stako
29-08-07, 12:19
Έχω το εξής πρόβλημα, για κάποιο λόγο έχω πολύ ανεβασμένη κίνηση στην γραμμή του Internet. Έχω τσεκάρει όλα τα μηχανήματα και κανένα δεν κατεβάζει τίποτα ούτε υπάρχει εγκατεστημένο P2P ή κάτι σχετικό. Παρατήρησα από τα logs του router ότι είχα πολλά requests από μέσα προς το www.rollingstone.com. Οπότε έκανα block το url. Η κίνηση όμως συνεχίζεται (το τσεκάρω με SNMP) και τώρα αντί τα requests να γίνονται forwarded, γίνονται απλά blocked. Επίσης όπως μπορείτε να δείτε παρακάτω, το εσωτερικό request παίζει με "περίεργες" πόρτες.
08/29/2007 10:37:13 |192.0.0.179:3428 |212.251.32.167:80 |WEB BLOCK www.rollingstone.com: block keyword
Μετά ενεργοποίησα το firewall και τώρα αντί access requests ή blocks λαμβάνω τα εξής:
08/29/2007 11:06:12 |192.0.0.179 |208.101.52.214 |ATTACK ping of death. ICMP(type:8, code:0)
Η 208.101.52.214 ανήκει στο:
OrgName: SoftLayer Technologies Inc.
OrgID: SOFTL
Address: 1950 N Stemmons Freeway
City: Dallas
StateProv: TX
PostalCode: 75207
Country: US
ReferralServer: rwhois://rwhois.softlayer.com:4321
NetRange: 208.101.0.0 - 208.101.63.255
CIDR: 208.101.0.0/18
NetName: SOFTLAYER-NETBLOCK3
NetHandle: NET-208-101-0-0-1
Parent: NET-208-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.SOFTLAYER.COM
NameServer: NS2.SOFTLAYER.COM
Comment: *****@softlayer.com
RegDate: 2006-03-10
Updated: 2006-05-12
RAbuseHandle: ABUSE1025-ARIN
RAbuseName: Abuse
RAbusePhone: +1-214-442-0605
RAbuseEmail: *****@softlayer.com
RTechHandle: IPADM258-ARIN
RTechName: IP Admin
RTechPhone: +1-214-442-0600
RTechEmail: *******@softlayer.com
OrgAbuseHandle: ABUSE1025-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-214-442-0605
OrgAbuseEmail: *****@softlayer.com
OrgTechHandle: IPADM258-ARIN
OrgTechName: IP Admin
OrgTechPhone: +1-214-442-0600
OrgTechEmail: *******@softlayer.com
# ARIN WHOIS database, last updated 2007-06-19 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
Τσέκαρα τα pc που έχουν τις IP που κάνουν τα request με ότι spyware cleaner μπορούσα να σκεφτώ αλλά το φαινόμενο συνεχίζεται. Τι άλλο μπορώ να κάνω? Τι κάνουμε σε αυτές τις περιπτώσεις για να σταματήσει να υπάρχει η απειλή?
08/29/2007 10:37:13 |192.0.0.179:3428 |212.251.32.167:80 |WEB BLOCK www.rollingstone.com: block keyword
Μετά ενεργοποίησα το firewall και τώρα αντί access requests ή blocks λαμβάνω τα εξής:
08/29/2007 11:06:12 |192.0.0.179 |208.101.52.214 |ATTACK ping of death. ICMP(type:8, code:0)
Η 208.101.52.214 ανήκει στο:
OrgName: SoftLayer Technologies Inc.
OrgID: SOFTL
Address: 1950 N Stemmons Freeway
City: Dallas
StateProv: TX
PostalCode: 75207
Country: US
ReferralServer: rwhois://rwhois.softlayer.com:4321
NetRange: 208.101.0.0 - 208.101.63.255
CIDR: 208.101.0.0/18
NetName: SOFTLAYER-NETBLOCK3
NetHandle: NET-208-101-0-0-1
Parent: NET-208-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.SOFTLAYER.COM
NameServer: NS2.SOFTLAYER.COM
Comment: *****@softlayer.com
RegDate: 2006-03-10
Updated: 2006-05-12
RAbuseHandle: ABUSE1025-ARIN
RAbuseName: Abuse
RAbusePhone: +1-214-442-0605
RAbuseEmail: *****@softlayer.com
RTechHandle: IPADM258-ARIN
RTechName: IP Admin
RTechPhone: +1-214-442-0600
RTechEmail: *******@softlayer.com
OrgAbuseHandle: ABUSE1025-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-214-442-0605
OrgAbuseEmail: *****@softlayer.com
OrgTechHandle: IPADM258-ARIN
OrgTechName: IP Admin
OrgTechPhone: +1-214-442-0600
OrgTechEmail: *******@softlayer.com
# ARIN WHOIS database, last updated 2007-06-19 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
Τσέκαρα τα pc που έχουν τις IP που κάνουν τα request με ότι spyware cleaner μπορούσα να σκεφτώ αλλά το φαινόμενο συνεχίζεται. Τι άλλο μπορώ να κάνω? Τι κάνουμε σε αυτές τις περιπτώσεις για να σταματήσει να υπάρχει η απειλή?