.144
ipfw add 20 deny all from 208.43.143.144 to any

...от этого ведь трафик, генерируемый вирусом, не исчезнет. И будет продолжать флудить Вам сеть и мешать работе.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...