Альт без спросу лезет в Интернет |
Поделиться |
Здравствуйте, гость ( Вход | Регистрация )
Альт без спросу лезет в Интернет |
Поделиться |
20.7.2010, 22:27
Сообщение
#1
|
|
Профессионал Группа: Глоб. Модератор Сообщений: 10027 Регистрация: 22.6.2009 Вставить ник Цитата Из: Онега Пользователь №: 1352 Страна: Россия Город: Не указан Пол: Муж. Репутация: 30 |
У меня в пятом Альте (сборка Шигорина) в последние недели творится нечто странное. Судя по статистике Kppp, время от времени из Интернета (много раз в день) закачивается непонятно что, иногда мегабайтами. Я никогда не пользуюсь автоматическими обновлениями, везде их выключаю, где только увижу. Вообще-то подозревал, что проблема как-то связана с не очень корректным обновлением системы (было такое примерно тогда, когда всё это началось). Так что отключил все сетевые репозитории, а в Альтераторе на вкладке "Источники обновлений" выбрал пункт "неактивно". Не помогло. Проверил раздел пятого Альта ClamAV'ом - он ничего подозрительного не нашёл. Или какое-то недавно установленное ПО роется в инете? Но закачка может начаться даже тогда, когда никакие прикладные программы не запущены.
Так что же качается вопреки моему желанию? Чувствую себя, как в Windows. Правда, я пока перешёл на Альт-4 - в нём такой напасти нет. Поэтому лично для меня это пустяки. Но я ведь и другим людям ставлю Альт. И вот на другом компьютере, на который я поставил эту же версию Альта, обнаружилась та же самая самовольная закачка. А ведь у нас в деревне инет через gprs, оплата по трафику. И эти постоянные бессмысленные закачки означают простую вещь : если проблему не решить, то этот дистрибутив в наших краях можно использовать только как мультимедийно-игровой, для Интернета он просто не годится. Так что, четвёртый Альт вместо пятого ставить из-за этого? Это же несерьёзно. Кто подскажет, где ещё поискать инициатора этих закачек? Всё-таки Альт - не Windows, наверняка как-то можно выяснить, в чём дело. Сообщение отредактировал IVK - 20.7.2010, 22:32 -------------------- Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
|
|
|
20.7.2010, 23:46
Сообщение
#2
|
|
Странник Группа: Модератор раздела Сообщений: 23 Регистрация: 9.7.2010 Вставить ник Цитата Из: Москва Пользователь №: 1866 Страна: Россия Город: Москва Пол: Муж. Репутация: 0 |
У меня в пятом Альте (сборка Шигорина) в последние недели творится нечто странное. Судя по статистике Kppp, время от времени из Интернета (много раз в день) закачивается непонятно что, иногда мегабайтами. Автоматических обновлений нет в Альте, есть индикатор того, что доступны новые обновления.. И потом - интересно - на чем основывался ваш вывод? Скриншот, а также логи соединения ppp или kppp неплохо было бы привести.. Во-первых - не сейте панику, во-вторых - clamav не нужен, да он и не поможет выявить.. только рискуете лишиться ряда нужных файлов, если н так его запустите... это старая виндовая привычка.. Что нужно сделать.. Отследить количество пользователей, залогиненных в системе помимо вас.. Для этого есть команда who с различными ключами запуска.. например команда от вас-пользователя who -u или who -q покажет вам пользователей вашей системы залогиненных в данный момент помимо вас.. Неплохую подробную информацию даст запуск who -a Это на всякий случай, вдруг кто-то перехватил управление.. человек или программа.. А дальше смотреть трафик программами tcpdump и trafshow... Можно использовать и netstat.. Запустите программу в "критический момент" и смотрите - какого типа трафик, от кого и куда... А вы сразу за антивирус хватаетесь... Он в первую очередь для виндовых станций под управлением сервера на linux... |
|
|
21.7.2010, 0:54
Сообщение
#3
|
|
Профессионал Группа: Глоб. Модератор Сообщений: 10027 Регистрация: 22.6.2009 Вставить ник Цитата Из: Онега Пользователь №: 1352 Страна: Россия Город: Не указан Пол: Муж. Репутация: 30 |
И потом - интересно - на чем основывался ваш вывод? Какой именно? Вывод о самом факте самовольных закачек следует из статистики Kppp, а то, что это связано с обновлениями ПО - это просто предположение было, а не вывод. Скриншот, а также логи соединения ppp или kppp неплохо было бы привести.. У меня в /var/log/ppp лишь пустой файл connect-errors; но это же не то. Какого рода информацию тут надо искать в логах ppp? Во-первых - не сейте панику, во-вторых - clamav не нужен, да он и не поможет выявить.. только рискуете лишиться ряда нужных файлов, если н так его запустите... это старая виндовая привычка.. А вы сразу за антивирус хватаетесь... Он в первую очередь для виндовых станций под управлением сервера на linux... Я его запускал лишь "для полноты картины" - версию о вирусе с самого начала считал маловероятной. А линуксовые вирусы ClamAV, наверное, должен находить не хуже, чем виндовые. И опасности потерять нужные файлы не было : удалять всё, что антивирус заподозрит - нет у меня такой привычки; тем более что карантин есть. Что нужно сделать.. Отследить количество пользователей, залогиненных в системе помимо вас.. Для этого есть команда who с различными ключами запуска.. например команда от вас-пользователя who -u или who -q покажет вам пользователей вашей системы залогиненных в данный момент помимо вас....... А дальше смотреть трафик программами tcpdump и trafshow... Можно использовать и netstat.. Запустите программу в "критический момент" и смотрите - какого типа трафик, от кого и куда. Так и сделаю. Видимо, завтра - когда следующий раз начнётся такое дело. Спасибо за совет! -------------------- Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
|
|
|
21.7.2010, 1:11
Сообщение
#4
|
|
Странник Группа: Модератор раздела Сообщений: 23 Регистрация: 9.7.2010 Вставить ник Цитата Из: Москва Пользователь №: 1866 Страна: Россия Город: Москва Пол: Муж. Репутация: 0 |
Я его запускал лишь "для полноты картины" - версию о вирусе с самого начала считал маловероятной. А линуксовые вирусы ClamAV, наверное, должен находить не хуже, чем виндовые. Линуксовых вирусов (не эксплоитов) практически нет.. только штук сто, написанных "на заре линуксовой эры", так сказать.. при всем старании наверное и не удастся их даже собрать и специально запустить в целях эксперимента.. Цитата И опасности потерять нужные файлы не было : удалять всё, что антивирус заподозрит - нет у меня такой привычки; тем более что карантин есть. тут все зависит от режима настройки clamav (klamav) - эвристический анализ, автоматическое удаление... Цитата Так и сделаю. Видимо, завтра - когда следующий раз начнётся такое дело. Спасибо за совет! да, интересно, что же это может быть.. Расскажите - как у вас устроена сеть - может что-то идет от роутера (если есть), или у вас фоном запущен какой-то процесс или сервис.. Что у вас по chkconfig --list | grep 3:on (под рутом) ? Сообщение отредактировал Vova - 21.7.2010, 1:13 |
|
|
21.7.2010, 1:31
Сообщение
#5
|
|
Профессионал Группа: Глоб. Модератор Сообщений: 10027 Регистрация: 22.6.2009 Вставить ник Цитата Из: Онега Пользователь №: 1352 Страна: Россия Город: Не указан Пол: Муж. Репутация: 30 |
Комп ни в какую локалку не входит, подключен к инету по gprs и через спутник (программа Sprint, она при запуске создаёт прокси-сервер 127.0.0.1:3128). gprs обычно (при работе в инете, установке софта из сети) работает как обратный канал при спутнике. Так вот, эта самовольная закачка идёт мимо прокси, чисто по gprs - почему версия о том, что дело связано с обновлениями ПО, сразу казалась мне сомнительной. Джаббер, правда, по gprs работает, но закачка бывала и тогда, когда он не запущен.
И, кстати, насчёт этого другого юзера, которого вроде бы может вычислить who - если его у меня просто нет, то он же не появится сам? По-моему, так, хотя тут я, прямо скажу, чайник. Что у вас по chkconfig --list | grep 3:on (под рутом) ? Код NetworkManager 0:off 1:off 2:on 3:on 4:on 5:on 6:off acpid 0:off 1:off 2:on 3:on 4:on 5:on 6:off anacron 0:off 1:off 2:on 3:on 4:on 5:on 6:off autofs 0:off 1:off 2:off 3:on 4:on 5:on 6:off avahi-daemon 0:off 1:off 2:off 3:on 4:on 5:on 6:off bind 0:off 1:off 2:off 3:on 4:on 5:on 6:off bluetooth 0:off 1:off 2:on 3:on 4:on 5:on 6:off clamd 0:off 1:off 2:on 3:on 4:on 5:on 6:off consolesaver 0:off 1:off 2:on 3:on 4:on 5:on 6:off crond 0:off 1:off 2:on 3:on 4:on 5:on 6:off cups 0:off 1:off 2:on 3:on 4:on 5:on 6:off fbsetfont 0:off 1:off 2:off 3:on 4:on 5:on 6:off gssd 0:off 1:off 2:off 3:on 4:on 5:on 6:off haldaemon 0:off 1:off 2:off 3:on 4:on 5:on 6:off idmapd 0:off 1:off 2:off 3:on 4:on 5:on 6:off keytable 0:off 1:off 2:on 3:on 4:on 5:on 6:off klogd 0:off 1:off 2:on 3:on 4:on 5:on 6:off lvm2-monitor 0:off 1:on 2:on 3:on 4:on 5:on 6:off mdadm 0:off 1:off 2:on 3:on 4:on 5:on 6:off messagebus 0:off 1:off 2:off 3:on 4:on 5:on 6:off netfs 0:off 1:off 2:off 3:on 4:on 5:on 6:off network 0:off 1:off 2:on 3:on 4:on 5:on 6:off nfs 0:off 1:off 2:on 3:on 4:on 5:on 6:off portmap 0:off 1:off 2:on 3:on 4:on 5:on 6:off postfix 0:off 1:off 2:on 3:on 4:on 5:on 6:off random 0:off 1:off 2:on 3:on 4:on 5:on 6:off smartd 0:off 1:off 2:on 3:on 4:on 5:on 6:off sobexsrv 0:off 1:off 2:off 3:on 4:on 5:on 6:off splash 0:off 1:off 2:on 3:on 4:on 5:on 6:off sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off sysfs 0:off 1:off 2:on 3:on 4:on 5:on 6:off syslogd 0:off 1:off 2:on 3:on 4:on 5:on 6:off udevd 0:off 1:off 2:on 3:on 4:on 5:on 6:off udevd-final 0:off 1:off 2:on 3:on 4:on 5:on 6:off update_wms 0:off 1:off 2:off 3:on 4:on 5:on 6:off wine 0:off 1:off 2:off 3:on 4:off 5:on 6:off x11presetdrv 0:off 1:off 2:off 3:on 4:on 5:on 6:off xinetd 0:off 1:off 2:off 3:on 4:on 5:on 6:off -------------------- Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
|
|
|
21.7.2010, 15:36
Сообщение
#6
|
|
Странник Группа: Модератор раздела Сообщений: 23 Регистрация: 9.7.2010 Вставить ник Цитата Из: Москва Пользователь №: 1866 Страна: Россия Город: Москва Пол: Муж. Репутация: 0 |
Комп ни в какую локалку не входит, подключен к инету по gprs и через спутник (программа Sprint, она при запуске создаёт прокси-сервер 127.0.0.1:3128). gprs обычно (при работе в инете, установке софта из сети) работает как обратный канал при спутнике. Так вот, эта самовольная закачка идёт мимо прокси, чисто по gprs - почему версия о том, что дело связано с обновлениями ПО, сразу казалась мне сомнительной. Джаббер, правда, по gprs работает, но закачка бывала и тогда, когда он не запущен. Так.. интересно все-таки, почему вы сделали вывод насчет того, что закачка идет "мимо прокси" и "чисто по gprs"? Чем проверяли? Опишите ход ваших мыслей. Попытались ли использовать tcpdump, trafshow? Не думаете, что kppp может посчитать и ваш внутренний локальный трафик до вашего внутреннего прокси? Цитата И, кстати, насчёт этого другого юзера, которого вроде бы может вычислить who - если его у меня просто нет, то он же не появится сам? По-моему, так, хотя тут я, прямо скажу, чайник. Он может появиться... Это может быть root (если вы запустили в терминале сессию рута, или если кто-то перехватил ваш пароль из инета и вошел, или если кто-то долбится к вам по ssh, может появиться левый исходящий трафик), это может быть какая-нибудь программа, запускающаяся по расписанию и имеющая свою учетную запись.. Скажем, cacheman какой-нибудь.. просто в момент, когда происходит этот подозрительный трафик, следует посмотреть - нет ли кого-нибудь кроме вас в системе сейчас.. Цитата bind 0:off 1:off 2:off 3:on 4:on 5:on 6:off Отключите bind - на рабочей станции не нужен.. chkconfig bind off и потом service bind stop (все от рута) Цитата bluetooth 0:off 1:off 2:on 3:on 4:on 5:on 6:off Хм.. блютуз-сервер... то есть каждый к вам может пытаться долбиться по блютуз? Проверьте по /var/log/syslog, было ли что-нибудь сомнительное... Может отключить? Цитата clamd 0:off 1:off 2:on 3:on 4:on 5:on 6:off отключите.. и заодно проверьте, не настроен ли ваш кламав на автоматическое скачивание обновлений... Проверьте каталоги типа /etc/cron.*, их содержимое, нет ли в расписаниях запуска clamav и в каком качестве.. Повторюсь, clamav нужен только для линуксовых серверов, для проверки парка ведомых виндовых машин... Цитата gssd 0:off 1:off 2:off 3:on 4:on 5:on 6:off idmapd 0:off 1:off 2:off 3:on 4:on 5:on 6:off А это откуда у вас? Если это то, что я думаю, то отключить.. Проверьте по man gssd - что это у вас? Вы вообще какой именно дистр качали и ставили себе? idmapd - name mapping daemon... аналогично предыдущему... Выясните что это. Отключите, если нет жизненной необходимости. Я бы точно отключил, у вас нет локальной сети. Цитата lvm2-monitor 0:off 1:on 2:on 3:on 4:on 5:on 6:off mdadm 0:off 1:off 2:on 3:on 4:on 5:on 6:off У вас сервер? У вас есть рейд? Нет? Отключить оба. Цитата nfs 0:off 1:off 2:on 3:on 4:on 5:on 6:off portmap 0:off 1:off 2:on 3:on 4:on 5:on 6:off postfix 0:off 1:off 2:on 3:on 4:on 5:on 6:off Отключите все три... Скажем, я практически уверен, что почтовым сервером postfix вы не пользуетесь.. Цитата sobexsrv 0:off 1:off 2:off 3:on 4:on 5:on 6:off Что это? Выясните. man sobexsrv.. что это, нужно оно запущенное? Если связанное с протоколом OBEX - оставьте, если так необходимо.. Хотя, для чего вам именно OBEX-сервер? Цитата sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off Немедленно отключить!!! Более чем уверен, что вы не соединяетесь со своим компом с другого места по ssh, да и iptables не настроен у вас наверняка... Потенциально возможна попытка внедрения. Проверьте /var/log/syslog на предмет этого.. найдите ту дату и время и ищите.. И напоследок, если у вас просто домашняя рабочая машинка без локальной сети (хотя и для локальной сети это не лишнее зачастую), сделайте следующее: найдите файлы /etc/hosts.allow и /etc/hosts.deny Приведите их к виду, как ниже: hosts.allow Код # # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # ALL:127.0.0.1 Примечание: не забудьте после 127.0.0.1 перейти на новую строчку (Enter) hosts.deny Код # # hosts.deny This file describes the names of the hosts which are # *not* allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # # The portmap line is redundant, but it is left to remind you that # the new secure portmap uses hosts.deny and hosts.allow. In particular # you should know that NFS uses portmap! ALL:ALL Аналогично, после второго ALL сделать переход на новую строку.. Можно после этого рестартить сеть или просто перегрузить комп... Что это мы сделали? Мы запретили доступ к нашему компу всем, кроме localhost (127.0.0.1), который используется внутренними службами самого компа... P.S. Какой дистрибутив Альта вы скачали и поставили себе? Сообщение отредактировал Vova - 21.7.2010, 15:58 |
|
|
21.7.2010, 17:59
Сообщение
#7
|
|
Профессионал Группа: Глоб. Модератор Сообщений: 10027 Регистрация: 22.6.2009 Вставить ник Цитата Из: Онега Пользователь №: 1352 Страна: Россия Город: Не указан Пол: Муж. Репутация: 30 |
Какой дистрибутив Альта вы скачали и поставили себе? Альт 5.0 с КДЕ3 (сборка Шигорина). Правда, я его не качал (это практически невозможно при нашей связи), мне его Константин прислал на DVD. интересно все-таки, почему вы сделали вывод насчет того, что закачка идет "мимо прокси" и "чисто по gprs"? Чем проверяли? По статистике Kppp видно. Когда закачка через прокси, Kppp работает только на передачу, поскольку приём идёт мимо него через тарелку и прокси Спринта. А тут Kppp показывает, что по gprs есть входящий трафик, и он намного больше исходящего. Попытались ли использовать tcpdump, trafshow? Нет, я только что домой пришёл, не дождался ещё, когда начнётся в очередной раз это безобразие. Не думаете, что kppp может посчитать и ваш внутренний локальный трафик до вашего внутреннего прокси? Не совсем понятно, о чём речь. По-моему, kppp связан лишь с мобильником и гоняет байты на него и с него, а прокси его не интересует - по крайней мере, тогда, когда речь о приёме со спутника. В любом случае, входящий поток (при работе через спутник) идёт со спутникового приёмника на прокси, а с него в браузер (или иную программу), и kppp тут остаётся в стороне. Так что если kppp показывает входящий трафик, то он определённо по gprs, насколько я понимаю. Насчёт демонов - каюсь, упустил эту сторону вопроса, а собака вполне может быть тут зарыта. Как-то даже открыл тут тему про изгнание лишних демонов, но она не вызвала особого интереса. В этом Альте у меня демоны в основном те, что были по умолчанию. Что касается перечисленных вами, то некоторые вовсе не нужны, другие используются эпизодически, про третьих вовсе не знаю толком, что они делают. Отключу всех. блютуз-сервер... то есть каждый к вам может пытаться долбиться по блютуз? Да некому вроде. Но отключу. заодно проверьте, не настроен ли ваш кламав на автоматическое скачивание обновлений... Не настроен. Но clamd в автозапуске - ни к чему, не спорю; я ClamAV установил недавно, потребовался для одного дела, он своего демона в автозапуск прописал, а я это проглядел. Выясните. man sobexsrv.. что это, нужно оно запущенное? Если связанное с протоколом OBEX - оставьте, если так необходимо.. Хотя, для чего вам именно OBEX-сервер? Да, связан с obex. Но это отдельная тема; по-моему, в пятом Альте с обменом по obex (через блютуз, во всяком случае) какие-то проблемы; выяснял это, отсюда у меня сответствующие ПО и демоны; но это сейчас неактуально. Отключу. Насчёт прочих демонов и файлов /etc/hosts.allow и /etc/hosts.deny - сделаю, как вы советуете. ssh использую время от времени для обмена с другими компами, но постоянно не пользуюсь, так что тоже уберу его демона. А cron - да, действительно, в /etc/cron.d.freechclam подозрительная запись : Код 35 * * * * root /usr/bin/freshclam --quiet --daemon-notify Надо поглядеть, что она значит; впрочем, cron'а тоже лучше вовсе выключить. Подожду немного, когда самовольная закачка опять начнётся, запущу who, tcpdump, trafshow, а потом изгоню лишних демонов. Сообщение отредактировал IVK - 21.7.2010, 18:40 -------------------- Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
|
|
|
21.7.2010, 19:52
Сообщение
#8
|
|
Странник Группа: Модератор раздела Сообщений: 23 Регистрация: 9.7.2010 Вставить ник Цитата Из: Москва Пользователь №: 1866 Страна: Россия Город: Москва Пол: Муж. Репутация: 0 |
[..] А cron - да, действительно, в /etc/cron.d.freechclam подозрительная запись : Код 35 * * * * root /usr/bin/freshclam --quiet --daemon-notify Надо поглядеть, что она значит; впрочем, cron'а тоже лучше вовсе выключить. [..] freshclam в cron - это и есть автоматическое обновление антивирусных баз.... проверьте настройку freshclam - почему у вас этот трафик идет не по спутнику, а мимо него.. какой входящий интерфейс задействован при этом? P.S. Сам крон не трогайте.. просто сделайте этот файлик в /etc/cron.d freshclam незапускаемым.. либо в покопайтесь в настройках clamav, и там отрегулируйте поведение freshclam.. Я бы вообще удалил clamav.. он у меня был установлен когда-то только на сервере для онлайн-проверки входящего трафика виндовых машин.. Сообщение отредактировал Vova - 21.7.2010, 20:10 |
|
|
21.7.2010, 19:58
Сообщение
#9
|
|
Профессионал Группа: Глоб. Модератор Сообщений: 10027 Регистрация: 22.6.2009 Вставить ник Цитата Из: Онега Пользователь №: 1352 Страна: Россия Город: Не указан Пол: Муж. Репутация: 30 |
Похоже, дело именно в этом. Сейчас у меня пошла эта закачка, я сделал service crond stop - и она прекратилась; может быть, случайно, но вряд ли. Насчёт настроек посмотрю.
ClamAV для самой системы совершенно не нужен; иногда требуется, потому что приходится иметь дело с виндовыми вирусами с чужих компов, флэшек, мобильников и т.п. Удалять его вряд ли есть необходимость. Сообщение отредактировал IVK - 21.7.2010, 20:03 -------------------- Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
|
|
|
21.7.2010, 20:16
Сообщение
#10
|
|
Профессионал Группа: Глоб. Модератор Сообщений: 10027 Регистрация: 22.6.2009 Вставить ник Цитата Из: Онега Пользователь №: 1352 Страна: Россия Город: Не указан Пол: Муж. Репутация: 30 |
А прокси в настройках ClamAV не был указан. Я, помнится, просто взял антивирусные базы из четвёртого Альта; потом, правда, обновлял, но объём был небольшой, потому не обратил внимания, что качаются по gprs.
-------------------- Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
|
|
|
21.7.2010, 20:23
Сообщение
#11
|
|
Странник Группа: Модератор раздела Сообщений: 23 Регистрация: 9.7.2010 Вставить ник Цитата Из: Москва Пользователь №: 1866 Страна: Россия Город: Москва Пол: Муж. Репутация: 0 |
Ну значит выяснили причину.. крон верните на место, запустите его, а в настройках clamav укажите прокси.. тогда все будет как надо..
Но советы по отключению сервисов и правке файлов hosts.allow и hosts.deny примите к сведению, равно как и применение who, tcpdump, trafshow, netstat.. Сообщение отредактировал Vova - 21.7.2010, 20:25 |
|
|
21.7.2010, 20:36
Сообщение
#12
|
|
Профессионал Группа: Глоб. Модератор Сообщений: 10027 Регистрация: 22.6.2009 Вставить ник Цитата Из: Онега Пользователь №: 1352 Страна: Россия Город: Не указан Пол: Муж. Репутация: 30 |
Так и сделаю. Владимир, спасибо! Без вас я, пожалуй, долго искал бы решение : кроном практически не пользуюсь и мне как-то не приходило в голову, что при отключенном автообновлении баз в настройках ClamAV они всё равно могут обновляться без разрешения
-------------------- Не пью, не курю, не смотрю телевизор, не пользуюсь Windows
|
|
|
21.7.2010, 23:44
Сообщение
#13
|
|
Странник Группа: Модератор раздела Сообщений: 23 Регистрация: 9.7.2010 Вставить ник Цитата Из: Москва Пользователь №: 1866 Страна: Россия Город: Москва Пол: Муж. Репутация: 0 |
|
|
|
10.1.2013, 22:26
Сообщение
#14
|
|
Профессионал Группа: Активный Пользователь Сообщений: 2268 Регистрация: 14.9.2009 Вставить ник Цитата Из: Ленинград Пользователь №: 1594 Страна: Россия Город: Санкт-Петербург Пол: Муж. Репутация: 9 |
И через два года после завершения темы - та же самая картина. Вдруг замигали светодиоды роутера, будто я куда-то что-то... Сунулся с системный монитор, а там:
Про всех ещё не открытых приложениях. Ну только что запустился. И knemo говорит, будто я куда-то чего-то... Чего-то раньше такого не наблюдалось... В таблице процессов ничего на 20% загрузки тоже нет... Что-ж я такое словил? -------------------- El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
|
|
|
10.1.2013, 22:49
Сообщение
#15
|
|
Профессионал Группа: Активный Пользователь Сообщений: 2268 Регистрация: 14.9.2009 Вставить ник Цитата Из: Ленинград Пользователь №: 1594 Страна: Россия Город: Санкт-Петербург Пол: Муж. Репутация: 9 |
Добавляю. Странно, но меня теперь двое?... Вроде и не пил, а двоюсь...
[uzer<>comp ~]$ who -q uzer uzer количество пользователей=2 [uzer<>comp ~]$ who -u uzer :0 2013-01-10 22:32 ? 6016 uzer console 2013-01-10 22:32 дав 6016 (:0) [uzer<>comp ~]$ who -a 2013-01-10 22:32 2048 id=si терминал=0 выход=0 загрузка системы 2013-01-10 22:32 уровень выполнения 5 2013-01-10 22:32 предыдущий=S 2013-01-10 22:32 3981 id=l5 терминал=0 выход=0 uzer ? :0 2013-01-10 22:32 ? 6016 uzer - console 2013-01-10 22:32 дав 6016 (:0) ВХОД tty1 2013-01-10 22:32 6122 id=1 ВХОД tty6 2013-01-10 22:32 6127 id=6 ВХОД tty3 2013-01-10 22:32 6124 id=3 ВХОД tty5 2013-01-10 22:32 6126 id=5 ВХОД tty4 2013-01-10 22:32 6125 id=4 ВХОД tty2 2013-01-10 22:32 6123 id=2 [uzer<>comp ~]$ -------------------- El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
|
|
|
11.1.2013, 10:23
Сообщение
#16
|
|
Профессионал Группа: Активный Пользователь Сообщений: 2268 Регистрация: 14.9.2009 Вставить ник Цитата Из: Ленинград Пользователь №: 1594 Страна: Россия Город: Санкт-Петербург Пол: Муж. Репутация: 9 |
А эти строчки имеют какое-нибудь значение по части происходящего??
Jan 10 22:32:50 comp- kdm: :0[5832]: pam_tcb(kde4-np:session): Session opened for uzer by (uid=0) Jan 10 22:33:23 comp- polkitd(authority=local): Registered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session1 (system bus name :1.31 [/usr/lib/kde4/libexec/polkit-kde-authentication-agent-1], object path /org/kde/PolicyKit1/AuthenticationAgent, locale ru_RU.UTF- Jan 10 22:39:15 comp polkitd(authority=local): Unregistered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session1 (system bus name :1.31, object path /org/kde/PolicyKit1/AuthenticationAgent, locale ru_RU.UTF- Только смайлики сами появились. Там вообще-то восьмёрка стоит. Сообщение отредактировал robinzoid - 11.1.2013, 10:24 -------------------- El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
|
|
|
11.1.2013, 10:28
Сообщение
#17
|
|
Профессионал Группа: Пользователь Сообщений: 1764 Регистрация: 28.7.2010 Вставить ник Цитата Из: Берислав, Херсонщина Пользователь №: 1879 Страна: Украина Город: Не указан Пол: Муж. Репутация: 9 |
apt-indicator и clamav стоят?
-------------------- |
|
|
11.1.2013, 10:43
Сообщение
#18
|
|
Профессионал Группа: Активный Пользователь Сообщений: 2268 Регистрация: 14.9.2009 Вставить ник Цитата Из: Ленинград Пользователь №: 1594 Страна: Россия Город: Санкт-Петербург Пол: Муж. Репутация: 9 |
Кламав не ставил. индикатор обновлений есть. (если речь про него...) Но он задолго до того всё, что надо проверил, галку вывесил, мол обновлений нет...
-------------------- El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
|
|
|
11.1.2013, 10:46
Сообщение
#19
|
|
Профессионал Группа: Пользователь Сообщений: 1764 Регистрация: 28.7.2010 Вставить ник Цитата Из: Берислав, Херсонщина Пользователь №: 1879 Страна: Украина Город: Не указан Пол: Муж. Репутация: 9 |
В официальных сборках clamav можно и не ставить - он из коробки идет Не знаю во всех дистрах, или нет, но видел. Если его нет, а apt-индикатор отработал - тогда я бы начал с анализа
Код # iftop -i /dev/eth0 ну или какой там сетевой интерфейс смотрит наружу. -------------------- |
|
|
11.1.2013, 11:02
Сообщение
#20
|
|
Профессионал Группа: Активный Пользователь Сообщений: 2268 Регистрация: 14.9.2009 Вставить ник Цитата Из: Ленинград Пользователь №: 1594 Страна: Россия Город: Санкт-Петербург Пол: Муж. Репутация: 9 |
Посмотрел по Синаптику, всё, что касается Кламава - не установлено. То есть в списке присутствует, но в не стоит.
В данный момент трафик на нуле, никто никуда не стучится, но всё равно ~]# iftop -i /dev/eth0 -bash: iftop: команда не найдена А по команде who ответ uzer :0 2013-01-11 10:46 uzer console 2013-01-11 10:46 (:0) это нормально? Так и должно быть, что "пользователей двое"? Сообщение отредактировал robinzoid - 11.1.2013, 11:04 -------------------- El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
|
|
|
11.1.2013, 12:21
Сообщение
#21
|
|
Профессионал Группа: Пользователь Сообщений: 1764 Регистрация: 28.7.2010 Вставить ник Цитата Из: Берислав, Херсонщина Пользователь №: 1879 Страна: Украина Город: Не указан Пол: Муж. Репутация: 9 |
# iftop -i /dev/eth0 -bash: iftop: команда не найдена Код apt-get install iftop А по команде who ответ Трудно сказать. Вы в консоли отдельно не логинились? У меняuzer :0 2013-01-11 10:46 uzer console 2013-01-11 10:46 (:0) это нормально? Так и должно быть, что "пользователей двое"? Код $ who и все...
drool tty7 2012-12-10 08:35 (:0) -------------------- |
|
|
11.1.2013, 13:49
Сообщение
#22
|
|
Начинающий Группа: Пользователь Сообщений: 2 Регистрация: 22.9.2012 Вставить ник Цитата Пользователь №: 2324 Страна: Россия Город: Не указан Пол: Муж. Репутация: 0 |
netstat --inet -p (от root, для отслеживания всего) покажет список лезущих в сеть.
netstat --inet -pl - список "неприбитых" сервисов смотрящих в сеть. wireshark для тяжелых случаев. |
|
|
11.1.2013, 14:54
Сообщение
#23
|
|
Профессионал Группа: Пользователь Сообщений: 1764 Регистрация: 28.7.2010 Вставить ник Цитата Из: Берислав, Херсонщина Пользователь №: 1879 Страна: Украина Город: Не указан Пол: Муж. Репутация: 9 |
О! Вообще отлично.
-------------------- |
|
|
11.1.2013, 15:17
Сообщение
#24
|
|
Профессионал Группа: Активный Пользователь Сообщений: 2268 Регистрация: 14.9.2009 Вставить ник Цитата Из: Ленинград Пользователь №: 1594 Страна: Россия Город: Санкт-Петербург Пол: Муж. Репутация: 9 |
-------------------- El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
|
|
|
11.1.2013, 15:48
Сообщение
#25
|
|
Профессионал Группа: Пользователь Сообщений: 1764 Регистрация: 28.7.2010 Вставить ник Цитата Из: Берислав, Херсонщина Пользователь №: 1879 Страна: Украина Город: Не указан Пол: Муж. Репутация: 9 |
Ну, конкретно на данном листинге ничего, генерящего траффик, я не вижу. Только единственный "подозреваемый" - торрент-клиент.
-------------------- |
|
|
11.1.2013, 15:55
Сообщение
#26
|
|
Начинающий Группа: Пользователь Сообщений: 2 Регистрация: 22.9.2012 Вставить ник Цитата Пользователь №: 2324 Страна: Россия Город: Не указан Пол: Муж. Репутация: 0 |
Ну первое что бросается в глаза smbd. Его в интернты пускать, себя не любить. Ktorrent, так и надо? Странно при включеных p2p удивляться прилетающему трафику.
про bind и sshd уже выше по теме было. |
|
|
11.1.2013, 17:14
Сообщение
#27
|
|
Профессионал Группа: Активный Пользователь Сообщений: 2268 Регистрация: 14.9.2009 Вставить ник Цитата Из: Ленинград Пользователь №: 1594 Страна: Россия Город: Санкт-Петербург Пол: Муж. Репутация: 9 |
Ну да... Как в позавчерашней "Полицейской академии":
-Прошу прощения, сэр, Вы знаете миссис Спелдман? -Да. -------------------- El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
|
|
|
12.1.2013, 0:23
Сообщение
#28
|
|
Профессионал Группа: Пользователь Сообщений: 1764 Регистрация: 28.7.2010 Вставить ник Цитата Из: Берислав, Херсонщина Пользователь №: 1879 Страна: Украина Город: Не указан Пол: Муж. Репутация: 9 |
Ну первое что бросается в глаза smbd. Его в интернты пускать, себя не любить. Ktorrent, так и надо? Странно при включеных p2p удивляться прилетающему трафику. про bind и sshd уже выше по теме было. smbd и sshd сами по себе траффик не генерят, они только слушают порт. В представленном скриншоте только торрент-клиент может генерить траффик, даже если в нем нет ни единой закачки, он может просто запрашивать данные с DHT-узлов/о DHT-узлах. В бытность, когда я пользовал это поделие, то помнится, там в нижней строке статуса всегда была свежая информация о количестве обнаруженных DHT-узлов. -------------------- |
|
|
12.1.2013, 17:53
Сообщение
#29
|
|
Крупный специалист Группа: Пользователь Сообщений: 385 Регистрация: 7.10.2010 Вставить ник Цитата Пользователь №: 1941 Страна: Россия Город: Краснодар Пол: Муж. Репутация: 2 |
netstat --inet -p (от root, для отслеживания всего) покажет список лезущих в сеть. netstat --inet -pl - список "неприбитых" сервисов смотрящих в сеть. wireshark для тяжелых случаев. Спасибо за полезные команды, не знал wireshark конечно пользовался, а вот с nrtstat'ом не довелось работать. Дополнил статейку Бета-тестинг (полезные команды) |
|
|
14.1.2013, 15:38
Сообщение
#30
|
|
Профессионал Группа: Активный Пользователь Сообщений: 2268 Регистрация: 14.9.2009 Вставить ник Цитата Из: Ленинград Пользователь №: 1594 Страна: Россия Город: Санкт-Петербург Пол: Муж. Репутация: 9 |
Скорее всего трафик давал KTorrent.
Видимо однажды я забыл его запущенным на другом рабочем столе и выключил комп не закрыв его. При следующем включении компа он просыпался на панели управления и начинал раздачу. Вон как рейтинг поднял. Но не со стола, а будучи неочевидно скрыт на панели. Потому и перепужал несказанно... Наверно... Сообщение отредактировал robinzoid - 14.1.2013, 15:41 -------------------- El pueblo unido jamás será vencido! Если чего, я на http://robinzoid.ru/
|
|
|
Текстовая версия | Сейчас: 18.4.2024, 16:04 | |