Dimension 37 Опубликовано: 2007-10-10 12:33:35 Share Опубликовано: 2007-10-10 12:33:35 Есть сервер, на нем поднят ДНС (bind 9.4) Сервер начал безумно тормозить, начали разбираться - выходит что грузит систему процесс named (тобишь днс) Смотри сколько пакетов на него идет (на 53 порт): 644123 IP 10.0.0.236.1338 > inet.domain: 7273+[|domain] 15:26:41.644330 IP 10.0.0.236.1447 > inet.domain: 49416+[|domain] 15:26:41.646496 IP 10.0.0.236.1536 > inet.domain: 6076+[|domain] 15:26:41.654138 IP 10.0.0.236.1448 > inet.domain: 39178+[|domain] 15:26:41.664198 IP 10.0.0.236.1339 > inet.domain: 44392+[|domain] 15:26:41.664314 IP 10.0.0.236.1340 > inet.domain: 33386+[|domain] 15:26:41.674163 IP 10.0.0.236.1342 > inet.domain: 16490+[|domain] 15:26:41.674271 IP 10.0.0.236.1341 > inet.domain: 54122+[|domain] 15:26:41.674495 IP 10.0.0.236.1620 > inet.domain: 11285+ A? 5NtY6H66e58xJS1x5jU0.ultra-online.ru. (54) 15:26:41.674927 IP 10.0.0.236.1506 > inet.domain: 41690+[|domain] 15:26:41.684309 IP 10.0.0.236.1343 > inet.domain: 60245+[|domain] 15:26:41.694583 IP inet.domain > 10.0.0.237.prospero-np: 30235 1/3/3 (179) 15:26:41.696320 IP 10.0.0.236.1537 > inet.domain: 18111+[|domain] 15:26:41.702247 IP inet.domain > 10.0.0.212.1026: 31268 7/8/8 CNAME[|domain] 15:26:41.704290 IP 10.0.0.236.1344 > inet.domain: 61013+[|domain] 15:26:41.704495 IP 10.0.0.236.1345 > inet.domain: 33108+[|domain] 15:26:41.715764 IP 10.0.0.236.1449 > inet.domain: 14069+ A? M1f4gwGb8BnuDJJXk822.ultra-online.ru. (54) 15:26:41.716247 IP 10.0.0.236.1507 > inet.domain: 60378+[|domain] 15:26:41.724705 IP 10.0.0.236.1508 > inet.domain: 36292+[|domain] 15:26:41.734245 IP 10.0.0.236.1346 > inet.domain: 36951+[|domain] 15:26:41.736957 IP 10.0.0.236.1538 > inet.domain: 39353+[|domain] 15:26:41.744978 IP 10.0.0.236.1347 > inet.domain: 52566+[|domain] 15:26:41.746743 IP 10.0.0.236.1539 > inet.domain: 48056+[|domain] 15:26:41.755000 IP 10.0.0.236.1348 > inet.domain: 37969+[|domain] 15:26:41.755202 IP 10.0.0.236.1450 > inet.domain: 244+[|domain] 15:26:41.764374 IP 10.0.0.236.1451 > inet.domain: 7415+[|domain] 15:26:41.765025 IP 10.0.0.236.1509 > inet.domain: 52676+[|domain] 15:26:41.774369 IP 10.0.0.236.1452 > inet.domain: 45046+[|domain] 15:26:41.775813 IP 10.0.0.236.1510 > inet.domain: 6340+[|domain] 15:26:41.776050 IP 10.0.0.236.1511 > inet.domain: 12231+ A? j2KGCv8JjoV2RrKS0U7oH.ultracomp.ru. (52) 15:26:41.776151 IP 10.0.0.236.1349 > inet.domain: 62032+[|domain] 15:26:41.777873 IP 10.0.0.236.1540 > inet.domain: 8123+[|domain] 15:26:41.784342 IP 10.0.0.236.1350 > inet.domain: 41043+[|domain] это кусочек лога за время меньше секунды. И самое интересное: Это происходит с разных ИП-адресов, причем подмена ИП-адреса исключена т.к. пришел к одному человеку, отрубил комп - все наладилось. Другой приносил комп, как принес - все прекратилось Тоесть физически компы находяться в разных и на своих местах. Один комп проверил на вирусы, из интересного нашел: Trojan-Proxy.Win32.Agent (незнаю может ли быть что то связанное с ним) На сайте капера вот что написали о нем: Троянец создает на компьютере пользователя SOCKS прокси-сервер на случайно выбранном TCP-порту, затем сообщает номер этого порта на сайт злоумышленника посредством URL-запроса. Что интересно, что даже если меняю этому человеку мак на фиктивны в своей статической арп таблице то он вусеравно продолжает флудить и грузить проц. Удалось отрубить его флуд только средствами iptables Народ, подскажите куда копать ???? Вобщем что делать - незнаю, от сервака не могу отойти. Ссылка на сообщение Поделиться на других сайтах
N.Leiten 89 Опубліковано: 2007-10-10 12:39:06 Share Опубліковано: 2007-10-10 12:39:06 Переустанавливать винду человеку. Причем пусть ищет другую винду. Я сталкивался с таким уже. Если кратко - то есть пара инсталях виндовых, в котороых ДНС-клиент кривой, он при получении одного запроса на резолв, начинает ддосить на ДНС-сервер, помогает выключение и включение интерфейса на винде, но при первом же резолве всё начинается снова... Есть еще подозрения не на сам ДНС-клиент, а на таймаут у него. В том смысле, что таймаут очень низкий и ДНС-клиент посылает запрос на резолв, не получает ответ и заново его шлёт. В любом случае выход один - менять винду. И именно менять, а не переустанавливать - пусть ищут другой инсталлер. У нас этим всё и решилось. Ссылка на сообщение Поделиться на других сайтах
martin 170 Опубліковано: 2007-10-10 17:46:32 Share Опубліковано: 2007-10-10 17:46:32 )))))))) у меня тоже такое было )) Уже пара человек такую заразу подхватили, хорошо что 2 ДНС юзаем. Вылечилось установкой правил на ограничение пакетов с одного ИП, как вариант можна зашейпить ) Ссылка на сообщение Поделиться на других сайтах
Dimension 37 Опубліковано: 2007-10-11 15:56:46 Автор Share Опубліковано: 2007-10-11 15:56:46 Вылечилось установкой правил на ограничение пакетов с одного ИП а можно поподробней как это реализуется ? P.S. Хотя версия с кривой виндой все меньше и меньше становится реальной: - слишком уж резко заглючили все компы и практически одновременно; - 3-х людей от которых шел ДОС проверили на вирусы и обнаружили стандартный пакет вирусняков (каспер их определил так): Trojan.Generic (модификация) Trojan-Proxy.Win32.Agent.ll Ссылка на сообщение Поделиться на других сайтах
biceps 0 Опубліковано: 2007-10-11 19:28:55 Share Опубліковано: 2007-10-11 19:28:55 Я думаю это не кривая ОС - это вирус - я с таким сталкивался уже несколько раз. Есть еще подобный с использованием icmp пакетов и udp на 80 порт. К сожалению лично не боролся - название этих вирусов сказать не могу. Просто отключали пользователей и звонили с просьбой полечиться - вроде как до сих пор помогало. Есть вирус - после излечения которого винда напрочь перестает резолвить имена. Тогда помогала переустановка. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас