Комп
24-12-2008 22:12
к комментариям - к полной версии
- понравилось!
Комп просит обновлений. У меня офис-2002, Опера 9,* и все экзешные файлы дружно (Opera.exe, Winword.exe, Exsel.exe, Powerpnt.exe, Outlook.exe, Winamp.exe) висят в списке инфицированных. Новый Каспер сигнализирует, что компу угроз нет, но в то же время - постоянно травит ИСХОДЯЩИЙ траффик. Фирма теряет по 100-200 грн/день. Исходящий траффик при этом составляет от 700 Мб до 2,5 Гб в день, поток к провайдеру в 3-10 раз больше, чем от провайдера - этот бредовый интернет придумал нам всем новую прабл на ровном месте. по словам нашего доктора Айболита, соотношение должно быть 1:4. Я удалил все инфицированные файлы (вся папка Qweek Time) и переустановил поврежденные программы (кроме оперы и офиса) - теперь Исходящий трафик равен Входящему, что тоже нехорошо. В инфе по вирусам сказано, что данные программы имеют риск заражения (так что даже касперский не видит червей???), а в качестве решения предлагает установить патч от производителя программы. Я не знаю что такое патч, но установил для "оперы", а для "офиса" - не нашел, точнее там есть, но не для моей версии . Значит надо ставить новый оффис 2007, что ли. Да! Еще КВИП залупился работать по старому - устанавливай, грит, новую версию - и не включается; пришлось послушаться. А у меня оперативка 128 Мб, Айболит говорит - позорно мало! Этого было достаточно когда-то, лет 5-3 назад. Теперь уже не тянет, чтоб обслуживать все эти ненужные антивирусные, рекламные навороты. Кроме того, обновленные версии программ вроде бы выпускаются с иммунитетом против известных вирусов.
Вывод: мне эта алхимия неинтересна - значит надо платить деньги тому, кому интересно и кому можно доверять или похерить компьютер с интернетом к чертовой матери. Второе кажется умнее.
Касперский делает подробный отчет: все предупреждения, оказывается, были не о вирусе, а об УЯЗВИМОСТИ. Дали чайнику в руки Касперского!
Зато после вчерашней (24.12) проверки идентифицировался один инфецированный файл - тоже экзешный файл упакованной (и не распакованной, и ни разу не использованной, так что неясно - зачем она мне вообще и как попала в комп) программы закачки файлов из сети (аналог ФлешГета). Это при 100% защите компа каспером.
По фразе "Большой исходящий трафик" - с одной "ф" - Гугл дал много интересного. На форумах мало чего понятного, но познавательно:
webeks: Большой исходящий трафик – помогите разобраться Где и почем купить?
webeks
Member (автор темы)
Откуда: Россия, Москва написано 20.02.2007 18:26 Инфо • Приват • Правка • Ответить • Известить модератора • IP
Здравствуйте.
Вчера днем (в понедельник) провайдер, к которому мы подключены, засчитал нам большой исходящий трафик (за один час около 6,6 Гб). К сожалению, интернет у нас весьма недешев, поэтому очень хотелось бы разобраться в данной ситуации.
Этот объем трафика на сумму порядка $330 – мы подключены как юр. лицо и у этого провайдера нет конкурентов в нашем здании. К сожалению, топология сети не позволяет использовать выделенный компьютер в качестве сервера, на котором осуществлялся бы подсчет трафика по пользователям. Что касается подключения, то по подключены к провайдеру по витой паре, скорость 100 Мб. Порядка семи-восьми компьютеров подключены к недорогому роутеру, который подключен к провайдеру.
На вопрос, что произошло, провайдер сообщил, что почти весь трафик был передан на IP 85.192.62.55, а также они предоставили информацию о трафике с периодом подсчета в 5 минут:
код
Входящий Исходящий
Feb 19 12:40 0 0
Feb 19 12:45 2.462 2.613.752
Feb 19 12:50 6.603 639.545.527
Feb 19 12:55 5.467 1.180.307.260
Feb 19 13:00 1.879 750.788.556
Feb 19 13:05 0 793.306.188
Feb 19 13:10 0 136.752.032
Feb 19 13:15 0 241.488.583
Feb 19 13:20 0 1.196.423.607
Feb 19 13:25 0 2.603.922
Feb 19 13:30 0 846.870.303
Feb 19 13:35 0 790.955.472
Feb 19 13:40 0 253.064
Feb 19 13:45 0 350.833.678
Feb 19 13:50 0 0
--------------------------------------
Summary: 16.411 6.932.742.136
(Это трафик только для "мой IP" <--> IP 85.192.62.55 ! Информация по трафику на другие IP адреса здесь не представлена)
То есть в период с 12:45 до 13:50 все и произошло. Затем за следующий час было съедено 4 Мб входящего (но это мы Итернетом пользовались) и в 15:00 мы были отключены провайдером в связи с минусом на счету (у провайдера система такая – они за состоянием счета следят не в реальном времени, а один раз в период в несколько часов).
Мне хотелось бы разобраться – что это могло быть? То ли кто-то преднамеренно передавал данные (например, закачивал на этот IP адрес DVD фильм), или это вирус какой на компьютере шалит, или ещё что?
И вот такие вопросы меня интересуют:
Если я кому-то передаю информацию (пакеты) и на другом конце её принимают, то мне должны приходить пакеты с подтверждением, что информация принята?
Тут же мы видим, что в некоторых случаях входящий трафик – 0 байт. То есть пакеты отправляются, но в ответ ничего не приходит.
То есть можно ли из этого сделать вывод, что на другом конце не были заинтересованы в получении данных пакетов? То есть, выходит, что вариант, что кто-то из моей сети закачивал какую-либо полезную информацию в интернет (например, DVD-фильм) можно исключить?
(Вообще, к слову сказать, могли к сети и несанкционированно подключиться – как вариант, витая пара к провайдеру идет через десяток этажей. А кроме того есть участки с Wi-Fi, правда, он защищен протоколом WPA_PSK с весьма длинным и сложным ключём.)
Большой исходящий трафик мог бы вызвать какой-нибудь вирус или почтовый червь. В этом случае информация шла бы на разные IP адреса (?), а тут долбили в один и тот же IP (по словам провайдера). Таким образом, версию с вирусом и червем можно исключить?
Или это троян какой? Который собирает информацию на зараженном компьютере, а потом передает её владельцу, но такие объемы... Да и в таком случае компьютер на том конце был бы "заинтересован" в получении данных, а тут только в начале идет ответный трафик.
Таким образом – на что же это больше всего похоже? Кто-то осуществлял DOS-атаку?
Вообще, а может быть так – осуществлялась DOS-атака на данный адрес. В начале приходил ответ и поэтому нам засчитывался входящий трафик, а потом удаленный компьютер решил на это не реагировать (или просто завис) и ответы приходить перестали – соответственно входящий трафик с этого компьютера стал равен нулю?
Или этот адрес (85.192.62.55) был каким-нибудь промежуточным звеном в цепочке и в момент времени 13:00-13:05 его выключили, поэтому ответного трафика с него нет?
Вообще, кто за этим адресом скрывается - сервер какой или просто пользователь? Пробовал пинговать этот IP – не отвечает…
В данный момент времени интернет у нас отключен, поэтому сказать, что будет твориться в случае включения интернета (будет идти трафик или нет) – это я сказать не могу.
Sergey Popov
Member
Откуда: Россия написано 20.02.2007 18:39 Инфо • Приват • Правка • Ответить • Известить модератора • IP
Судя по пакетам кто то залил вверх DVD фильм...
P Lookup — просмотр информации об ip-адресе и подсетях
Reverse Lookup: информация по обратному преобразованию для адреса 85.192.62.55 недоступна.
Информация об ip-адресе 85.192.62.55
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '85.192.62.0 - 85.192.63.255'
inetnum: 85.192.62.0 - 85.192.63.255
netname: ADTEL
descr: Advantage Telecom JSC
descr: Moscow, Russia
descr: http://www.adtel.ru
country: RU
admin-c: EZ228-RIPE
tech-c: EZ228-RIPE
status: ASSIGNED PA
mnt-by: DN-MNT
source: RIPE # Filtered
person: Evgeniy Zotov
address: ISP "Advantage Telecom"
address: Moscow, Russia
address: http://www.adtel.ru
e-mail: info@adtel.ru
phone: +7 495 7273755
phone: +7 49622 42929
nic-hdl: EZ228-RIPE
mnt-by: DN-MNT
source: RIPE # Filtered
% Information related to '85.192.62.0/23AS38964'
route: 85.192.62.0/23
descr: Advantage-Telecom
descr: Moscow, Russia
descr: http://www.adtel.ru
origin: AS38964
mnt-by: DN-MNT
source: RIPE # Filtered
Если у вас у пользователей ещё и права админские советовать что то сложно, никогда не будет порядка... А если нет, ставьте Tmeter
Да, кстати объясните мне как топология сети может влиять на невозможность установить роутер для подсчета трафика?
webeks
Member (автор темы)
Откуда: Россия, Москва написано 20.02.2007 19:19 Инфо • Приват • Правка • Ответить • Известить модератора • IP
Sergey Popov
Судя по пакетам кто то залил вверх DVD фильм...
А почему с этого IP адреса после 13:00-13:05 нет ответных пакетов? Если бы заливали бы DVD фильм, то должен же быть ответный трафик (?)
Что касается информации об ip-адресе – то это я через whois тоже посмотрел. Только что это дает, кроме знания того, что компьютер с этим ip (скорее всего) находится в Москве?
Если у вас у пользователей ещё и права админские
Увы, права у всех админские. Тут вы правы – порядка без выделенного сервера (шлюза) не будет.
Что касается топологии, то, возможно, я неправильно выразился – всё-таки топология позволяет установить сервер для подсчета трафика. Но дело в том, что сейчас к провайдеру подключен недорогой железный роутер. К роутеру подключено несколько компьютеров. Этот роутер стоит в одном здании, а в соседнем здании находятся еще несколько компьютеров, которые подключены по Wi-Fi. В первом здании (там, где роутер) люди иногда есть, иногда их нет. Поэтому, чтобы во втором здании был бы интернет, роутер постоянно стоит включенным. В принципе, можно там вместо роутера поставить постоянно работающий сервер, но просто существенно проще было договориться с людьми в первом здании поставить у них постоянно включенной небольшую коробочку, чем держать там постоянно включенным и гудящим компьютер. Но видимо, об этом нужно уже задумываться.
Кроме того, все подключенные люди серьезные (что называется все свои) и все знают, что трафик весьма недешев, поэтому специально так гадить не будут. А, кроме того, общее потребление трафика не такое большое, чтобы городить огород с сервером. Но вот за простоту сети пришла расплата.
Sergey Popov
Member
Откуда: Россия написано 20.02.2007 19:26 Инфо • Приват • Правка • Ответить • Известить модератора • IP
Да ладно? Обратный трафик если лить по FTP микрушечный...
Ну значит не судьба... Если вы там админом бегите оттуда, останетесь в итоге крайним...
Говорите специально гадить не будут, ну тогда завтра спросите кто залил DVD другу.
Роутер считающий трафик ставится на границе между каналом провайдера и локальной сетью.
webeks
Member (автор темы)
Откуда: Россия, Москва написано 20.02.2007 19:35 Инфо • Приват • Правка • Ответить • Известить модератора • IP
Sergey Popov
Обратный трафик если лить по FTP микрушечный...
Но он же всё равно будет? Хоть и микрушечный, но будет. А здесь после 13:05 не зафиксировано ни одного байта. То есть ответный трафик ровно ноль.
AckCmd
Member
написано 20.02.2007 20:22 Инфо • Приват • Правка • Ответить • Известить модератора • IP
webeks
Нужно искать машину, с которой это все шло. Если это зверь - он продолжает слать траффик, несмотря на отсутствие интернета. Значит можно назначить одному (заведомо чистому) компу ip шлюза (выключив шлюз), и сниффером выявить, от кого летит траффик.
CyberJack
Member
написано 21.02.2007 09:18 Инфо • Приват • Правка • Ответить • Известить модератора • IP
webeks, исходящий канал у вас сколько?
а то у нашего прова есть такие заморочки - гигабайты трафа за 5 минут при исходящей = 1 мегабит...
webeks
Member (автор темы)
Откуда: Россия, Москва написано 21.02.2007 12:49 Инфо • Приват • Правка • Ответить • Известить модератора • IP
to All
Пожалуйста, кто в теме сетевых протоколов, ответьте на такой вопрос – таким образом, с учетом того, что ответного (входящего) трафика на наш большой исходящий трафик не было, можно ли однозначно исключить, что кто-то преднамеренно передавал своему приятелю что-то полезное? (например, DVD-фильм)
То есть, получается, или это была преднамеренная попытка кем-то (в принципе, могли и несанкционированно подключиться) сломать удаленный компьютер с данным IP адресом, или случайно залетевший вирус так нагадил?
Выслушаю любые версии.
цитата:
AckCmd:
webeks
Нужно искать машину, с которой это все шло. Если это зверь - он продолжает слать траффик, несмотря на отсутствие интернета. Значит можно назначить одному (заведомо чистому) компу ip шлюза (выключив шлюз), и сниффером выявить, от кого летит траффик.
Спасибо за совет, сниффер я попробую поставить.
К слову сказать, этот провайдер, даже если кого-то и отключает, то всё равно исходящий трафик через себя пропускает и подсчитывает, а входящий трафик режет.
Примечание.
Соответственно, мы сейчас провайдером отключены, но исходящий трафик у нас увеличивается, входящий = 0. Но на текущий момент времени состояние счета заморожено и несмотря на то, что количество трафика увеличивается - сумма задолженности на счету не меняется.
За вчерашний день (за вторник) нам насчитали:
входящий – 0
исходящий – 2.963.860 байт
Этот исходящий трафик мог быть обусловлен запросами различного характера – начиная от попыток обновления Windows и антивирусов (Avast), и заканчивая тем, что пользователи просто набирали в броузере адреса сайтов в надежде, что интернет, вдруг, заработал.
Но, в принципе, этот исходящий трафик мог быть обусловлен и попытками какого-либо "вируса" выйти в интернет и там нагадить. Однако, исходящий трафик весьма невелик по сравнению с теми объемами, которые были переданы в понедельник (при этом как мы видим, если это дело какого-то вируса, то ему ответ удаленного компьютера совершенно не важен, он в понедельник даже при отсутствии ответа все равно продолжал пересылать данные). Поэтому если бы данный вирус продолжал бы так гадить, то можно было бы ожидать, что исходящий трафик, в частности за вчерашний день, был бы существенно больше.
Но в принципе, нельзя исключать и тот факт, что вчера, например, какой-либо из компьютеров, входящий в состав сети, был выключен (а в понедельник он был включен). Поэтому трафик и не набежал. Среди компьютеров есть ноутбук, владелец которого сидит в своей отдельной комнате, но он говорит, что ноутбук уже целую неделю находиться дома (его стационарный рабочий компьютер к сети не подключен). В общем, у меня нет причин ему не верить, но такая уж у меня привычка – обдумывать все версии, даже самые невероятные... в пределах разумного, разумеется.
цитата:
CyberJack:
webeks, исходящий канал у вас сколько?
а то у нашего прова есть такие заморочки - гигабайты трафа за 5 минут при исходящей = 1 мегабит...
Увы, точную скорость подключения сказать не могу. В принципе она не должна быть специально ограниченна (а точную цифру сказать не могу - то ли 10 Мб, а то ли все 100Мб). Никогда специально не интересовался скоростью подключения - в принципе, будь то 10 Мб или 100Мб web-странички будут грузиться одинаково быстро и существенной разницы видно не будет. Скорость подключения высокая и для серфинга по интернету вполне достаточная. А скачивать что-то из интернета в больших объемах – у нас трафик весьма дорогой я лучше домой приду и на безлимитном Стриме всё, что нужно скачаю.
Но вообще, да, провайдер что-то чудит со статистикой. Я могу смотреть в интернете общую статистику за месяц (табличка вида: день – трафик). И можно смотреть для каждого конкретного дня по отдельности. И объем трафика для данного дня на странице статистики, где за месяц, не совпадает с тем, что приведено для одного дня на более подробной статистике. Для вчерашнего дня несовпадение более чем на гигабайт, хотя цифра должна быть одинаковая. Во все остальные дни цифры совпадают с точностью до байта, а в этот день такое отличие. На вопрос, почему так, провайдер затрудняется ответить и говорит, что их технические специалисты разбираются с этой проблемой... Чуть позже, я сделаю скриншоты со страницы статистики, дабы было понятно, о чём речь. В общем, возможно, это глюк провайдера, и я по этому поводу провайдеру на мозги "капаю", но я пытаюсь рассмотреть все варианты.
AckCmd
Member
написано 21.02.2007 13:07 Инфо • Приват • Правка • Ответить • Известить модератора • IP
можно ли однозначно исключить, что кто-то преднамеренно передавал своему приятелю что-то полезное? (например, DVD-фильм)
Если речь о стандартных протоколах, работающих поверх TCP - можете однозначно исключать. По UDP/ICMP теоретически можно передать без подтверждений, но о реализациях такого изврата мне неизвестно, ибо надежность передачи будет слишком низкой.
webeks
Member (автор темы)
Откуда: Россия, Москва написано 21.02.2007 13:22 Инфо • Приват • Правка • Ответить • Известить модератора • IP
AckCmd
ОК, спасибо за ответ
vinni
Member
написано 21.02.2007 15:34 Инфо • Приват • Правка • Ответить • Известить модератора • IP
цитата (AckCmd):
Если это зверь - он продолжает слать траффик, несмотря на отсутствие интернета.
Нельзя исключить и вариант трояна с возможностью удалённого управления. Если так, то троян может ещё сидеть, но трафик слать весьма мизерный и совсем на другие адреса.
miken
Member
Откуда: Россия, Тольятти написано 21.02.2007 16:15 Инфо • Приват • Правка • Ответить • Известить модератора • IP
цитата:
webeks:
(Это трафик только для "мой IP" <--> IP 85.192.62.55 ! Информация по трафику на другие IP адреса здесь не представлена)
Поясните пожалуйста, что в этой фразе значит "мой IP"? Это внешний адрес роутера?
Я не очень понял из описания структуру Вашей сетки.
На роутере включен NAT? Какого рода адреса у компьютеров в вашей локалке?
Просто способы подключения по витой паре на 100МБит бывают сильно разные...
AstigmatizM
unregistered
написано 21.02.2007 16:17 Правка • Ответить • Известить модератора • IP
В моей сети (моя организация - провайдер) тоже возник клиент с аналогичной ситуацией:
2007-02-19 менее чем за 3 часа он выпустил в интернет на адрес 85.192.62.55.80 27Гигабайт трафика
Вот часть дампа:
13:20:42.702177 10.44.11.93.1120 > 85.192.62.55.80: udp 526
13:20:42.702199 10.44.11.93.1120 > 85.192.62.55.80: udp 245
13:20:42.702235 10.44.11.93.1120 > 85.192.62.55.80: udp 378
13:20:42.702417 10.44.11.93.1120 > 85.192.62.55.80: udp 189
13:20:42.702815 10.44.26.15.39839 > 194.67.23.154.25: tcp 0 (DF)
13:20:42.703206 10.44.11.93.1121 > 85.192.62.55.80: udp 947
13:20:42.703238 10.44.11.93.1121 > 85.192.62.55.80: udp 392
13:20:42.703261 10.44.11.93.1121 > 85.192.62.55.80: udp 206
13:20:42.703340 10.44.11.93.1121 > 85.192.62.55.80: udp 884
13:20:42.703351 10.44.11.93.1121 > 85.192.62.55.80: udp 132
13:20:42.703432 10.44.11.93.1121 > 85.192.62.55.80: udp 877
13:20:42.703482 10.44.11.93.1121 > 85.192.62.55.80: udp 531
13:20:42.703535 10.44.11.93.1121 > 85.192.62.55.80: udp 649
13:20:42.703604 10.44.11.93.1121 > 85.192.62.55.80: udp 783
13:20:42.703616 10.44.11.93.1121 > 85.192.62.55.80: udp 146
13:20:42.703634 10.44.11.93.1121 > 85.192.62.55.80: udp 168
13:20:42.703648 10.44.11.93.1121 > 85.192.62.55.80: udp 117
13:20:42.703657 10.44.11.93.1121 > 85.192.62.55.80: udp 58
13:20:42.703692 10.44.11.93.1121 > 85.192.62.55.80: udp 312
моментальная нагрузка, которую он генерировал, достигала 75Мбит/сек.
Пользователь заблокирован, теперь возмущается: "вы ... провайдер" и все в таком духе..
ответов на посылаемые UDP пакеты ни одного.
Очевидно, что вы стали жертвой трояна, который по команде извне, либо по таймеру запустил DoS атаку на сервер 85.192.62.55
[Исправлено: AstigmatizM, 21.02.2007 16:45]
somerek
Member
написано 21.02.2007 22:52 Инфо • Приват • Правка • Ответить • Известить модератора • IP
Аналогично, провайдер, с одного клиента 20.02.2007 за час сорок ушло более 30 Гб на 85.192.62.51:80. Входящий оттуда составил всего 5 Мб. Интересно, чем он так провинился?
ersbot
unregistered
написано 22.02.2007 13:47 Правка • Ответить • Известить модератора • IP
Всем привет!
А кто-нибудь нашел жука который генерил трафик?
Можете скинуть на мыло?
Спос.
pil69
unregistered
написано 31.03.2008 01:48 Правка • Ответить • Известить модератора • IP
У меня аналогичная проблема: с моего домашнего компа исходящий трафик больше чем входящий. Соотношение сейчас 24 на 3 Мегабайта. Касперский троян не обнаруживает. Как узнать на какой IP уходит трафик, не прибегая к помощи провайдера?
Джамаль
Member
Откуда: Россия, Самара написано 31.03.2008 08:21 Инфо • Приват • Правка • Ответить • Известить модератора • IP
pil69
Бери снифер и смотри, кто куда чего шлёт
dib
Member
Откуда: Россия, ru-net
Фотоальбом: 1 фото
Web-страница написано 01.04.2008 08:11 Инфо • Приват • Правка • Ответить • Известить модератора • IP
pil69
а лучше - ставь файервол, смотри кто что шлет и блокируй трояна.
pil69
unregistered
написано 01.04.2008 14:44 Правка • Ответить • Известить модератора • IP
Вчера и сегодня нормальное соотношение между входящим и исходящим. Возможно сын в торренте выставлял какой-то файл для скачивания. Но не сознался в этом
srch
Junior Member
написано 05.07.2008 04:46 Инфо • Приват • Правка • Ответить • Известить модератора • IP
да да... тоже самое, исходящий трафик выше входящего... недобросовестность пользователей исключается (просто вхожу в интернет и начинается отправка чего-то куда-то). Так было на dial-up когда сидел без антивируса тогда) не обращал внимание на траф. Подсел на adsl, не понравилось. Тогда просто все форматнул и поставил каспера.. потом иногда опять такое переодически было, вроде не помагал каспер и я опять практиковал установку windows. Сейчас та же проблема и в Универе. Не посоветуете что делать..???
PS какой файервол установить чтоб бесплатно, эффективно, не слишком сложно и на русском желательно)
Glyk
Member
Откуда: Россия, Югорск написано 05.07.2008 07:14 Инфо • Приват • Правка • Ответить • Известить модератора • IP
webeks
Может быть не обычный троян а руткит вам кто внедрил, его простым антивирусом и файром не остановишь, внедряется через рутер используя скорей всего ARP-спуфинг ... представители- MBRtool.A, MBRtool.B, MBRtool.C-старые представители-троян с руткитом , -Может тут собака порылась?
webeks
Member (автор темы)
Откуда: Россия, Москва написано 05.07.2008 08:51 Инфо • Приват • Правка • Ответить • Известить модератора • IP
Glyk
Это уже давняя тема... Но, в общем, на одном из компьютеров какая-то зараза таки сидела. У человека там банально не было антивируса, ну и со всеми вытекающими.
alexjc
Member
написано 08.07.2008 19:35 Инфо • Приват • Правка • Ответить • Известить модератора • IP
брррр, иметь постоянное высокоскоростное подключение и без фаера? да бог с ним с антивирем, но фаер must have! Я бы побоялся даже комп включать...
вверх^
к полной версии
понравилось!
в evernote
Комп просит обновлений. У меня офис-2002, Опера 9,* и все экзешные файлы дружно (Opera.exe, Winword.exe, Exsel.exe, Powerpnt.exe, Outlook.exe, Winamp.exe) висят в списке инфицированных. Новый Каспер сигнализирует, что компу угроз нет, но в то же время - постоянно травит ИСХОДЯЩИЙ траффик. Фирма теряет по 100-200 грн/день. Исходящий траффик при этом составляет от 700 Мб до 2,5 Гб в день, поток к провайдеру в 3-10 раз больше, чем от провайдера - этот бредовый интернет придумал нам всем новую прабл на ровном месте. по словам нашего доктора Айболита, соотношение должно быть 1:4. Я удалил все инфицированные файлы (вся папка Qweek Time) и переустановил поврежденные программы (кроме оперы и офиса) - теперь Исходящий трафик равен Входящему, что тоже нехорошо. В инфе по вирусам сказано, что данные программы имеют риск заражения (так что даже касперский не видит червей???), а в качестве решения предлагает установить патч от производителя программы. Я не знаю что такое патч, но установил для "оперы", а для "офиса" - не нашел, точнее там есть, но не для моей версии . Значит надо ставить новый оффис 2007, что ли. Да! Еще КВИП залупился работать по старому - устанавливай, грит, новую версию - и не включается; пришлось послушаться. А у меня оперативка 128 Мб, Айболит говорит - позорно мало! Этого было достаточно когда-то, лет 5-3 назад. Теперь уже не тянет, чтоб обслуживать все эти ненужные антивирусные, рекламные навороты. Кроме того, обновленные версии программ вроде бы выпускаются с иммунитетом против известных вирусов.
Вывод: мне эта алхимия неинтересна - значит надо платить деньги тому, кому интересно и кому можно доверять или похерить компьютер с интернетом к чертовой матери. Второе кажется умнее.
Касперский делает подробный отчет: все предупреждения, оказывается, были не о вирусе, а об УЯЗВИМОСТИ. Дали чайнику в руки Касперского!
Зато после вчерашней (24.12) проверки идентифицировался один инфецированный файл - тоже экзешный файл упакованной (и не распакованной, и ни разу не использованной, так что неясно - зачем она мне вообще и как попала в комп) программы закачки файлов из сети (аналог ФлешГета). Это при 100% защите компа каспером.
По фразе "Большой исходящий трафик" - с одной "ф" - Гугл дал много интересного. На форумах мало чего понятного, но познавательно:
webeks: Большой исходящий трафик – помогите разобраться Где и почем купить?
webeks
Member (автор темы)
Откуда: Россия, Москва написано 20.02.2007 18:26 Инфо • Приват • Правка • Ответить • Известить модератора • IP
Здравствуйте.
Вчера днем (в понедельник) провайдер, к которому мы подключены, засчитал нам большой исходящий трафик (за один час около 6,6 Гб). К сожалению, интернет у нас весьма недешев, поэтому очень хотелось бы разобраться в данной ситуации.
Этот объем трафика на сумму порядка $330 – мы подключены как юр. лицо и у этого провайдера нет конкурентов в нашем здании. К сожалению, топология сети не позволяет использовать выделенный компьютер в качестве сервера, на котором осуществлялся бы подсчет трафика по пользователям. Что касается подключения, то по подключены к провайдеру по витой паре, скорость 100 Мб. Порядка семи-восьми компьютеров подключены к недорогому роутеру, который подключен к провайдеру.
На вопрос, что произошло, провайдер сообщил, что почти весь трафик был передан на IP 85.192.62.55, а также они предоставили информацию о трафике с периодом подсчета в 5 минут:
код
Входящий Исходящий
Feb 19 12:40 0 0
Feb 19 12:45 2.462 2.613.752
Feb 19 12:50 6.603 639.545.527
Feb 19 12:55 5.467 1.180.307.260
Feb 19 13:00 1.879 750.788.556
Feb 19 13:05 0 793.306.188
Feb 19 13:10 0 136.752.032
Feb 19 13:15 0 241.488.583
Feb 19 13:20 0 1.196.423.607
Feb 19 13:25 0 2.603.922
Feb 19 13:30 0 846.870.303
Feb 19 13:35 0 790.955.472
Feb 19 13:40 0 253.064
Feb 19 13:45 0 350.833.678
Feb 19 13:50 0 0
--------------------------------------
Summary: 16.411 6.932.742.136
(Это трафик только для "мой IP" <--> IP 85.192.62.55 ! Информация по трафику на другие IP адреса здесь не представлена)
То есть в период с 12:45 до 13:50 все и произошло. Затем за следующий час было съедено 4 Мб входящего (но это мы Итернетом пользовались) и в 15:00 мы были отключены провайдером в связи с минусом на счету (у провайдера система такая – они за состоянием счета следят не в реальном времени, а один раз в период в несколько часов).
Мне хотелось бы разобраться – что это могло быть? То ли кто-то преднамеренно передавал данные (например, закачивал на этот IP адрес DVD фильм), или это вирус какой на компьютере шалит, или ещё что?
И вот такие вопросы меня интересуют:
Если я кому-то передаю информацию (пакеты) и на другом конце её принимают, то мне должны приходить пакеты с подтверждением, что информация принята?
Тут же мы видим, что в некоторых случаях входящий трафик – 0 байт. То есть пакеты отправляются, но в ответ ничего не приходит.
То есть можно ли из этого сделать вывод, что на другом конце не были заинтересованы в получении данных пакетов? То есть, выходит, что вариант, что кто-то из моей сети закачивал какую-либо полезную информацию в интернет (например, DVD-фильм) можно исключить?
(Вообще, к слову сказать, могли к сети и несанкционированно подключиться – как вариант, витая пара к провайдеру идет через десяток этажей. А кроме того есть участки с Wi-Fi, правда, он защищен протоколом WPA_PSK с весьма длинным и сложным ключём.)
Большой исходящий трафик мог бы вызвать какой-нибудь вирус или почтовый червь. В этом случае информация шла бы на разные IP адреса (?), а тут долбили в один и тот же IP (по словам провайдера). Таким образом, версию с вирусом и червем можно исключить?
Или это троян какой? Который собирает информацию на зараженном компьютере, а потом передает её владельцу, но такие объемы... Да и в таком случае компьютер на том конце был бы "заинтересован" в получении данных, а тут только в начале идет ответный трафик.
Таким образом – на что же это больше всего похоже? Кто-то осуществлял DOS-атаку?
Вообще, а может быть так – осуществлялась DOS-атака на данный адрес. В начале приходил ответ и поэтому нам засчитывался входящий трафик, а потом удаленный компьютер решил на это не реагировать (или просто завис) и ответы приходить перестали – соответственно входящий трафик с этого компьютера стал равен нулю?
Или этот адрес (85.192.62.55) был каким-нибудь промежуточным звеном в цепочке и в момент времени 13:00-13:05 его выключили, поэтому ответного трафика с него нет?
Вообще, кто за этим адресом скрывается - сервер какой или просто пользователь? Пробовал пинговать этот IP – не отвечает…
В данный момент времени интернет у нас отключен, поэтому сказать, что будет твориться в случае включения интернета (будет идти трафик или нет) – это я сказать не могу.
Sergey Popov
Member
Откуда: Россия написано 20.02.2007 18:39 Инфо • Приват • Правка • Ответить • Известить модератора • IP
Судя по пакетам кто то залил вверх DVD фильм...
P Lookup — просмотр информации об ip-адресе и подсетях
Reverse Lookup: информация по обратному преобразованию для адреса 85.192.62.55 недоступна.
Информация об ip-адресе 85.192.62.55
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '85.192.62.0 - 85.192.63.255'
inetnum: 85.192.62.0 - 85.192.63.255
netname: ADTEL
descr: Advantage Telecom JSC
descr: Moscow, Russia
descr: http://www.adtel.ru
country: RU
admin-c: EZ228-RIPE
tech-c: EZ228-RIPE
status: ASSIGNED PA
mnt-by: DN-MNT
source: RIPE # Filtered
person: Evgeniy Zotov
address: ISP "Advantage Telecom"
address: Moscow, Russia
address: http://www.adtel.ru
e-mail: info@adtel.ru
phone: +7 495 7273755
phone: +7 49622 42929
nic-hdl: EZ228-RIPE
mnt-by: DN-MNT
source: RIPE # Filtered
% Information related to '85.192.62.0/23AS38964'
route: 85.192.62.0/23
descr: Advantage-Telecom
descr: Moscow, Russia
descr: http://www.adtel.ru
origin: AS38964
mnt-by: DN-MNT
source: RIPE # Filtered
Если у вас у пользователей ещё и права админские советовать что то сложно, никогда не будет порядка... А если нет, ставьте Tmeter
Да, кстати объясните мне как топология сети может влиять на невозможность установить роутер для подсчета трафика?
webeks
Member (автор темы)
Откуда: Россия, Москва написано 20.02.2007 19:19 Инфо • Приват • Правка • Ответить • Известить модератора • IP
Sergey Popov
Судя по пакетам кто то залил вверх DVD фильм...
А почему с этого IP адреса после 13:00-13:05 нет ответных пакетов? Если бы заливали бы DVD фильм, то должен же быть ответный трафик (?)
Что касается информации об ip-адресе – то это я через whois тоже посмотрел. Только что это дает, кроме знания того, что компьютер с этим ip (скорее всего) находится в Москве?
Если у вас у пользователей ещё и права админские
Увы, права у всех админские. Тут вы правы – порядка без выделенного сервера (шлюза) не будет.
Что касается топологии, то, возможно, я неправильно выразился – всё-таки топология позволяет установить сервер для подсчета трафика. Но дело в том, что сейчас к провайдеру подключен недорогой железный роутер. К роутеру подключено несколько компьютеров. Этот роутер стоит в одном здании, а в соседнем здании находятся еще несколько компьютеров, которые подключены по Wi-Fi. В первом здании (там, где роутер) люди иногда есть, иногда их нет. Поэтому, чтобы во втором здании был бы интернет, роутер постоянно стоит включенным. В принципе, можно там вместо роутера поставить постоянно работающий сервер, но просто существенно проще было договориться с людьми в первом здании поставить у них постоянно включенной небольшую коробочку, чем держать там постоянно включенным и гудящим компьютер. Но видимо, об этом нужно уже задумываться.
Кроме того, все подключенные люди серьезные (что называется все свои) и все знают, что трафик весьма недешев, поэтому специально так гадить не будут. А, кроме того, общее потребление трафика не такое большое, чтобы городить огород с сервером. Но вот за простоту сети пришла расплата.
Sergey Popov
Member
Откуда: Россия написано 20.02.2007 19:26 Инфо • Приват • Правка • Ответить • Известить модератора • IP
Да ладно? Обратный трафик если лить по FTP микрушечный...
Ну значит не судьба... Если вы там админом бегите оттуда, останетесь в итоге крайним...
Говорите специально гадить не будут, ну тогда завтра спросите кто залил DVD другу.
Роутер считающий трафик ставится на границе между каналом провайдера и локальной сетью.
webeks
Member (автор темы)
Откуда: Россия, Москва написано 20.02.2007 19:35 Инфо • Приват • Правка • Ответить • Известить модератора • IP
Sergey Popov
Обратный трафик если лить по FTP микрушечный...
Но он же всё равно будет? Хоть и микрушечный, но будет. А здесь после 13:05 не зафиксировано ни одного байта. То есть ответный трафик ровно ноль.
AckCmd
Member
написано 20.02.2007 20:22 Инфо • Приват • Правка • Ответить • Известить модератора • IP
webeks
Нужно искать машину, с которой это все шло. Если это зверь - он продолжает слать траффик, несмотря на отсутствие интернета. Значит можно назначить одному (заведомо чистому) компу ip шлюза (выключив шлюз), и сниффером выявить, от кого летит траффик.
CyberJack
Member
написано 21.02.2007 09:18 Инфо • Приват • Правка • Ответить • Известить модератора • IP
webeks, исходящий канал у вас сколько?
а то у нашего прова есть такие заморочки - гигабайты трафа за 5 минут при исходящей = 1 мегабит...
webeks
Member (автор темы)
Откуда: Россия, Москва написано 21.02.2007 12:49 Инфо • Приват • Правка • Ответить • Известить модератора • IP
to All
Пожалуйста, кто в теме сетевых протоколов, ответьте на такой вопрос – таким образом, с учетом того, что ответного (входящего) трафика на наш большой исходящий трафик не было, можно ли однозначно исключить, что кто-то преднамеренно передавал своему приятелю что-то полезное? (например, DVD-фильм)
То есть, получается, или это была преднамеренная попытка кем-то (в принципе, могли и несанкционированно подключиться) сломать удаленный компьютер с данным IP адресом, или случайно залетевший вирус так нагадил?
Выслушаю любые версии.
цитата:
AckCmd:
webeks
Нужно искать машину, с которой это все шло. Если это зверь - он продолжает слать траффик, несмотря на отсутствие интернета. Значит можно назначить одному (заведомо чистому) компу ip шлюза (выключив шлюз), и сниффером выявить, от кого летит траффик.
Спасибо за совет, сниффер я попробую поставить.
К слову сказать, этот провайдер, даже если кого-то и отключает, то всё равно исходящий трафик через себя пропускает и подсчитывает, а входящий трафик режет.
Примечание.
Соответственно, мы сейчас провайдером отключены, но исходящий трафик у нас увеличивается, входящий = 0. Но на текущий момент времени состояние счета заморожено и несмотря на то, что количество трафика увеличивается - сумма задолженности на счету не меняется.
За вчерашний день (за вторник) нам насчитали:
входящий – 0
исходящий – 2.963.860 байт
Этот исходящий трафик мог быть обусловлен запросами различного характера – начиная от попыток обновления Windows и антивирусов (Avast), и заканчивая тем, что пользователи просто набирали в броузере адреса сайтов в надежде, что интернет, вдруг, заработал.
Но, в принципе, этот исходящий трафик мог быть обусловлен и попытками какого-либо "вируса" выйти в интернет и там нагадить. Однако, исходящий трафик весьма невелик по сравнению с теми объемами, которые были переданы в понедельник (при этом как мы видим, если это дело какого-то вируса, то ему ответ удаленного компьютера совершенно не важен, он в понедельник даже при отсутствии ответа все равно продолжал пересылать данные). Поэтому если бы данный вирус продолжал бы так гадить, то можно было бы ожидать, что исходящий трафик, в частности за вчерашний день, был бы существенно больше.
Но в принципе, нельзя исключать и тот факт, что вчера, например, какой-либо из компьютеров, входящий в состав сети, был выключен (а в понедельник он был включен). Поэтому трафик и не набежал. Среди компьютеров есть ноутбук, владелец которого сидит в своей отдельной комнате, но он говорит, что ноутбук уже целую неделю находиться дома (его стационарный рабочий компьютер к сети не подключен). В общем, у меня нет причин ему не верить, но такая уж у меня привычка – обдумывать все версии, даже самые невероятные... в пределах разумного, разумеется.
цитата:
CyberJack:
webeks, исходящий канал у вас сколько?
а то у нашего прова есть такие заморочки - гигабайты трафа за 5 минут при исходящей = 1 мегабит...
Увы, точную скорость подключения сказать не могу. В принципе она не должна быть специально ограниченна (а точную цифру сказать не могу - то ли 10 Мб, а то ли все 100Мб). Никогда специально не интересовался скоростью подключения - в принципе, будь то 10 Мб или 100Мб web-странички будут грузиться одинаково быстро и существенной разницы видно не будет. Скорость подключения высокая и для серфинга по интернету вполне достаточная. А скачивать что-то из интернета в больших объемах – у нас трафик весьма дорогой я лучше домой приду и на безлимитном Стриме всё, что нужно скачаю.
Но вообще, да, провайдер что-то чудит со статистикой. Я могу смотреть в интернете общую статистику за месяц (табличка вида: день – трафик). И можно смотреть для каждого конкретного дня по отдельности. И объем трафика для данного дня на странице статистики, где за месяц, не совпадает с тем, что приведено для одного дня на более подробной статистике. Для вчерашнего дня несовпадение более чем на гигабайт, хотя цифра должна быть одинаковая. Во все остальные дни цифры совпадают с точностью до байта, а в этот день такое отличие. На вопрос, почему так, провайдер затрудняется ответить и говорит, что их технические специалисты разбираются с этой проблемой... Чуть позже, я сделаю скриншоты со страницы статистики, дабы было понятно, о чём речь. В общем, возможно, это глюк провайдера, и я по этому поводу провайдеру на мозги "капаю", но я пытаюсь рассмотреть все варианты.
AckCmd
Member
написано 21.02.2007 13:07 Инфо • Приват • Правка • Ответить • Известить модератора • IP
можно ли однозначно исключить, что кто-то преднамеренно передавал своему приятелю что-то полезное? (например, DVD-фильм)
Если речь о стандартных протоколах, работающих поверх TCP - можете однозначно исключать. По UDP/ICMP теоретически можно передать без подтверждений, но о реализациях такого изврата мне неизвестно, ибо надежность передачи будет слишком низкой.
webeks
Member (автор темы)
Откуда: Россия, Москва написано 21.02.2007 13:22 Инфо • Приват • Правка • Ответить • Известить модератора • IP
AckCmd
ОК, спасибо за ответ
vinni
Member
написано 21.02.2007 15:34 Инфо • Приват • Правка • Ответить • Известить модератора • IP
цитата (AckCmd):
Если это зверь - он продолжает слать траффик, несмотря на отсутствие интернета.
Нельзя исключить и вариант трояна с возможностью удалённого управления. Если так, то троян может ещё сидеть, но трафик слать весьма мизерный и совсем на другие адреса.
miken
Member
Откуда: Россия, Тольятти написано 21.02.2007 16:15 Инфо • Приват • Правка • Ответить • Известить модератора • IP
цитата:
webeks:
(Это трафик только для "мой IP" <--> IP 85.192.62.55 ! Информация по трафику на другие IP адреса здесь не представлена)
Поясните пожалуйста, что в этой фразе значит "мой IP"? Это внешний адрес роутера?
Я не очень понял из описания структуру Вашей сетки.
На роутере включен NAT? Какого рода адреса у компьютеров в вашей локалке?
Просто способы подключения по витой паре на 100МБит бывают сильно разные...
AstigmatizM
unregistered
написано 21.02.2007 16:17 Правка • Ответить • Известить модератора • IP
В моей сети (моя организация - провайдер) тоже возник клиент с аналогичной ситуацией:
2007-02-19 менее чем за 3 часа он выпустил в интернет на адрес 85.192.62.55.80 27Гигабайт трафика
Вот часть дампа:
13:20:42.702177 10.44.11.93.1120 > 85.192.62.55.80: udp 526
13:20:42.702199 10.44.11.93.1120 > 85.192.62.55.80: udp 245
13:20:42.702235 10.44.11.93.1120 > 85.192.62.55.80: udp 378
13:20:42.702417 10.44.11.93.1120 > 85.192.62.55.80: udp 189
13:20:42.702815 10.44.26.15.39839 > 194.67.23.154.25: tcp 0 (DF)
13:20:42.703206 10.44.11.93.1121 > 85.192.62.55.80: udp 947
13:20:42.703238 10.44.11.93.1121 > 85.192.62.55.80: udp 392
13:20:42.703261 10.44.11.93.1121 > 85.192.62.55.80: udp 206
13:20:42.703340 10.44.11.93.1121 > 85.192.62.55.80: udp 884
13:20:42.703351 10.44.11.93.1121 > 85.192.62.55.80: udp 132
13:20:42.703432 10.44.11.93.1121 > 85.192.62.55.80: udp 877
13:20:42.703482 10.44.11.93.1121 > 85.192.62.55.80: udp 531
13:20:42.703535 10.44.11.93.1121 > 85.192.62.55.80: udp 649
13:20:42.703604 10.44.11.93.1121 > 85.192.62.55.80: udp 783
13:20:42.703616 10.44.11.93.1121 > 85.192.62.55.80: udp 146
13:20:42.703634 10.44.11.93.1121 > 85.192.62.55.80: udp 168
13:20:42.703648 10.44.11.93.1121 > 85.192.62.55.80: udp 117
13:20:42.703657 10.44.11.93.1121 > 85.192.62.55.80: udp 58
13:20:42.703692 10.44.11.93.1121 > 85.192.62.55.80: udp 312
моментальная нагрузка, которую он генерировал, достигала 75Мбит/сек.
Пользователь заблокирован, теперь возмущается: "вы ... провайдер" и все в таком духе..
ответов на посылаемые UDP пакеты ни одного.
Очевидно, что вы стали жертвой трояна, который по команде извне, либо по таймеру запустил DoS атаку на сервер 85.192.62.55
[Исправлено: AstigmatizM, 21.02.2007 16:45]
somerek
Member
написано 21.02.2007 22:52 Инфо • Приват • Правка • Ответить • Известить модератора • IP
Аналогично, провайдер, с одного клиента 20.02.2007 за час сорок ушло более 30 Гб на 85.192.62.51:80. Входящий оттуда составил всего 5 Мб. Интересно, чем он так провинился?
ersbot
unregistered
написано 22.02.2007 13:47 Правка • Ответить • Известить модератора • IP
Всем привет!
А кто-нибудь нашел жука который генерил трафик?
Можете скинуть на мыло?
Спос.
pil69
unregistered
написано 31.03.2008 01:48 Правка • Ответить • Известить модератора • IP
У меня аналогичная проблема: с моего домашнего компа исходящий трафик больше чем входящий. Соотношение сейчас 24 на 3 Мегабайта. Касперский троян не обнаруживает. Как узнать на какой IP уходит трафик, не прибегая к помощи провайдера?
Джамаль
Member
Откуда: Россия, Самара написано 31.03.2008 08:21 Инфо • Приват • Правка • Ответить • Известить модератора • IP
pil69
Бери снифер и смотри, кто куда чего шлёт
dib
Member
Откуда: Россия, ru-net
Фотоальбом: 1 фото
Web-страница написано 01.04.2008 08:11 Инфо • Приват • Правка • Ответить • Известить модератора • IP
pil69
а лучше - ставь файервол, смотри кто что шлет и блокируй трояна.
pil69
unregistered
написано 01.04.2008 14:44 Правка • Ответить • Известить модератора • IP
Вчера и сегодня нормальное соотношение между входящим и исходящим. Возможно сын в торренте выставлял какой-то файл для скачивания. Но не сознался в этом
srch
Junior Member
написано 05.07.2008 04:46 Инфо • Приват • Правка • Ответить • Известить модератора • IP
да да... тоже самое, исходящий трафик выше входящего... недобросовестность пользователей исключается (просто вхожу в интернет и начинается отправка чего-то куда-то). Так было на dial-up когда сидел без антивируса тогда) не обращал внимание на траф. Подсел на adsl, не понравилось. Тогда просто все форматнул и поставил каспера.. потом иногда опять такое переодически было, вроде не помагал каспер и я опять практиковал установку windows. Сейчас та же проблема и в Универе. Не посоветуете что делать..???
PS какой файервол установить чтоб бесплатно, эффективно, не слишком сложно и на русском желательно)
Glyk
Member
Откуда: Россия, Югорск написано 05.07.2008 07:14 Инфо • Приват • Правка • Ответить • Известить модератора • IP
webeks
Может быть не обычный троян а руткит вам кто внедрил, его простым антивирусом и файром не остановишь, внедряется через рутер используя скорей всего ARP-спуфинг ... представители- MBRtool.A, MBRtool.B, MBRtool.C-старые представители-троян с руткитом , -Может тут собака порылась?
webeks
Member (автор темы)
Откуда: Россия, Москва написано 05.07.2008 08:51 Инфо • Приват • Правка • Ответить • Известить модератора • IP
Glyk
Это уже давняя тема... Но, в общем, на одном из компьютеров какая-то зараза таки сидела. У человека там банально не было антивируса, ну и со всеми вытекающими.
alexjc
Member
написано 08.07.2008 19:35 Инфо • Приват • Правка • Ответить • Известить модератора • IP
брррр, иметь постоянное высокоскоростное подключение и без фаера? да бог с ним с антивирем, но фаер must have! Я бы побоялся даже комп включать...