![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
madfТільки-що трошки понервувався.
У мене на десктопі висить плазмоїд Crystal Monitor, який серед усього іншого показує мережевий трафік. І от я якось поглянув на нього а там - 64к в обох напрямках. Це уся ширина каналу! При тому, що у мене нічого не запущено, крім копита та irssi на ноуті! Вірус!
Сам собі думаю: "Не панікувати!". Мережевий дріт не висмикував, глобальний DROP у iptables не ставив, маршрутизацію не змінював. Спочатку запустив top - мо' хто там ще й процик навантажує? Але там усе було спокійно. ps aux не показав сторонніх процесів. tcpdump показав наявніть http-трафіку між мною і meru-dp.alkar.net. Я одразу насторожився - домен-то нормальний. Та і протокол http.
"Маскується, зараза!". netstat -tp не показав мені імені процесу. Це мене вже реально здивувало і напрягло. Я не знаю способу приховати процес у *nix (хоча, треба буде перевірити одну ідейку). Думаю: "Хитрі падлюки! Але козака таким не залякаєш!". Швиденько перевів адресу і порт у 16-кову систему числення і зробив find/grep по /proc. І ще більше здивувався, коли нічого не знайшов!
От, думаю, халепа. Ну зараз я тебе заріжу! iptables -A INPUT -s 195.248.190.21 -j DROP!
І нічого не змінилось. Трафік не зник. Та-ак'с! Якась фігня! Ану ж, думаю, у FORWARD додам. Спрацювало!
Це одразу навело мене на роздуми. Раніше у нас стояв сервак, який роздавав інет від Трайфла. Потім на ньому накрився вінт і інет я став роздавати зі свого компа. Минулого місяця ми провели собі додатковий канал - анлім від ВегаТелекому. Він роздавався від ADSL-модема в режимі маршрутизатора, але один із моїх сусідів залишився на трайфлі. А, оскільки, там у нього 2 компа з віндою - він продовжував ходити через мене. А я й інший сусід ходили через модем. Точніше, це я так думав. До сьогоднішнього дня. Подивився уважніше на tcpdump і виявив, що трафік від мене дублюється трафіком від сусіда, що мав ходити напряму через маршрутизатор! А ну, кажу, Вєтал, висмикни у себе мережевий дріт! Оп! І все зупинилось. Ага, кажу, а покажи-но мені свої налаштування мережі! А чого це ти через мене в інет лазиш, га?
Треба зауважити, що на цей момент я позупиняв більшу частину своїх сервісів, позакривав усі вікна konqueror, вимкнув копито та відключив ноут :) Вже думав гасити кеди и прибивати процеси по одному :)
У мене на десктопі висить плазмоїд Crystal Monitor, який серед усього іншого показує мережевий трафік. І от я якось поглянув на нього а там - 64к в обох напрямках. Це уся ширина каналу! При тому, що у мене нічого не запущено, крім копита та irssi на ноуті! Вірус!
Сам собі думаю: "Не панікувати!". Мережевий дріт не висмикував, глобальний DROP у iptables не ставив, маршрутизацію не змінював. Спочатку запустив top - мо' хто там ще й процик навантажує? Але там усе було спокійно. ps aux не показав сторонніх процесів. tcpdump показав наявніть http-трафіку між мною і meru-dp.alkar.net. Я одразу насторожився - домен-то нормальний. Та і протокол http.
"Маскується, зараза!". netstat -tp не показав мені імені процесу. Це мене вже реально здивувало і напрягло. Я не знаю способу приховати процес у *nix (хоча, треба буде перевірити одну ідейку). Думаю: "Хитрі падлюки! Але козака таким не залякаєш!". Швиденько перевів адресу і порт у 16-кову систему числення і зробив find/grep по /proc. І ще більше здивувався, коли нічого не знайшов!
От, думаю, халепа. Ну зараз я тебе заріжу! iptables -A INPUT -s 195.248.190.21 -j DROP!
І нічого не змінилось. Трафік не зник. Та-ак'с! Якась фігня! Ану ж, думаю, у FORWARD додам. Спрацювало!
Це одразу навело мене на роздуми. Раніше у нас стояв сервак, який роздавав інет від Трайфла. Потім на ньому накрився вінт і інет я став роздавати зі свого компа. Минулого місяця ми провели собі додатковий канал - анлім від ВегаТелекому. Він роздавався від ADSL-модема в режимі маршрутизатора, але один із моїх сусідів залишився на трайфлі. А, оскільки, там у нього 2 компа з віндою - він продовжував ходити через мене. А я й інший сусід ходили через модем. Точніше, це я так думав. До сьогоднішнього дня. Подивився уважніше на tcpdump і виявив, що трафік від мене дублюється трафіком від сусіда, що мав ходити напряму через маршрутизатор! А ну, кажу, Вєтал, висмикни у себе мережевий дріт! Оп! І все зупинилось. Ага, кажу, а покажи-но мені свої налаштування мережі! А чого це ти через мене в інет лазиш, га?
Треба зауважити, що на цей момент я позупиняв більшу частину своїх сервісів, позакривав усі вікна konqueror, вимкнув копито та відключив ноут :) Вже думав гасити кеди и прибивати процеси по одному :)
