IPB

Здравствуйте, гость ( Вход | Регистрация )

 
Ответить в эту темуОткрыть новую тему
> Альт без спросу лезет в Интернет
Поделиться
ИВК
сообщение 20.7.2010, 22:27
Сообщение #1


Профессионал
*******

Группа: Глоб. Модератор
Сообщений: 9988
Регистрация: 22.6.2009
Вставить ник
Цитата
Из: Онега
Пользователь №: 1352
Страна: Россия
Город: Не указан
Пол: Муж.



Репутация: 30


У меня в пятом Альте (сборка Шигорина) в последние недели творится нечто странное. Судя по статистике Kppp, время от времени из Интернета (много раз в день) закачивается непонятно что, иногда мегабайтами. Я никогда не пользуюсь автоматическими обновлениями, везде их выключаю, где только увижу. Вообще-то подозревал, что проблема как-то связана с не очень корректным обновлением системы (было такое примерно тогда, когда всё это началось). Так что отключил все сетевые репозитории, а в Альтераторе на вкладке "Источники обновлений" выбрал пункт "неактивно". Не помогло. Проверил раздел пятого Альта ClamAV'ом - он ничего подозрительного не нашёл. Или какое-то недавно установленное ПО роется в инете? Но закачка может начаться даже тогда, когда никакие прикладные программы не запущены.
Так что же качается вопреки моему желанию? Чувствую себя, как в Windows. Правда, я пока перешёл на Альт-4 - в нём такой напасти нет. Поэтому лично для меня это пустяки. Но я ведь и другим людям ставлю Альт. И вот на другом компьютере, на который я поставил эту же версию Альта, обнаружилась та же самая самовольная закачка. А ведь у нас в деревне инет через gprs, оплата по трафику. И эти постоянные бессмысленные закачки означают простую вещь : если проблему не решить, то этот дистрибутив в наших краях можно использовать только как мультимедийно-игровой, для Интернета он просто не годится. Так что, четвёртый Альт вместо пятого ставить из-за этого? Это же несерьёзно.
Кто подскажет, где ещё поискать инициатора этих закачек? Всё-таки Альт - не Windows, наверняка как-то можно выяснить, в чём дело.

Сообщение отредактировал IVK - 20.7.2010, 22:32


--------------------
Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Vova
сообщение 20.7.2010, 23:46
Сообщение #2


Странник
**

Группа: Модератор раздела
Сообщений: 23
Регистрация: 9.7.2010
Вставить ник
Цитата
Из: Москва
Пользователь №: 1866
Страна: Россия
Город: Москва
Пол: Муж.



Репутация: 0


Цитата(IVK @ 20.7.2010, 22:27) *
У меня в пятом Альте (сборка Шигорина) в последние недели творится нечто странное. Судя по статистике Kppp, время от времени из Интернета (много раз в день) закачивается непонятно что, иногда мегабайтами.


Автоматических обновлений нет в Альте, есть индикатор того, что доступны новые обновления.. И потом - интересно - на чем основывался ваш вывод? Скриншот, а также логи соединения ppp или kppp неплохо было бы привести..

Во-первых - не сейте панику, во-вторых - clamav не нужен, да он и не поможет выявить.. только рискуете лишиться ряда нужных файлов, если н так его запустите... это старая виндовая привычка..

Что нужно сделать.. Отследить количество пользователей, залогиненных в системе помимо вас.. Для этого есть команда who с различными ключами запуска.. например команда от вас-пользователя who -u или who -q покажет вам пользователей вашей системы залогиненных в данный момент помимо вас..

Неплохую подробную информацию даст запуск who -a

Это на всякий случай, вдруг кто-то перехватил управление.. человек или программа..

А дальше смотреть трафик программами tcpdump и trafshow... Можно использовать и netstat.. Запустите программу в "критический момент" и смотрите - какого типа трафик, от кого и куда...

А вы сразу за антивирус хватаетесь... Он в первую очередь для виндовых станций под управлением сервера на linux...
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
ИВК
сообщение 21.7.2010, 0:54
Сообщение #3


Профессионал
*******

Группа: Глоб. Модератор
Сообщений: 9988
Регистрация: 22.6.2009
Вставить ник
Цитата
Из: Онега
Пользователь №: 1352
Страна: Россия
Город: Не указан
Пол: Муж.



Репутация: 30


Цитата(Vova @ 20.7.2010, 23:46) *
И потом - интересно - на чем основывался ваш вывод?

Какой именно? Вывод о самом факте самовольных закачек следует из статистики Kppp, а то, что это связано с обновлениями ПО - это просто предположение было, а не вывод.

Цитата(Vova @ 20.7.2010, 23:46) *
Скриншот, а также логи соединения ppp или kppp неплохо было бы привести..

У меня в /var/log/ppp лишь пустой файл connect-errors; но это же не то. Какого рода информацию тут надо искать в логах ppp?

Цитата(Vova @ 20.7.2010, 23:46) *
Во-первых - не сейте панику, во-вторых - clamav не нужен, да он и не поможет выявить.. только рискуете лишиться ряда нужных файлов, если н так его запустите... это старая виндовая привычка..

Цитата(Vova @ 20.7.2010, 23:46) *
А вы сразу за антивирус хватаетесь... Он в первую очередь для виндовых станций под управлением сервера на linux...

Я его запускал лишь "для полноты картины" - версию о вирусе с самого начала считал маловероятной. А линуксовые вирусы ClamAV, наверное, должен находить не хуже, чем виндовые. И опасности потерять нужные файлы не было : удалять всё, что антивирус заподозрит - нет у меня такой привычки; тем более что карантин есть.

Цитата(Vova @ 20.7.2010, 23:46) *
Что нужно сделать.. Отследить количество пользователей, залогиненных в системе помимо вас.. Для этого есть команда who с различными ключами запуска.. например команда от вас-пользователя who -u или who -q покажет вам пользователей вашей системы залогиненных в данный момент помимо вас.......
А дальше смотреть трафик программами tcpdump и trafshow... Можно использовать и netstat.. Запустите программу в "критический момент" и смотрите - какого типа трафик, от кого и куда.

Так и сделаю. Видимо, завтра - когда следующий раз начнётся такое дело. Спасибо за совет!



--------------------
Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Vova
сообщение 21.7.2010, 1:11
Сообщение #4


Странник
**

Группа: Модератор раздела
Сообщений: 23
Регистрация: 9.7.2010
Вставить ник
Цитата
Из: Москва
Пользователь №: 1866
Страна: Россия
Город: Москва
Пол: Муж.



Репутация: 0


Цитата(IVK @ 21.7.2010, 0:54) *
Я его запускал лишь "для полноты картины" - версию о вирусе с самого начала считал маловероятной. А линуксовые вирусы ClamAV, наверное, должен находить не хуже, чем виндовые.


Линуксовых вирусов (не эксплоитов) практически нет.. только штук сто, написанных "на заре линуксовой эры", так сказать.. при всем старании наверное и не удастся их даже собрать и специально запустить в целях эксперимента..

Цитата
И опасности потерять нужные файлы не было : удалять всё, что антивирус заподозрит - нет у меня такой привычки; тем более что карантин есть.


тут все зависит от режима настройки clamav (klamav) - эвристический анализ, автоматическое удаление...

Цитата
Так и сделаю. Видимо, завтра - когда следующий раз начнётся такое дело. Спасибо за совет!


да, интересно, что же это может быть..

Расскажите - как у вас устроена сеть - может что-то идет от роутера (если есть), или у вас фоном запущен какой-то процесс или сервис..

Что у вас по chkconfig --list | grep 3:on (под рутом) ?

Сообщение отредактировал Vova - 21.7.2010, 1:13
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
ИВК
сообщение 21.7.2010, 1:31
Сообщение #5


Профессионал
*******

Группа: Глоб. Модератор
Сообщений: 9988
Регистрация: 22.6.2009
Вставить ник
Цитата
Из: Онега
Пользователь №: 1352
Страна: Россия
Город: Не указан
Пол: Муж.



Репутация: 30


Комп ни в какую локалку не входит, подключен к инету по gprs и через спутник (программа Sprint, она при запуске создаёт прокси-сервер 127.0.0.1:3128). gprs обычно (при работе в инете, установке софта из сети) работает как обратный канал при спутнике. Так вот, эта самовольная закачка идёт мимо прокси, чисто по gprs - почему версия о том, что дело связано с обновлениями ПО, сразу казалась мне сомнительной. Джаббер, правда, по gprs работает, но закачка бывала и тогда, когда он не запущен.
И, кстати, насчёт этого другого юзера, которого вроде бы может вычислить who - если его у меня просто нет, то он же не появится сам? По-моему, так, хотя тут я, прямо скажу, чайник.

Цитата(Vova @ 21.7.2010, 1:11) *
Что у вас по chkconfig --list | grep 3:on (под рутом) ?

Код
NetworkManager  0:off   1:off   2:on    3:on    4:on    5:on    6:off
acpid           0:off   1:off   2:on    3:on    4:on    5:on    6:off
anacron         0:off   1:off   2:on    3:on    4:on    5:on    6:off
autofs          0:off   1:off   2:off   3:on    4:on    5:on    6:off
avahi-daemon    0:off   1:off   2:off   3:on    4:on    5:on    6:off
bind            0:off   1:off   2:off   3:on    4:on    5:on    6:off
bluetooth       0:off   1:off   2:on    3:on    4:on    5:on    6:off
clamd           0:off   1:off   2:on    3:on    4:on    5:on    6:off
consolesaver    0:off   1:off   2:on    3:on    4:on    5:on    6:off
crond           0:off   1:off   2:on    3:on    4:on    5:on    6:off
cups            0:off   1:off   2:on    3:on    4:on    5:on    6:off
fbsetfont       0:off   1:off   2:off   3:on    4:on    5:on    6:off
gssd            0:off   1:off   2:off   3:on    4:on    5:on    6:off
haldaemon       0:off   1:off   2:off   3:on    4:on    5:on    6:off
idmapd          0:off   1:off   2:off   3:on    4:on    5:on    6:off
keytable        0:off   1:off   2:on    3:on    4:on    5:on    6:off
klogd           0:off   1:off   2:on    3:on    4:on    5:on    6:off
lvm2-monitor    0:off   1:on    2:on    3:on    4:on    5:on    6:off
mdadm           0:off   1:off   2:on    3:on    4:on    5:on    6:off
messagebus      0:off   1:off   2:off   3:on    4:on    5:on    6:off
netfs           0:off   1:off   2:off   3:on    4:on    5:on    6:off
network         0:off   1:off   2:on    3:on    4:on    5:on    6:off
nfs             0:off   1:off   2:on    3:on    4:on    5:on    6:off
portmap         0:off   1:off   2:on    3:on    4:on    5:on    6:off
postfix         0:off   1:off   2:on    3:on    4:on    5:on    6:off
random          0:off   1:off   2:on    3:on    4:on    5:on    6:off
smartd          0:off   1:off   2:on    3:on    4:on    5:on    6:off
sobexsrv        0:off   1:off   2:off   3:on    4:on    5:on    6:off
splash          0:off   1:off   2:on    3:on    4:on    5:on    6:off
sshd            0:off   1:off   2:on    3:on    4:on    5:on    6:off
sysfs           0:off   1:off   2:on    3:on    4:on    5:on    6:off
syslogd         0:off   1:off   2:on    3:on    4:on    5:on    6:off
udevd           0:off   1:off   2:on    3:on    4:on    5:on    6:off
udevd-final     0:off   1:off   2:on    3:on    4:on    5:on    6:off
update_wms      0:off   1:off   2:off   3:on    4:on    5:on    6:off
wine            0:off   1:off   2:off   3:on    4:off   5:on    6:off
x11presetdrv    0:off   1:off   2:off   3:on    4:on    5:on    6:off
xinetd          0:off   1:off   2:off   3:on    4:on    5:on    6:off




--------------------
Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Vova
сообщение 21.7.2010, 15:36
Сообщение #6


Странник
**

Группа: Модератор раздела
Сообщений: 23
Регистрация: 9.7.2010
Вставить ник
Цитата
Из: Москва
Пользователь №: 1866
Страна: Россия
Город: Москва
Пол: Муж.



Репутация: 0


Цитата(IVK @ 21.7.2010, 1:31) *
Комп ни в какую локалку не входит, подключен к инету по gprs и через спутник (программа Sprint, она при запуске создаёт прокси-сервер 127.0.0.1:3128). gprs обычно (при работе в инете, установке софта из сети) работает как обратный канал при спутнике. Так вот, эта самовольная закачка идёт мимо прокси, чисто по gprs - почему версия о том, что дело связано с обновлениями ПО, сразу казалась мне сомнительной. Джаббер, правда, по gprs работает, но закачка бывала и тогда, когда он не запущен.


Так.. интересно все-таки, почему вы сделали вывод насчет того, что закачка идет "мимо прокси" и "чисто по gprs"? Чем проверяли? Опишите ход ваших мыслей. Попытались ли использовать tcpdump, trafshow? Не думаете, что kppp может посчитать и ваш внутренний локальный трафик до вашего внутреннего прокси?

Цитата
И, кстати, насчёт этого другого юзера, которого вроде бы может вычислить who - если его у меня просто нет, то он же не появится сам? По-моему, так, хотя тут я, прямо скажу, чайник.


Он может появиться... Это может быть root (если вы запустили в терминале сессию рута, или если кто-то перехватил ваш пароль из инета и вошел, или если кто-то долбится к вам по ssh, может появиться левый исходящий трафик), это может быть какая-нибудь программа, запускающаяся по расписанию и имеющая свою учетную запись.. Скажем, cacheman какой-нибудь.. просто в момент, когда происходит этот подозрительный трафик, следует посмотреть - нет ли кого-нибудь кроме вас в системе сейчас..

Цитата
bind 0:off 1:off 2:off 3:on 4:on 5:on 6:off


Отключите bind - на рабочей станции не нужен.. chkconfig bind off и потом service bind stop (все от рута)

Цитата
bluetooth 0:off 1:off 2:on 3:on 4:on 5:on 6:off


Хм.. блютуз-сервер... то есть каждый к вам может пытаться долбиться по блютуз? Проверьте по /var/log/syslog, было ли что-нибудь сомнительное... Может отключить?

Цитата
clamd 0:off 1:off 2:on 3:on 4:on 5:on 6:off

отключите.. и заодно проверьте, не настроен ли ваш кламав на автоматическое скачивание обновлений... smile.gif Проверьте каталоги типа /etc/cron.*, их содержимое, нет ли в расписаниях запуска clamav и в каком качестве.. Повторюсь, clamav нужен только для линуксовых серверов, для проверки парка ведомых виндовых машин...

Цитата
gssd 0:off 1:off 2:off 3:on 4:on 5:on 6:off
idmapd 0:off 1:off 2:off 3:on 4:on 5:on 6:off


А это откуда у вас? Если это то, что я думаю, то отключить.. Проверьте по man gssd - что это у вас?
Вы вообще какой именно дистр качали и ставили себе? idmapd - name mapping daemon... аналогично предыдущему... Выясните что это. Отключите, если нет жизненной необходимости. Я бы точно отключил, у вас нет локальной сети.

Цитата
lvm2-monitor 0:off 1:on 2:on 3:on 4:on 5:on 6:off
mdadm 0:off 1:off 2:on 3:on 4:on 5:on 6:off


У вас сервер? У вас есть рейд? Нет? Отключить оба.

Цитата
nfs 0:off 1:off 2:on 3:on 4:on 5:on 6:off
portmap 0:off 1:off 2:on 3:on 4:on 5:on 6:off
postfix 0:off 1:off 2:on 3:on 4:on 5:on 6:off


Отключите все три... Скажем, я практически уверен, что почтовым сервером postfix вы не пользуетесь..

Цитата
sobexsrv 0:off 1:off 2:off 3:on 4:on 5:on 6:off


Что это? Выясните. man sobexsrv.. что это, нужно оно запущенное? Если связанное с протоколом OBEX - оставьте, если так необходимо.. Хотя, для чего вам именно OBEX-сервер?

Цитата
sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off


Немедленно отключить!!! Более чем уверен, что вы не соединяетесь со своим компом с другого места по ssh, да и iptables не настроен у вас наверняка... Потенциально возможна попытка внедрения. Проверьте /var/log/syslog на предмет этого.. найдите ту дату и время и ищите..

И напоследок, если у вас просто домашняя рабочая машинка без локальной сети (хотя и для локальной сети это не лишнее зачастую), сделайте следующее:

найдите файлы /etc/hosts.allow и /etc/hosts.deny

Приведите их к виду, как ниже:


hosts.allow

Код
#
# hosts.allow    This file describes the names of the hosts which are
#        allowed to use the local INET services, as decided
#        by the '/usr/sbin/tcpd' server.
#
ALL:127.0.0.1


Примечание: не забудьте после 127.0.0.1 перейти на новую строчку (Enter)

hosts.deny

Код
#
# hosts.deny    This file describes the names of the hosts which are
#        *not* allowed to use the local INET services, as decided
#        by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!
ALL:ALL


Аналогично, после второго ALL сделать переход на новую строку..

Можно после этого рестартить сеть или просто перегрузить комп...

Что это мы сделали? Мы запретили доступ к нашему компу всем, кроме localhost (127.0.0.1), который используется внутренними службами самого компа...

P.S. Какой дистрибутив Альта вы скачали и поставили себе?

Сообщение отредактировал Vova - 21.7.2010, 15:58
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
ИВК
сообщение 21.7.2010, 17:59
Сообщение #7


Профессионал
*******

Группа: Глоб. Модератор
Сообщений: 9988
Регистрация: 22.6.2009
Вставить ник
Цитата
Из: Онега
Пользователь №: 1352
Страна: Россия
Город: Не указан
Пол: Муж.



Репутация: 30


Цитата(Vova @ 21.7.2010, 15:36) *
Какой дистрибутив Альта вы скачали и поставили себе?

Альт 5.0 с КДЕ3 (сборка Шигорина). Правда, я его не качал (это практически невозможно при нашей связи), мне его Константин прислал на DVD.

Цитата(Vova @ 21.7.2010, 15:36) *
интересно все-таки, почему вы сделали вывод насчет того, что закачка идет "мимо прокси" и "чисто по gprs"? Чем проверяли?

По статистике Kppp видно. Когда закачка через прокси, Kppp работает только на передачу, поскольку приём идёт мимо него через тарелку и прокси Спринта. А тут Kppp показывает, что по gprs есть входящий трафик, и он намного больше исходящего.

Цитата(Vova @ 21.7.2010, 15:36) *
Попытались ли использовать tcpdump, trafshow?

Нет, я только что домой пришёл, не дождался ещё, когда начнётся в очередной раз это безобразие.

Цитата(Vova @ 21.7.2010, 15:36) *
Не думаете, что kppp может посчитать и ваш внутренний локальный трафик до вашего внутреннего прокси?

Не совсем понятно, о чём речь. По-моему, kppp связан лишь с мобильником и гоняет байты на него и с него, а прокси его не интересует - по крайней мере, тогда, когда речь о приёме со спутника. В любом случае, входящий поток (при работе через спутник) идёт со спутникового приёмника на прокси, а с него в браузер (или иную программу), и kppp тут остаётся в стороне. Так что если kppp показывает входящий трафик, то он определённо по gprs, насколько я понимаю.

Насчёт демонов - каюсь, упустил эту сторону вопроса, а собака вполне может быть тут зарыта. Как-то даже открыл тут тему про изгнание лишних демонов, но она не вызвала особого интереса. В этом Альте у меня демоны в основном те, что были по умолчанию. Что касается перечисленных вами, то некоторые вовсе не нужны, другие используются эпизодически, про третьих вовсе не знаю толком, что они делают. Отключу всех.

Цитата(Vova @ 21.7.2010, 15:36) *
блютуз-сервер... то есть каждый к вам может пытаться долбиться по блютуз?

Да некому вроде. Но отключу.

Цитата(Vova @ 21.7.2010, 15:36) *
заодно проверьте, не настроен ли ваш кламав на автоматическое скачивание обновлений...

Не настроен. Но clamd в автозапуске - ни к чему, не спорю; я ClamAV установил недавно, потребовался для одного дела, он своего демона в автозапуск прописал, а я это проглядел.

Цитата(Vova @ 21.7.2010, 15:36) *
Выясните. man sobexsrv.. что это, нужно оно запущенное? Если связанное с протоколом OBEX - оставьте, если так необходимо.. Хотя, для чего вам именно OBEX-сервер?

Да, связан с obex. Но это отдельная тема; по-моему, в пятом Альте с обменом по obex (через блютуз, во всяком случае) какие-то проблемы; выяснял это, отсюда у меня сответствующие ПО и демоны; но это сейчас неактуально. Отключу.

Насчёт прочих демонов и файлов /etc/hosts.allow и /etc/hosts.deny - сделаю, как вы советуете. ssh использую время от времени для обмена с другими компами, но постоянно не пользуюсь, так что тоже уберу его демона.
А cron - да, действительно, в /etc/cron.d.freechclam подозрительная запись :
Код
35 * * * *       root    /usr/bin/freshclam --quiet --daemon-notify

Надо поглядеть, что она значит; впрочем, cron'а тоже лучше вовсе выключить.

Подожду немного, когда самовольная закачка опять начнётся, запущу who, tcpdump, trafshow, а потом изгоню лишних демонов.

Сообщение отредактировал IVK - 21.7.2010, 18:40


--------------------
Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Vova
сообщение 21.7.2010, 19:52
Сообщение #8


Странник
**

Группа: Модератор раздела
Сообщений: 23
Регистрация: 9.7.2010
Вставить ник
Цитата
Из: Москва
Пользователь №: 1866
Страна: Россия
Город: Москва
Пол: Муж.



Репутация: 0


Цитата(IVK @ 21.7.2010, 17:59) *
[..]
А cron - да, действительно, в /etc/cron.d.freechclam подозрительная запись :
Код
35 * * * *       root    /usr/bin/freshclam --quiet --daemon-notify

Надо поглядеть, что она значит; впрочем, cron'а тоже лучше вовсе выключить.
[..]


freshclam в cron - это и есть автоматическое обновление антивирусных баз.... проверьте настройку freshclam - почему у вас этот трафик идет не по спутнику, а мимо него.. какой входящий интерфейс задействован при этом?

P.S. Сам крон не трогайте.. просто сделайте этот файлик в /etc/cron.d freshclam незапускаемым.. либо в покопайтесь в настройках clamav, и там отрегулируйте поведение freshclam.. Я бы вообще удалил clamav.. он у меня был установлен когда-то только на сервере для онлайн-проверки входящего трафика виндовых машин..

Сообщение отредактировал Vova - 21.7.2010, 20:10
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
ИВК
сообщение 21.7.2010, 19:58
Сообщение #9


Профессионал
*******

Группа: Глоб. Модератор
Сообщений: 9988
Регистрация: 22.6.2009
Вставить ник
Цитата
Из: Онега
Пользователь №: 1352
Страна: Россия
Город: Не указан
Пол: Муж.



Репутация: 30


Похоже, дело именно в этом. Сейчас у меня пошла эта закачка, я сделал service crond stop - и она прекратилась; может быть, случайно, но вряд ли. Насчёт настроек посмотрю.
ClamAV для самой системы совершенно не нужен; иногда требуется, потому что приходится иметь дело с виндовыми вирусами с чужих компов, флэшек, мобильников и т.п. Удалять его вряд ли есть необходимость.

Сообщение отредактировал IVK - 21.7.2010, 20:03


--------------------
Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
ИВК
сообщение 21.7.2010, 20:16
Сообщение #10


Профессионал
*******

Группа: Глоб. Модератор
Сообщений: 9988
Регистрация: 22.6.2009
Вставить ник
Цитата
Из: Онега
Пользователь №: 1352
Страна: Россия
Город: Не указан
Пол: Муж.



Репутация: 30


А прокси в настройках ClamAV не был указан. Я, помнится, просто взял антивирусные базы из четвёртого Альта; потом, правда, обновлял, но объём был небольшой, потому не обратил внимания, что качаются по gprs.


--------------------
Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Vova
сообщение 21.7.2010, 20:23
Сообщение #11


Странник
**

Группа: Модератор раздела
Сообщений: 23
Регистрация: 9.7.2010
Вставить ник
Цитата
Из: Москва
Пользователь №: 1866
Страна: Россия
Город: Москва
Пол: Муж.



Репутация: 0


Ну значит выяснили причину.. крон верните на место, запустите его, а в настройках clamav укажите прокси.. тогда все будет как надо..

Но советы по отключению сервисов и правке файлов hosts.allow и hosts.deny примите к сведению, равно как и применение who, tcpdump, trafshow, netstat..

Сообщение отредактировал Vova - 21.7.2010, 20:25
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
ИВК
сообщение 21.7.2010, 20:36
Сообщение #12


Профессионал
*******

Группа: Глоб. Модератор
Сообщений: 9988
Регистрация: 22.6.2009
Вставить ник
Цитата
Из: Онега
Пользователь №: 1352
Страна: Россия
Город: Не указан
Пол: Муж.



Репутация: 30


Так и сделаю. Владимир, спасибо! Без вас я, пожалуй, долго искал бы решение : кроном практически не пользуюсь и мне как-то не приходило в голову, что при отключенном автообновлении баз в настройках ClamAV они всё равно могут обновляться без разрешения smile.gif


--------------------
Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Vova
сообщение 21.7.2010, 23:44
Сообщение #13


Странник
**

Группа: Модератор раздела
Сообщений: 23
Регистрация: 9.7.2010
Вставить ник
Цитата
Из: Москва
Пользователь №: 1866
Страна: Россия
Город: Москва
Пол: Муж.



Репутация: 0


Цитата(IVK @ 21.7.2010, 20:36) *
Так и сделаю. Владимир, спасибо! Без вас я, пожалуй, долго искал бы решение : кроном практически не пользуюсь и мне как-то не приходило в голову, что при отключенном автообновлении баз в настройках ClamAV они всё равно могут обновляться без разрешения smile.gif

smile.gif

Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
robinzoid
сообщение 10.1.2013, 22:26
Сообщение #14


Профессионал
*******

Группа: Активный Пользователь
Сообщений: 2268
Регистрация: 14.9.2009
Вставить ник
Цитата
Из: Ленинград
Пользователь №: 1594
Страна: Россия
Город: Санкт-Петербург
Пол: Муж.



Репутация: 9


И через два года после завершения темы - та же самая картина. Вдруг замигали светодиоды роутера, будто я куда-то что-то... Сунулся с системный монитор, а там:



Про всех ещё не открытых приложениях. Ну только что запустился. И knemo говорит, будто я куда-то чего-то...



Чего-то раньше такого не наблюдалось... В таблице процессов ничего на 20% загрузки тоже нет... Что-ж я такое словил?


--------------------
El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
robinzoid
сообщение 10.1.2013, 22:49
Сообщение #15


Профессионал
*******

Группа: Активный Пользователь
Сообщений: 2268
Регистрация: 14.9.2009
Вставить ник
Цитата
Из: Ленинград
Пользователь №: 1594
Страна: Россия
Город: Санкт-Петербург
Пол: Муж.



Репутация: 9


Добавляю. Странно, но меня теперь двое?... Вроде и не пил, а двоюсь...

[uzer<>comp ~]$ who -q
uzer uzer
количество пользователей=2
[uzer<>comp ~]$ who -u
uzer :0 2013-01-10 22:32 ? 6016
uzer console 2013-01-10 22:32 дав 6016 (:0)
[uzer<>comp ~]$ who -a
2013-01-10 22:32 2048 id=si терминал=0 выход=0
загрузка системы 2013-01-10 22:32
уровень выполнения 5 2013-01-10 22:32 предыдущий=S
2013-01-10 22:32 3981 id=l5 терминал=0 выход=0
uzer ? :0 2013-01-10 22:32 ? 6016
uzer - console 2013-01-10 22:32 дав 6016 (:0)
ВХОД tty1 2013-01-10 22:32 6122 id=1
ВХОД tty6 2013-01-10 22:32 6127 id=6
ВХОД tty3 2013-01-10 22:32 6124 id=3
ВХОД tty5 2013-01-10 22:32 6126 id=5
ВХОД tty4 2013-01-10 22:32 6125 id=4
ВХОД tty2 2013-01-10 22:32 6123 id=2
[uzer<>comp ~]$


--------------------
El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
robinzoid
сообщение 11.1.2013, 10:23
Сообщение #16


Профессионал
*******

Группа: Активный Пользователь
Сообщений: 2268
Регистрация: 14.9.2009
Вставить ник
Цитата
Из: Ленинград
Пользователь №: 1594
Страна: Россия
Город: Санкт-Петербург
Пол: Муж.



Репутация: 9


А эти строчки имеют какое-нибудь значение по части происходящего??

Jan 10 22:32:50 comp- kdm: :0[5832]: pam_tcb(kde4-np:session): Session opened for uzer by (uid=0)
Jan 10 22:33:23 comp- polkitd(authority=local): Registered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session1 (system bus name :1.31 [/usr/lib/kde4/libexec/polkit-kde-authentication-agent-1], object path /org/kde/PolicyKit1/AuthenticationAgent, locale ru_RU.UTF-dirol.gif
Jan 10 22:39:15 comp polkitd(authority=local): Unregistered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session1 (system bus name :1.31, object path /org/kde/PolicyKit1/AuthenticationAgent, locale ru_RU.UTF-dirol.gif

Только смайлики сами появились. Там вообще-то восьмёрка стоит.

Сообщение отредактировал robinzoid - 11.1.2013, 10:24


--------------------
El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Drool
сообщение 11.1.2013, 10:28
Сообщение #17


Профессионал
*******

Группа: Пользователь
Сообщений: 1764
Регистрация: 28.7.2010
Вставить ник
Цитата
Из: Берислав, Херсонщина
Пользователь №: 1879
Страна: Украина
Город: Не указан
Пол: Муж.



Репутация: 9


apt-indicator и clamav стоят?


--------------------

Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
robinzoid
сообщение 11.1.2013, 10:43
Сообщение #18


Профессионал
*******

Группа: Активный Пользователь
Сообщений: 2268
Регистрация: 14.9.2009
Вставить ник
Цитата
Из: Ленинград
Пользователь №: 1594
Страна: Россия
Город: Санкт-Петербург
Пол: Муж.



Репутация: 9


Кламав не ставил. индикатор обновлений есть. (если речь про него...) Но он задолго до того всё, что надо проверил, галку вывесил, мол обновлений нет...


--------------------
El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Drool
сообщение 11.1.2013, 10:46
Сообщение #19


Профессионал
*******

Группа: Пользователь
Сообщений: 1764
Регистрация: 28.7.2010
Вставить ник
Цитата
Из: Берислав, Херсонщина
Пользователь №: 1879
Страна: Украина
Город: Не указан
Пол: Муж.



Репутация: 9


В официальных сборках clamav можно и не ставить - он из коробки идет wink.gif Не знаю во всех дистрах, или нет, но видел. Если его нет, а apt-индикатор отработал - тогда я бы начал с анализа
Код
# iftop -i /dev/eth0

ну или какой там сетевой интерфейс смотрит наружу.


--------------------

Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
robinzoid
сообщение 11.1.2013, 11:02
Сообщение #20


Профессионал
*******

Группа: Активный Пользователь
Сообщений: 2268
Регистрация: 14.9.2009
Вставить ник
Цитата
Из: Ленинград
Пользователь №: 1594
Страна: Россия
Город: Санкт-Петербург
Пол: Муж.



Репутация: 9


Посмотрел по Синаптику, всё, что касается Кламава - не установлено. То есть в списке присутствует, но в не стоит.
В данный момент трафик на нуле, никто никуда не стучится, но всё равно

~]# iftop -i /dev/eth0
-bash: iftop: команда не найдена

А по команде who ответ
uzer :0 2013-01-11 10:46
uzer console 2013-01-11 10:46 (:0)
это нормально? Так и должно быть, что "пользователей двое"?

Сообщение отредактировал robinzoid - 11.1.2013, 11:04


--------------------
El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Drool
сообщение 11.1.2013, 12:21
Сообщение #21


Профессионал
*******

Группа: Пользователь
Сообщений: 1764
Регистрация: 28.7.2010
Вставить ник
Цитата
Из: Берислав, Херсонщина
Пользователь №: 1879
Страна: Украина
Город: Не указан
Пол: Муж.



Репутация: 9


Цитата(robinzoid @ 11.1.2013, 9:02) *
# iftop -i /dev/eth0
-bash: iftop: команда не найдена

Код
apt-get install iftop


Цитата(robinzoid @ 11.1.2013, 9:02) *
А по команде who ответ
uzer :0 2013-01-11 10:46
uzer console 2013-01-11 10:46 (:0)
это нормально? Так и должно быть, что "пользователей двое"?
Трудно сказать. Вы в консоли отдельно не логинились? У меня
Код
$ who
drool    tty7         2012-12-10 08:35 (:0)
и все...


--------------------

Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
antares0
сообщение 11.1.2013, 13:49
Сообщение #22


Начинающий
*

Группа: Пользователь
Сообщений: 2
Регистрация: 22.9.2012
Вставить ник
Цитата
Пользователь №: 2324
Страна: Россия
Город: Не указан
Пол: Муж.



Репутация: 0


netstat --inet -p (от root, для отслеживания всего) покажет список лезущих в сеть.

netstat --inet -pl - список "неприбитых" сервисов смотрящих в сеть.

wireshark для тяжелых случаев.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Drool
сообщение 11.1.2013, 14:54
Сообщение #23


Профессионал
*******

Группа: Пользователь
Сообщений: 1764
Регистрация: 28.7.2010
Вставить ник
Цитата
Из: Берислав, Херсонщина
Пользователь №: 1879
Страна: Украина
Город: Не указан
Пол: Муж.



Репутация: 9


О! Вообще отлично.


--------------------

Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
robinzoid
сообщение 11.1.2013, 15:17
Сообщение #24


Профессионал
*******

Группа: Активный Пользователь
Сообщений: 2268
Регистрация: 14.9.2009
Вставить ник
Цитата
Из: Ленинград
Пользователь №: 1594
Страна: Россия
Город: Санкт-Петербург
Пол: Муж.



Репутация: 9


У, ё...



Полноразмер тут: http://img-fotki.yandex.ru/get/5632/390650...9b11886_XXL.jpg


--------------------
El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Drool
сообщение 11.1.2013, 15:48
Сообщение #25


Профессионал
*******

Группа: Пользователь
Сообщений: 1764
Регистрация: 28.7.2010
Вставить ник
Цитата
Из: Берислав, Херсонщина
Пользователь №: 1879
Страна: Украина
Город: Не указан
Пол: Муж.



Репутация: 9


Ну, конкретно на данном листинге ничего, генерящего траффик, я не вижу. Только единственный "подозреваемый" - торрент-клиент.


--------------------

Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
antares0
сообщение 11.1.2013, 15:55
Сообщение #26


Начинающий
*

Группа: Пользователь
Сообщений: 2
Регистрация: 22.9.2012
Вставить ник
Цитата
Пользователь №: 2324
Страна: Россия
Город: Не указан
Пол: Муж.



Репутация: 0


Ну первое что бросается в глаза smbd. Его в интернты пускать, себя не любить. Ktorrent, так и надо? Странно при включеных p2p удивляться прилетающему трафику.

про bind и sshd уже выше по теме было.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
robinzoid
сообщение 11.1.2013, 17:14
Сообщение #27


Профессионал
*******

Группа: Активный Пользователь
Сообщений: 2268
Регистрация: 14.9.2009
Вставить ник
Цитата
Из: Ленинград
Пользователь №: 1594
Страна: Россия
Город: Санкт-Петербург
Пол: Муж.



Репутация: 9


Ну да... Как в позавчерашней "Полицейской академии":

-Прошу прощения, сэр, Вы знаете миссис Спелдман?
-Да.


--------------------
El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Drool
сообщение 12.1.2013, 0:23
Сообщение #28


Профессионал
*******

Группа: Пользователь
Сообщений: 1764
Регистрация: 28.7.2010
Вставить ник
Цитата
Из: Берислав, Херсонщина
Пользователь №: 1879
Страна: Украина
Город: Не указан
Пол: Муж.



Репутация: 9


Цитата(antares0 @ 11.1.2013, 13:55) *
Ну первое что бросается в глаза smbd. Его в интернты пускать, себя не любить. Ktorrent, так и надо? Странно при включеных p2p удивляться прилетающему трафику.

про bind и sshd уже выше по теме было.

smbd и sshd сами по себе траффик не генерят, они только слушают порт. В представленном скриншоте только торрент-клиент может генерить траффик, даже если в нем нет ни единой закачки, он может просто запрашивать данные с DHT-узлов/о DHT-узлах. В бытность, когда я пользовал это поделие, то помнится, там в нижней строке статуса всегда была свежая информация о количестве обнаруженных DHT-узлов.


--------------------

Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
torabora
сообщение 12.1.2013, 17:53
Сообщение #29


Крупный специалист
*****

Группа: Пользователь
Сообщений: 385
Регистрация: 7.10.2010
Вставить ник
Цитата
Пользователь №: 1941
Страна: Россия
Город: Краснодар
Пол: Муж.



Репутация: 2


Цитата(antares0 @ 11.1.2013, 13:49) *
netstat --inet -p (от root, для отслеживания всего) покажет список лезущих в сеть.

netstat --inet -pl - список "неприбитых" сервисов смотрящих в сеть.

wireshark для тяжелых случаев.

Спасибо за полезные команды, не знал smile.gif wireshark конечно пользовался, а вот с nrtstat'ом не довелось работать. Дополнил статейку Бета-тестинг (полезные команды)
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
robinzoid
сообщение 14.1.2013, 15:38
Сообщение #30


Профессионал
*******

Группа: Активный Пользователь
Сообщений: 2268
Регистрация: 14.9.2009
Вставить ник
Цитата
Из: Ленинград
Пользователь №: 1594
Страна: Россия
Город: Санкт-Петербург
Пол: Муж.



Репутация: 9


Скорее всего трафик давал KTorrent.



Видимо однажды я забыл его запущенным на другом рабочем столе и выключил комп не закрыв его. При следующем включении компа он просыпался на панели управления и начинал раздачу. Вон как рейтинг поднял.



Но не со стола, а будучи неочевидно скрыт на панели. Потому и перепужал несказанно...

Наверно...

Сообщение отредактировал robinzoid - 14.1.2013, 15:41


--------------------
El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения

Ответить в эту темуОткрыть новую тему
( Гостей: 1 )
Пользователей: 0

 



RSS Текстовая версия Сейчас: 28.3.2024, 23:57