On Wed, 12 Jan 2005 17:46:22 +0300 Andrey Melnikoff <[EMAIL PROTECTED]> wrote:
> Ildar Shaynurov <[EMAIL PROTECTED]> wrote: > > Всем привет. > > > > Такая проблема. > > Откуда-то из внутренний сети ползет бешенный трафик. > > Судя по всему троян сидит. > > > Чем можно посмотреть с каких ip-адресов это все лезет и куда уходит. И с > > каких портов идет. > > Ну на шлюзе есстесно стоит linux Master 2.2. Все идут через NAT. > > > Пока что просто закрыл всем прямой досту и оставил только прокси. > Это надо было делать раньше и навсегда. Дабы всякие спамилки да вирусы > напрямую через NAT в интернет не шастали. > Заодно, в /etc/network/options поставить spoofprotect=yes У нас много софта есть который не толкьо по http, ftp ходит. ПОэтому так не подойдет > > По одному откурывал компы и таким образом выявил три компа с которых идет > > большой трафик, но антивирусом на них ничего не нашел. > Антивирус какой ? Бери hijackthis (ищеться в гуглях) и смотри, чего он там > найдет. Все подозрительное - ручками выковырять и в virustotal.org скормить > на проверку. > > > Хотелось бы выявить остальные машины (а они точно есть), и попытаться > > найти троянов. НА клиентских машинах стоит WinXP > Без сервиспаков и обновлений ? сервис пак 1-ый стоит. Больше нету.
