The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Сильная загрузка канала. Подозрение вирус"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Сильная загрузка канала. Подозрение вирус"  +/
Сообщение от seascaner (ok) on 09-Июн-09, 09:23 
Здраствуйте!
Предположительно по корпоративной сети гуляет вирус (Win32.HLLW.Shadow.based, Net-Worm.Win32.Kido), и через интерфейс локальной сети засоряет все остальные интерфейсы маршрутизатора, что отрицательно сказывается на качестве работы этих каналов.

Пинг на маршрутизатор с включенным интерфейсом локальной сети:
Статистика Ping для X.X.X.X:
    Пакетов: отправлено = 590, получено = 584, потеряно = 6 (1% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 137мсек, Максимальное = 894 мсек, Среднее = 267 мсек

Пинг на маршрутизатор с включенным интерфейсом локальной сети:
Статистика Ping для X.X.X.X:
    Пакетов: отправлено = 431, получено = 431, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 138мсек, Максимальное = 248 мсек, Среднее = 193 мсек

Порт tcp который использует червь нашли - 445, после его загрузка каналов пропала:
ip access-list extended cp
deny   tcp any any eq 445
permit tcp any any
permit udp any any
permit ip any any

#sh access-lists cp
Extended IP access list cp
    10 deny tcp any any eq 445 (6647047 matches)
    20 permit tcp any any (273288 matches)
    30 permit udp any any (218410 matches)
    40 permit ip any any (25079 matches)

Но недавно эта проблема снова появилась, но теперь вирус использует порты UDP.
Вот статистика за 5 минутный интервал:
#sh access-lists cp
Extended IP access list cp
    10 deny tcp any any eq 445
    20 permit tcp any any (54683 matches)
    30 permit udp any any (216318 matches)
    40 permit ip any any (3350 matches)

Кто-нибудь с этим сталкивался? И есть ли какие-нибудь методы борьбы?
Заранее спасибо за помощь

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Сильная загрузка канала. Подозрение вирус"  +/
Сообщение от Аноним (??) on 09-Июн-09, 09:51 
Здраствуйте!
>Предположительно по корпоративной сети гуляет вирус (Win32.HLLW.Shadow.based, Net-Worm.Win32.Kido), и через интерфейс локальной
>
>Порт tcp который использует червь нашли - 445, после его загрузка каналов
>
>Кто-нибудь с этим сталкивался? И есть ли какие-нибудь методы борьбы?
>Заранее спасибо за помощь

www.kaspersky.ru
www.viruslist.com
Там подробно описано КАК бороться с этой заразой

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру