On Wed, 1 Jul 2009 08:31:27 -0400 Sergey Kharlamov <mentax@gmail.com> wrote: > Добрый день Уважаемые! > Спешу к вам с вопросом: вчера машинка на debian lenny стала странно > себя вести - отправляла на определенный ip адрес туеву хучу пакетов и > тем самым забивала весь канал этим. Через route add -host xx.xx.xx.xx > reject добавил тот хосто в список игнорируемых. На следующиц день это > повторилось,но ip адрес был другой. iptraf показывает что идет udp > пакет по 43 кб. Netstat говорит что udp 0 0 172.16.0.2:43747 > 208-65.ip.compton.net:www ESTABLISHED > да, еще в процессах какой то процесс странный есть: > > 5691 ? R 976:31 ./s 208.74.208.65 80 > Есть ли у тебя всякие пользователи с логином/паролем типа test/test? Боты бывает перебирают таких, логинятся по ssh и делают своё чёрное дело. Выдел пару таких машинок.
Attachment:
signature.asc
Description: PGP signature