Как отловить IP зараженной машины.
LinuxID 31 января, 2013 - 12:12
Добрый день сотоварищи.
Проблема такая:
Есть Win машина на которой с недавних пор висит какая то хрень и время от времени ломится в сеть.
На шлюзе стоит Squid + Sarg. В отчетах, генерируемых Sarg`ом стоки следующего вида:
92 77-122-56-70.dynamic-FTTB.kharkov.volia.com 1 3.75K 0.00% 100.00% 0.00% 00:00:00 1 0.00% 93 135.115.56.121.broad.cf.nm.dynamic.163data.com.cn 1 3.60K 0.00% 100.00% 0.00% 00:00:00 0 0.00%
Данная хрень запускается в разное время через разные промежутки буквально на несколько секунд и похоже что пытается рассылать спам. Squid ее конечно блочит, но меня она напрягает. Как бы определить IP зараженной машины?
»
- Для комментирования войдите или зарегистрируйтесь
/
grep фрагмент адреса по журналам (
access.log) squid'а не помогает?net-analyzer/sargя честно видел давно и совсем ни фига не помню, но его условный форк free-sa список формата адрес сервера (url) - адрес клиента (ip) показывать умеет. Можно поискать в дебрях интуитивно-понятного графического интерфейса.:wq
--
Live free or die
Anarchist написал(а): grep
grep выдал 121.56.115.135, но это не локальный IP.
Правильно заданный вопрос - половина ответа!
Логики и довода — недостаточно. Надо еще зачморить тех, кто думает не так как мы. (South Park)
WireShark
Есть такой чудесный пакетик WireShark.
С его помощью можно мно-о-ого чего любопытного по сети вычислить.
http://www.wireshark.org/
emerge Your world
Gentoogle
Я знаю что это за программа.
Я знаю что это за программа. Я так понимаю ты мне предлагаешь поставить wireshark на сервер? Бу га га.
Правильно заданный вопрос - половина ответа!
Логики и довода — недостаточно. Надо еще зачморить тех, кто думает не так как мы. (South Park)
LinuxID написал(а):
бугага это твое воспитание ;)
ну а если бы ты осилил доки к вирешарку, то знал бы , что он стандартно умеет файл дампа tcpdump.
Надеюсь tcpdump на "сервере" не выызывает у тебя приступов неконтролируемого ржака и бугаги ?
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
в access.log смотри по grep,
в access.log смотри по grep, третье поле - IP источника.
Не грусти, товарищ! Всё хорошо, beautiful good!
grep выдал 121.56.115.135, но
grep выдал IP`шники в 3м и 4м полях по 2 шт. 121.56.115.135, 121.56.216.95 и 1.182.119.0 и еше много всяких разных, но все они не локальные IP`ы.
Правильно заданный вопрос - половина ответа!
Логики и довода — недостаточно. Надо еще зачморить тех, кто думает не так как мы. (South Park)
Покажи команду отлова и
Покажи команду отлова и строку вывода.
Не грусти, товарищ! Всё хорошо, beautiful good!
cat /var/log/squid/access.log
cat /var/log/squid/access.log | grep "baidu"
30/01/2013 10:21:13 121.56.115.135 121.56.115.135 www.baidu.com 3601 TCP_DENIED/403 0 ""cat /var/log/squid/access.log | grep "images.google.com"
30/01/2013 10:31:12 77.122.56.70 77.122.56.70 images.google.com 3601 TCP_DENIED/403 0 ""разные ip`шники, разные саты (все заблочены), но продолжает ломится.
Правильно заданный вопрос - половина ответа!
Логики и довода — недостаточно. Надо еще зачморить тех, кто думает не так как мы. (South Park)
Неправильный формат
Неправильный формат access.log. Вручную настраивал?
Не грусти, товарищ! Всё хорошо, beautiful good!
формат по умолчанию.
формат по умолчанию.
Правильно заданный вопрос - половина ответа!
Логики и довода — недостаточно. Надо еще зачморить тех, кто думает не так как мы. (South Park)
1359634107.282 207
Вот формат по умолчанию, а у тебя какое-то недоразумение.
Не грусти, товарищ! Всё хорошо, beautiful good!
1359631732.931 5223
Наверно так. Взял с архива.
настроил на свиче зеркало интернет порта на свой порт. Поставил wireshark. Сканю сеть.
Правильно заданный вопрос - половина ответа!
Логики и довода — недостаточно. Надо еще зачморить тех, кто думает не так как мы. (South Park)
Тогда это значит, что твоим
Тогда это значит, что твоим прокси пользуются внешние адреса.
Не грусти, товарищ! Всё хорошо, beautiful good!
cat /etc/squid/squid.conf acl
cat /etc/squid/squid.conf
acl localnet src 192.168.0.0/22 # RFC1918 possible internal network acl SSL_ports port 443 acl Safe_ports port 20 # ftp-data acl Safe_ports port 21 # ftp acl Safe_ports port 22 # ssh acl Safe_ports port 53 # dns acl Safe_ports port 80 # http acl Safe_ports port 123 # ntp acl Safe_ports port 443 # https acl Safe_ports port 873 # rsync acl CONNECT method CONNECT http_access allow localhost manager http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports #http_access deny to_localhost dns_nameservers 93.157.232.3 acl BANNER url_regex banner reklama linkexch banpics us\.yimg\.com [\./]ad[s]?[\./] http_access deny BANNER # # СПИСКИ КОНТРОЛЯ ДОСТУПА # acl AllowAll_ip src "/etc/squid/AllowAll_ip.cfg" # Список локальных IP которым разрешено лазить везде (без скачивания) acl BlockPorno url_regex -i "/etc/squid/BlockPorno.cfg" # Заблокированные порно сайты acl BlockSites url_regex -i "/etc/squid/BlockSites.cfg" # Заблокированные сайты acl BlockMime urlpath_regex -i "/etc/squid/BlockMime.cfg" # Заблокированные типы файлов # # ПРАВИЛА ДОСТУПА БРАУЗЕРОВ # acl userbr browser Chrome acl userbr browser Firefox acl userbr browser Mozilla acl userbr browser Opera acl userbr browser Shockwave.Flash http_access allow userbr acl nouserbr browser GuardMailRu acl nouserbr browser Google.Update.* acl nouserbr browser ^$ acl nouserbr browser ^-$ acl nouserbr browser ^Adobe Update Manager acl nouserbr browser ^Java acl nouserbr browser ^jupdate acl nouserbr browser DynGate http_access deny nouserbr # # ПРАВИЛА ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ # # IP которым разрешено все http_access allow AllowAll_ip # Блокируем порно сайты http_access deny BlockPorno # Блокируем посторонние сайты http_access deny BlockSites # Блокируем файлы по типам http_access deny BlockMime # Разрешаем все не запрешенное http_access allow localnet http_access allow localhost http_access deny all http_port 3128 cache deny all # Uncomment and adjust the following to add a disk cache directory. #cache_dir ufs /var/cache/squid 20480 32 256 coredump_dir /var/cache/squid cache_mem 2048 MB minimum_object_size 1 KB maximum_object_size 10 MB # Add any of your own refresh_pattern entries above these. refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 error_directory /usr/share/squid/errors/ru error_default_language ru memory_pools on memory_pools_limit 50 MB redirect_program /opt/rejik/redirector /opt/rejik/redirector.conf pinger_program /usr/libexec/squid/pinger pinger_enable onПодскажите, где косяк? Как исправить что бы не пользовались? У нас есть умники, которые TOR`ом пользуются. Может это он?
iptables -L
iptables -t nat -L
Правильно заданный вопрос - половина ответа!
Логики и довода — недостаточно. Надо еще зачморить тех, кто думает не так как мы. (South Park)
Боюсь показаться еретиком
iptraf может помочь, по моему.
Консольно, SSH-но, может стать на сервере
^_________^ <-----котэ
а зачем? tcpdump/tshark куда
а зачем?
tcpdump/tshark куда как проще!..