https://www.opennet.ru/openforum/vsluhforumID10/3932.html Люди добрые, помогите чем можете, сам я тут недавно.<br>Суть проблемы:<br>Провайдер ругается что у меня &laquo;обнаружена разновидность вируса, атакующего DCOM RPC или другие сервисы, в связи с чем осуществляется flood-атака с вашего IP-адреса&raquo;.<br>tcpdump, при включенном natd (стандартные настройки), показывает исходящие коннекты с моей машины в сеть провайдера. Запросы типа:<br>19:45:49.047407 IP xxxxx.ru.48896 &gt; nnnnnnnnnn.ru.16694: S 735643102:735643102(0) ack 2083256591 win 16384 &lt;mss 1460,nop,nop,sackOK&gt;<br>19:45:49.047407 IP xxxxx.ru.34025&gt; nnnnnnnnnn.ru.16694: S 735643102:735643102(0) ack 2083256591 win 16384 &lt;mss 1460,nop,nop,sackOK&gt;<br>19:45:49.047407 IP xxxxx.ru.61451&gt; nnnnnnnnnn.ru.16694: S 735643102:735643102(0) ack 2083256591 win 16384 &lt;mss 1460,nop,nop,sackOK&gt;<br>И т.д. &#8230;&#8230;<br>Где xxx мой хост, а nnnnnnnnnn хост в сети провайдера. И таких запросов сразу по 50 штук. Через каждые пару минут опять повторяется, но уже коннект идёт на другой IP и другой порт.<br>С нуля поставил чистую систему. Скопир https://www.opennet.ru/openforum/vsluhforumID10/3932.html#9 Fri, 22 Aug 2008 17:47:33 GMT Вообщем всё решилось!<br>Правда я так и непонял в чём причина.<br>Лечение: Переделать правила ipfw со стандартных (дефолтных) на свои:<br>${fwcmd} add 50000 divert natd ip from ${loc} to any out xmit ${via_inet}<br>${fwcmd} add 51000 divert natd ip from any to ${ip_inet}<br>И странная активность от моего имени пропала напроч.<br>Вот тока чего непонимаю, дак это как так может быть???? (Причем от моего IP и атаки и сканирования были и провайдер на меня за это ругался. и тока при запушенном natd)<br>По дефолту было:<br>${fwcmd} add 50 divert natd all from any to any via ${via_inet}<br>Кто знает, подскажите. Чтоб на грабли снова не наступить.<br> https://www.opennet.ru/openforum/vsluhforumID10/3932.html#8 Fri, 22 Aug 2008 17:40:46 GMT &gt;Давайте разберемся. В первом посте вы сказали, что проблема возникает только при <br>&gt;запущенном natd. Логично предположить, что источник другие машины в локалке, которые <br>&gt;вы натите. Теперь вы утверждаете что проверяли при отключенной(надеюсь это означает <br>&gt;вытащенный кабель) локалке и проблема остается. Так что же на самом <br>&gt;деле происходит при отключении локалки и играет ли какую-либо роль natd? <br>&gt;<br><br>Все вышеперечисленные действия происходили при отключённой локальной сети (путём выдёргивания кабеля). При этом сетевая активность наблюдается только при запушенном natd.<br> https://www.opennet.ru/openforum/vsluhforumID10/3932.html#7 Fri, 22 Aug 2008 15:16:22 GMT Давайте разберемся. В первом посте вы сказали, что проблема возникает только при запущенном natd. Логично предположить, что источник другие машины в локалке, которые вы натите. Теперь вы утверждаете что проверяли при отключенной(надеюсь это означает вытащенный кабель) локалке и проблема остается. Так что же на самом деле происходит при отключении локалки и играет ли какую-либо роль natd?<br> https://www.opennet.ru/openforum/vsluhforumID10/3932.html#6 Wed, 20 Aug 2008 20:44:05 GMT &gt;Ваш юникс стоит один на машине или на виртуальной машинке собран ? <br>&gt;<br><br>Чистая система, установленная на чистый винт, с официального ISO файла с официального FTP сервера. Без виртуалок и т.п.<br> https://www.opennet.ru/openforum/vsluhforumID10/3932.html#5 Wed, 20 Aug 2008 13:23:07 GMT Ваш юникс стоит один на машине или на виртуальной машинке собран ?<br> https://www.opennet.ru/openforum/vsluhforumID10/3932.html#4 Mon, 18 Aug 2008 17:27:34 GMT &gt;Тогда зачем вам NAT? <br><br>Локалка отключена на время проверки и выявления причины такой сетевой активности. Чтобы исключить вирус на виндовых машинах.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/3932.html#3 Mon, 18 Aug 2008 11:46:54 GMT Тогда зачем вам NAT?<br> https://www.opennet.ru/openforum/vsluhforumID10/3932.html#2 Mon, 18 Aug 2008 06:54:42 GMT &gt;может троянчик сидит не на Фре, а Виндовс клиенте <br><br>В том то и дело что фря стоит одна на канале. :(<br> https://www.opennet.ru/openforum/vsluhforumID10/3932.html#1 Mon, 18 Aug 2008 04:59:41 GMT &gt;[оверквотинг удален]<br>&gt;Где xxx мой хост, а nnnnnnnnnn хост в сети провайдера. И таких <br>&gt;запросов сразу по 50 штук. Через каждые пару минут опять повторяется, <br>&gt;но уже коннект идёт на другой IP и другой порт. <br>&gt;С нуля поставил чистую систему. Скопировал из старой системы только пару *.conf <br>&gt;(проверил их). <br>&gt;Причём это только при запущенном natd. Когда выключаешь его, коннекты пропадают. <br>&gt;Система: <br>&gt;FreeBSD 6.2-release-p3 i386 (обновлена из инета, ядро пересобрано) <br>&gt;<br>&gt;Подскажите, в какую сторону капать?? <br><br>может троянчик сидит не на Фре, а Виндовс клиенте<br>