Здравствуйте, On Mon, Feb 10, 2003 at 03:12:21PM +0400, Ринат wrote: > wins отключены на виндовых машинах (их кста.... не много) > а почему тогда это идёт от eth0, которая глядит наружу и адреса в моей > локалке 192.168.2.* > и вообще, может это и не имеет никакого значения, просто перед зависами > несколько раз замечены DENY на адрес 192.168.191.5
Ну мало ли машин в этом ethernet-сегменте. :-( У меня тоже было достаточно много записей в логах, пока я не отключила логгивование в ipchains. Полгорода висит в одном ethernet-сегменте. :-(( 14:09:23.378691 192.168.20.222.netbios-dgm > 192.168.20.223.netbios-dgm: >>> NBT UDP PACKET(138) Res=0x110A ID=0x86BE IP=192 (0xc0).168 (0xa8).20 >>> (0x14).222 (0xde) Port=138 (0x8a) Length=194 (0xc2) Res2=0x0 SourceName=SHURA_K NameType=0x00 (Workstation) DestName= WARNING: Short packet. Try increasing the snap lengt > > > вас бегать такие пакеты. По поводу руткитов - проверить все открытые > > соединения, проверить md5 всех установленных пакетов (особенно тех, которые > > работают как демоны). Проверить права на /tmp. > lrwxrwxrwx 1 root root 5 Sep 27 18:30 /tmp -> m/tmp > что-то не так? Ну тогда с правами реального каталога. Кто туда может писать, кто читать. Достаточно много руткитов сваливают себя в /tmp, потом запускают себя оттуда. Поэтому хорошо бы его держать на разделе, который монтируется с noexec. > > > В крайнем случае, всегда есть консоль, на которую можно зайти с соседнего > > сервера и посмотреть, в чем проблема (нуль-модемный кабель + getty). > а чем смотреть? на solaris вроде было через hardwire На самом деле у меня стоит мультипортовка, концы которой воткнуты в рутеры, свитч, сервера. На сервере T2:2345:respawn:/sbin/getty -L ttyS01 9600 на машине с мультипортовкой просто соединяюсь миникомом с нужным ком-портом (точнее, определен файл конфигурации для данного сервера). -- Elena Egorova
