К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

linux, непонятный шквал днс запросов

Гость
0 - 11.05.2014 - 21:19
Убунту, в роли астериска, стоит в локалке за 29 циской. На роутере банальный НАТ, на линухе только телефония. За последние сутки 3 раза ложился намертво роутер, после выяснение причин, оказалось с линуха идет ниибический трафик, после включения на коммуторе спан порта увидели странное, за 90 секунд 2,5 млн на запросов на адрес 61,240,114,116 на 53 порт ЮДП. После банального отключения физически линка с сервера(раз на 10-15) флуд прекратился, и вот уже часов 6 живет.
Теперь вопрос, можно ли по прошествии времени определить источник приложения на линухе? Сейчас догадался только поставить на циске АЦЛ для этого протокола. Куда дальше копать, мыслей нет.



Гость
1 - 11.05.2014 - 22:35
http://db-ip.com/61.240.114.116
Апдейты ставились? Версия убунты?
Гость
2 - 11.05.2014 - 22:53
0-petrovichr > пакеты DNS установлены (например BIND)? У тебя может быть банальная эха (когда вирь гонит на DNS сервер запросы с подменой адреса получателя).
Гость
3 - 12.05.2014 - 11:40
https://disk.yandex.ru/public/?hash=...5MBynrhYmrY%3D
Гость
4 - 12.05.2014 - 11:40
1 - 13 что-то там
2 - нет, бинда нет, только астер
проверял по нетстату после флуда - инфы нет соответственно, я как бы далек от линуха, может ли это быть вирус/руткит ?
Гость
5 - 12.05.2014 - 11:43
2 думал уже и так, но по ifconfig входящего трафика 300-400 метров, исходящего 790гб
Гость
6 - 12.05.2014 - 15:44
смени ип адрес у линукса на время - если проблема уйдет, ищи касяк в ПО. Возможно вирь, или криво настроен ДНС. Если останентся - системный трабл.

Был похожий глю с почтой. сервер сам себя в качетсте некстхопа узрел.
Гость
7 - 12.05.2014 - 16:33
судя по всему руткит, либо пароль был слабый, либо была уязвимость.
Снес систему, ставлю заново.
примерно за минуту 2млн запросов на китайцев шло.
Гость
8 - 13.05.2014 - 01:15
Нашло сей аддр у себя в бан-листе, зачем банил не помню. Но не просто так. Астер - ключевое тут.


К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены