Oi Marcos On Wed, 3 Aug 2005, Marcos Dutra wrote: > Vc está com um sério problema então, eu tb não sei muita coisa de windows > apesar que eu mexo um pouco, a única coisa que eu posso te falar é o o o rodou > rs... > Brincadeira... É estranho essas coisas tentarem rodar na porta 135 mas tudo > indica que suas máquinas estão infectadas, vc atualiza os bichinhos :-)? > No google eu achei esse mensagem de 2003 e eu acho que é exatamente o que > acontece com vc, dê uma pesquisada melhor. > > http://www.infohelp.org/article.php?sid=109
Todos os sintomas batem (20 IPs por segundo, port 135, etc..) !!! Muito Obrigado pela informação... e olha que eu googlei mas nem tentei em português :) Verifiquei o tráfego na porta 4444 e as mesmas máquinas estão lá. Ou este pessoal não atualiza o antivírus desde 2003 ou deve ser uma variante mais nova... Valeu, mais uma vez!! > > ----- Original Message ----- From: "Thadeu Penna" <[EMAIL PROTECTED]> > To: <[email protected]> > Cc: "Usuários Debian de língua portuguesa" > <[email protected]> > Sent: Wednesday, August 03, 2005 10:55 AM > Subject: Re: tentativa de D.o.S > > > Oi Marcos > > > On Wed, 3 Aug 2005, Marcos Dutra wrote: > > Como o seu gateway está mandando esses pacotes externamente e como vc disse > > que são as suas máquinas windows, eu recomendo vc fechar a porta 135 para > > saída da internet: iptables -I FORWARD -p tcp --dport 135 -j DROP e > > investigar > > as máquinas que estão gerando esses pacotes. > > Sim. Isto eu já fiz (foi assim que descobrimos o problema: o tráfego para > fora estava insuportável e derrubou um roteador velhinho depois da gente). > O estranho é esta varredura na rede 10.XX.XX.XX. Eu pensava que alguém já > tivesse passado por isto... > > > > Dá um netstat nas máquina, vire de cabeça p/ baixo pois isso pode ser virus > > ou > > algo similar. > > > > O pior é que não sei nada de Windows (o que sabia, esqueci). Nem sei as > ferramentas de diagnóstico destas máquinas... > > > > ----- Original Message ----- From: "Thadeu Penna" <[EMAIL PROTECTED]> > > To: <[email protected]> > > Sent: Wednesday, August 03, 2005 10:32 AM > > Subject: tentativa de D.o.S > > > > > > > Senhores, > > > estou com um problemão aqui. Tenho uma rede interna 10.0.0.0/24. > > > Alguns micros com windows (cada vez mais deles agem assim), geram > > > estes pacotes: > > > tcpdump -i eth1 -p tcp port 135 > > > .... > > > 10:09:33.904098 IP UFF.if.uff.br.3931 > 10.0.217.245.loc-srv: S > > > 451509942:451509942(0) win 16384 <mss 1460,nop,nop,sackOK> > > > 10:09:33.904167 IP UFF.if.uff.br.3932 > 10.0.92.72.loc-srv: S > > > 451566247:451566247(0) win 16384 <mss 1460,nop,nop,sackOK> > > > 10:09:33.904238 IP UFF.if.uff.br.3933 > 10.0.193.73.loc-srv: S > > > 451620384:451620384(0) win 16384 <mss 1460,nop,nop,sackOK> > > > 10:09:33.904304 IP UFF.if.uff.br.3934 > 10.0.107.121.loc-srv: S > > > 451669702:451669702(0) win 16384 <mss 1460,nop,nop,sackOK> > > > ... > > > > > > note que as máquinas são 10.0.XXX.XXX que não pertencem a minha > > > subrede! > > > Isto é vírus, trojan, etc ?? Alguém conhece ? Como barrar isto e não > > > fechar o Samba ?? Em resumo: o que que eu faço ??? > > > > > > -- > > > Thadeu Penna Linux User #50500 > > > Prof.Adjunto - Instituto de Física ---Debian- > > > Universidade Federal Fluminense Alpha/i386 > > > > > > > > > -- > > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > > with a subject of "unsubscribe". Trouble? Contact > > > [EMAIL PROTECTED] > > > > > > > > > > > > > > -- ___ _ .''`. | |_ _. _| _ |_) _ ._ ._ _. : :' : | | |(_|(_|(/_|_| | (/_| || |(_| `. `'` Linux User #50500 `- Prof.Adjunto - Instituto de Física ---Debian- Universidade Federal Fluminense Alpha/i386
