Альт без спросу лезет в Интернет Опции Поделиться

[ИВК]

У меня в пятом Альте (сборка Шигорина) в последние недели творится нечто странное. Судя по статистике Kppp, время от времени из Интернета (много раз в день) закачивается непонятно что, иногда мегабайтами. Я никогда не пользуюсь автоматическими обновлениями, везде их выключаю, где только увижу. Вообще-то подозревал, что проблема как-то связана с не очень корректным обновлением системы (было такое примерно тогда, когда всё это началось). Так что отключил все сетевые репозитории, а в Альтераторе на вкладке "Источники обновлений" выбрал пункт "неактивно". Не помогло. Проверил раздел пятого Альта ClamAV'ом - он ничего подозрительного не нашёл. Или какое-то недавно установленное ПО роется в инете? Но закачка может начаться даже тогда, когда никакие прикладные программы не запущены.
Так что же качается вопреки моему желанию? Чувствую себя, как в Windows. Правда, я пока перешёл на Альт-4 - в нём такой напасти нет. Поэтому лично для меня это пустяки. Но я ведь и другим людям ставлю Альт. И вот на другом компьютере, на который я поставил эту же версию Альта, обнаружилась та же самая самовольная закачка. А ведь у нас в деревне инет через gprs, оплата по трафику. И эти постоянные бессмысленные закачки означают простую вещь : если проблему не решить, то этот дистрибутив в наших краях можно использовать только как мультимедийно-игровой, для Интернета он просто не годится. Так что, четвёртый Альт вместо пятого ставить из-за этого? Это же несерьёзно.
Кто подскажет, где ещё поискать инициатора этих закачек? Всё-таки Альт - не Windows, наверняка как-то можно выяснить, в чём дело.

Сообщение отредактировал IVK - 20.7.2010, 22:32

[Vova]

Комп ни в какую локалку не входит, подключен к инету по gprs и через спутник (программа Sprint, она при запуске создаёт прокси-сервер 127.0.0.1:3128). gprs обычно (при работе в инете, установке софта из сети) работает как обратный канал при спутнике. Так вот, эта самовольная закачка идёт мимо прокси, чисто по gprs - почему версия о том, что дело связано с обновлениями ПО, сразу казалась мне сомнительной. Джаббер, правда, по gprs работает, но закачка бывала и тогда, когда он не запущен.

Так.. интересно все-таки, почему вы сделали вывод насчет того, что закачка идет "мимо прокси" и "чисто по gprs"? Чем проверяли? Опишите ход ваших мыслей. Попытались ли использовать tcpdump, trafshow? Не думаете, что kppp может посчитать и ваш внутренний локальный трафик до вашего внутреннего прокси?

И, кстати, насчёт этого другого юзера, которого вроде бы может вычислить who - если его у меня просто нет, то он же не появится сам? По-моему, так, хотя тут я, прямо скажу, чайник.

Он может появиться... Это может быть root (если вы запустили в терминале сессию рута, или если кто-то перехватил ваш пароль из инета и вошел, или если кто-то долбится к вам по ssh, может появиться левый исходящий трафик), это может быть какая-нибудь программа, запускающаяся по расписанию и имеющая свою учетную запись.. Скажем, cacheman какой-нибудь.. просто в момент, когда происходит этот подозрительный трафик, следует посмотреть - нет ли кого-нибудь кроме вас в системе сейчас..

bind 0:off 1:off 2:off 3:on 4:on 5:on 6:off

Отключите bind - на рабочей станции не нужен.. chkconfig bind off и потом service bind stop (все от рута)

bluetooth 0:off 1:off 2:on 3:on 4:on 5:on 6:off

Хм.. блютуз-сервер... то есть каждый к вам может пытаться долбиться по блютуз? Проверьте по /var/log/syslog, было ли что-нибудь сомнительное... Может отключить?

clamd 0:off 1:off 2:on 3:on 4:on 5:on 6:off

отключите.. и заодно проверьте, не настроен ли ваш кламав на автоматическое скачивание обновлений... Проверьте каталоги типа /etc/cron.*, их содержимое, нет ли в расписаниях запуска clamav и в каком качестве.. Повторюсь, clamav нужен только для линуксовых серверов, для проверки парка ведомых виндовых машин...

gssd 0:off 1:off 2:off 3:on 4:on 5:on 6:off
idmapd 0:off 1:off 2:off 3:on 4:on 5:on 6:off

А это откуда у вас? Если это то, что я думаю, то отключить.. Проверьте по man gssd - что это у вас?
Вы вообще какой именно дистр качали и ставили себе? idmapd - name mapping daemon... аналогично предыдущему... Выясните что это. Отключите, если нет жизненной необходимости. Я бы точно отключил, у вас нет локальной сети.

lvm2-monitor 0:off 1:on 2:on 3:on 4:on 5:on 6:off
mdadm 0:off 1:off 2:on 3:on 4:on 5:on 6:off

У вас сервер? У вас есть рейд? Нет? Отключить оба.

nfs 0:off 1:off 2:on 3:on 4:on 5:on 6:off
portmap 0:off 1:off 2:on 3:on 4:on 5:on 6:off
postfix 0:off 1:off 2:on 3:on 4:on 5:on 6:off

Отключите все три... Скажем, я практически уверен, что почтовым сервером postfix вы не пользуетесь..

sobexsrv 0:off 1:off 2:off 3:on 4:on 5:on 6:off

Что это? Выясните. man sobexsrv.. что это, нужно оно запущенное? Если связанное с протоколом OBEX - оставьте, если так необходимо.. Хотя, для чего вам именно OBEX-сервер?

sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off

Немедленно отключить!!! Более чем уверен, что вы не соединяетесь со своим компом с другого места по ssh, да и iptables не настроен у вас наверняка... Потенциально возможна попытка внедрения. Проверьте /var/log/syslog на предмет этого.. найдите ту дату и время и ищите..

И напоследок, если у вас просто домашняя рабочая машинка без локальной сети (хотя и для локальной сети это не лишнее зачастую), сделайте следующее:

найдите файлы /etc/hosts.allow и /etc/hosts.deny

Приведите их к виду, как ниже:


hosts.allow

Код

#
# hosts.allow    This file describes the names of the hosts which are
#        allowed to use the local INET services, as decided
#        by the '/usr/sbin/tcpd' server.
#
ALL:127.0.0.1

Примечание: не забудьте после 127.0.0.1 перейти на новую строчку (Enter)

hosts.deny

Код

#
# hosts.deny    This file describes the names of the hosts which are
#        *not* allowed to use the local INET services, as decided
#        by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!
ALL:ALL

Аналогично, после второго ALL сделать переход на новую строку..

Можно после этого рестартить сеть или просто перегрузить комп...

Что это мы сделали? Мы запретили доступ к нашему компу всем, кроме localhost (127.0.0.1), который используется внутренними службами самого компа...

P.S. Какой дистрибутив Альта вы скачали и поставили себе?

Сообщение отредактировал Vova - 21.7.2010, 15:58