Re: Найти трояна
On Wed, 12 Jan 2005 17:46:22 +0300
Andrey Melnikoff <temnota+news@kmv.ru> wrote:
> Ildar Shaynurov <shir@stalker.i-set.ru> wrote:
> > Всем привет.
>
>
> > Такая проблема.
> > Откуда-то из внутренний сети ползет бешенный трафик.
> > Судя по всему троян сидит.
>
> > Чем можно посмотреть с каких ip-адресов это все лезет и куда уходит. И с
> > каких портов идет.
> > Ну на шлюзе есстесно стоит linux Master 2.2. Все идут через NAT.
>
> > Пока что просто закрыл всем прямой досту и оставил только прокси.
> Это надо было делать раньше и навсегда. Дабы всякие спамилки да вирусы
> напрямую через NAT в интернет не шастали.
> Заодно, в /etc/network/options поставить spoofprotect=yes
У нас много софта есть который не толкьо по http, ftp ходит. ПОэтому так не подойдет
> > По одному откурывал компы и таким образом выявил три компа с которых идет
> > большой трафик, но антивирусом на них ничего не нашел.
> Антивирус какой ? Бери hijackthis (ищеться в гуглях) и смотри, чего он там
> найдет. Все подозрительное - ручками выковырять и в virustotal.org скормить
> на проверку.
>
> > Хотелось бы выявить остальные машины (а они точно есть), и попытаться
> > найти троянов. НА клиентских машинах стоит WinXP
> Без сервиспаков и обновлений ?
сервис пак 1-ый стоит. Больше нету.
Reply to: