On Thu, Aug 04, 2005 at 05:09:41PM +0400, Sergio wrote: > Глянул на bindграф -- увидел, что с 13:09 по 13:27 кто-то много чего > спрашивал у бинда. (A and PTR queries) посмотрел по логам -- все эти > запросы было с 127.0.0.1 более того, никого из людей на машине в это > время не было... > > были следуюший запросы: > > 36.33.47.64.in-addr.arpa IN PTR > ftp.webspace4me.net IN A > venus.netrelated.com IN A > webspace4me.net IN A > www.webspace4me.net IN A > > у кого-нить есть предположения, как понять, что это было? >
Посмотри в лог ssh (обычно /var/log/auth.log). Я думаю, это приходил червяк, которые подбирал логины-пароли к ssh и делал множество коннектов с 13:09 до 13:27. ssh ресолвит в DNS адреса всех входящих соединений в обоих направлениях: IP в имя и затем полученные имена в адреса, для контроля. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
