|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Alexander 2:5020/400 19 Mar 2003 20:30:33
To : Andrey Tapkin
Subject : Re: Hacked?
--------------------------------------------------------------------------------
Всякое может быть, уважаемый.
Размер пакетов до 1500 байт, но это ни к чему. Логи провайдера тоже не много
дают (нет ключевых пакетов, надо знать структуру сети), кроме забавного
вопроса -- они всегда мониторят ваш траффик?
Ответ на вопрос может дать только вингейтс (кто вас заставлял его
использовать?).
Так что по существу информации никакой, для анализа недостаточно. Соединение
устанавливалось скорее всего от вас, может просто кто-нить сильно умный у
вас есть, или работает на сторону, а может троянца умного подцепили.
Рекомендации стандартные: проверить все компы на троянцев/червей/вирусов,
включить логи на вингейтсе, отключать на ночь рабочие станции. Проверить по
логам, какие станции были в сети ночью и уделить им особое внимание.
Дополнительно проверить персонал.
"Andrey Tapkin" <tapkin@rol.ru> сообщил/сообщила в новостях следующее:
news:b5a505$55q$1@news.sovam.com...
> Помогите, плиз, разобраться:
> Компьютер нашей компании подключен через выделенный
> HomeVPN у провайдера одного московского, у которого стоит squid,
> который и позволяет нам пользоваться интернетом. Хотя может
> это и не имеет значения. Hа нашем компьютере стоит также Вингейт,
> который позволяет остальным офисным компам в этой локальной
> сети выходить в интернет.
> Сегодня провайдер наш сообщил, что через нас ночью прокачали
> большое кол-во информации, и хочет выставить счет за это дело.
> Прокачка, будто бы была через 1080порт (сокс), и дальше на 25-ый.
> Возможно ли это и что вообще можно сделать?
> Также еще информация есть:
> компьютер не перезагружался в течение суток, и есть данные про трафику
> с нашего компьютера:
> sent 14074500 пакетов
> recv 10450500 пакетов.
> Можно быть это поможет как-то.
> P.S. Чему равен размер пакета? Как он определяется?
>
> Вот несколько строчек провайдерских логов из tcpdump (xxx.xxx.xxx.xxx -
наш
> айпи):
> 11:31:46.340422 xxx.xxx.xxx.xxx.4330 > 205.188.156.122.25: P
> 4057249939:4057249945(6) ack 1836123580 win 16672 (DF)
> 11:31:46.341841 xxx.xxx.xxx.xxx.3210 > 64.12.137.121.25: P
> 71660585:71660591(6) ack 237317146 win 16864 (DF)
> 11:31:46.343738 207.253.106.170.25 > xxx.xxx.xxx.xxx.4717: R 0:0(0) ack
> 237413383 win 0 (DF)
> 11:31:46.346813 208.186.64.75.3305 > xxx.xxx.xxx.xxx.1080: P
> 314101637:314101671(34) ack 4259051456 win 17056 (DF)
> 11:31:46.355312 66.28.236.92.46468 > xxx.xxx.xxx.xxx.1080: S
> 2650014674:2650014674(0) win 5840 <mss 1460,sackOK,timestamp 752587916
> 0,nop,wscale 0> (DF)
> 11:31:46.355967 xxx.xxx.xxx.xxx.1080 > 66.118.180.9.3016: P
> 228160216:228160266(50) ack 3784127914 win 17380 (DF)
> 11:31:46.356916 xxx.xxx.xxx.xxx.3119 > 218.4.61.50.25: . ack 28294688 win
> 16233 (DF)
> 11:31:46.357364 xxx.xxx.xxx.xxx.1080 > 157.156.1.140.42267: . ack
490443873
> win 16531 <nop,nop,timestamp 948968 159264843> (DF)
> 11:31:46.360326 xxx.xxx.xxx.xxx.4184 > 64.12.138.152.25: P
> 4259922528:4259922562(34) ack 864124577 win 17064 (DF)
> 11:31:46.363567 xxx.xxx.xxx.xxx.1080 > 66.28.236.92.46468: R 0:0(0) ack
> 2650014675 win 0
>
>
--- ifmail v.2.15dev5
* Origin: COMSTAR Telecommunications (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
