|
linux, непонятный шквал днс запросов Убунту, в роли астериска, стоит в локалке за 29 циской. На роутере банальный НАТ, на линухе только телефония. За последние сутки 3 раза ложился намертво роутер, после выяснение причин, оказалось с линуха идет ниибический трафик, после включения на коммуторе спан порта увидели странное, за 90 секунд 2,5 млн на запросов на адрес 61,240,114,116 на 53 порт ЮДП. После банального отключения физически линка с сервера(раз на 10-15) флуд прекратился, и вот уже часов 6 живет. Теперь вопрос, можно ли по прошествии времени определить источник приложения на линухе? Сейчас догадался только поставить на циске АЦЛ для этого протокола. Куда дальше копать, мыслей нет. |
[url]http://db-ip.com/61.240.114.116[/url] Апдейты ставились? Версия убунты? |
0-petrovichr > пакеты DNS установлены (например BIND)? У тебя может быть банальная эха (когда вирь гонит на DNS сервер запросы с подменой адреса получателя). |
[url]https://disk.yandex.ru/public/?hash=%2B%2B9eHY7f6oZldMrakM0f9kW084QEwzEI5MBynrhYmrY%3D[/url] |
1 - 13 что-то там 2 - нет, бинда нет, только астер проверял по нетстату после флуда - инфы нет соответственно, я как бы далек от линуха, может ли это быть вирус/руткит ? [img]https://disk.yandex.ru/public/?hash=%2B%2B9eHY7f6oZldMrakM0f9kW084QEwzEI5MBynrhYmrY%3D[/img] |
2 думал уже и так, но по ifconfig входящего трафика 300-400 метров, исходящего 790гб |
смени ип адрес у линукса на время - если проблема уйдет, ищи касяк в ПО. Возможно вирь, или криво настроен ДНС. Если останентся - системный трабл. Был похожий глю с почтой. сервер сам себя в качетсте некстхопа узрел. |
судя по всему руткит, либо пароль был слабый, либо была уязвимость. Снес систему, ставлю заново. примерно за минуту 2млн запросов на китайцев шло. |
Нашло сей аддр у себя в бан-листе, зачем банил не помню. Но не просто так. Астер - ключевое тут. |
| Текущее время: 19:04. Часовой пояс GMT +3. |