gulaypole.info
Hard & Soft => Компьютеры и IT => Тема начата: alex29 от Августа 08, 2007, 10:54:00
-
Заметил по анализу трафика, что некоторые рабочие станции локальной сети пытаются периодически самостоятельно по smtp протоколу спамить. Причём количество подключений по smtp одновременно - довольно большое (попытка DDoS на кого-то? ???).
Проверка станций KAV, cureit (drweb), Avast, различными анти -spy & -adware реальных результатов не дала (были найдены trojan, но после уничтожения и перезагрузки они появлялись опять). Мониторы антивирусов тоже ничего не видют. Скачал утилиты для поиска rootkit в Windows (AVG Anti-rootkit Free и Mcafee_Rootkit_Detective). На нескольких станциях нашло скрытые процессы. После уничтожения их, станции больше не спамят. Но на некоторых утилиты не нашли ничего, антивирусы тоже и они продолжают пытаться спамить. (На шлюзе (FreeBSD) rootkit не обнаружен).
Хде копать?
Меры профилактики?
-
И ещё забыл.. С заражённых станций не постоянно предпринимается попытка самопроизвольного соединения с парой IP адресами по https & http. Я их прикрыл файерволлом, но попытки продолжаются.
-
ну, Сань, с твоим уровнем подготовки, даже не знаю, что и советовать ??? Попробуй разве что такую софтину Stelsscanner2.exe если нет, могу выслать. Она показывает все приложения, приконнекченные в текущий момент к инету. И показывает откуда они стартуют. Разве что так просмотреть, а потом перегрузиться в безопасном режиме и удалить вручную.
Я так делаю обычно, но если у тебя такой супер-пупер хитрый зверь...
Или скачай Hiren BootCD и проверь на вирусы с него, не загружая ОС.
-
Утилита AVZ4 (хттп://z-oleg.com/secur/avz/download.php) в данном случае рулила. Оччрекомендую..
Вычистил нечисть..
-
А через эту гадость (Trojan-Proxy.Win32.Pixoliz.a по версии AVZ) лезли эти гады:
root@/home/alex29> whois 75.126.130.164
OrgName: SoftLayer Technologies Inc.
OrgID: SOFTL
Address: 1950 N Stemmons Freeway
City: Dallas
StateProv: TX
PostalCode: 75207
Country: US
-
Да, Сань, круто!
-
Если б побольше знаний, наверно столько бы не мучился. Вечное копание.. :)