Debian льет ночью инфу в инет

Автор Dass, 23 октября 2015, 10:56:23

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Печать
Вниз Страницы1
Действия пользователя

Dass

23 октября 2015, 10:56:23
Здравствуйте!

Настроил Debian 8 со Squid3 с доменной аутентификацией.

Смотря по логам vnstat ночью Debian что-то куда то льет в инет. Причем точно сам, а не юзеры, т.к. по локальному интерфейсу трафика нет почти.
Как мне выяснить куда он там льет и отключить это?

Заранее спасибо за советы.

Malaheenee

#1
23 октября 2015, 13:23:24
Цитата: Dass от 23 октября 2015, 10:56:23Настроил Debian 8 со Squid3 с доменной аутентификацией.
Цитата: Dass от 23 октября 2015, 10:56:23Squid3
В вопросе всегда скрыта часть ответа.
Все мы где-то, когда-то и в чем-то были новичками.

Dass

#2
23 октября 2015, 16:16:06 Последнее редактирование: 23 октября 2015, 16:19:36 от Dass
И что он льет в это время? со стороны локальной сети трафика почти нет.

sidbar

#3
23 октября 2015, 18:18:23
Devuan GNU/Linux

Malaheenee

#4
24 октября 2015, 01:06:34
Цитата: Dass от 23 октября 2015, 16:16:06что он льет в это время? со стороны локальной сети трафика почти нет.
Вы не так поняли. Заверните трафик с сервера тоже на squid:
Код Выделить
iptables -t nat -A OUTPUT -m owner --uid-owner 13 -j ACCEPT
iptables -t nat -A OUTPUT -o eth0 -p tcp -m multiport --dport 443 -j REDIRECT --to-ports 8081
iptables -t nat -A OUTPUT -o eth0 -p tcp -m multiport --dport 80 -j REDIRECT --to-ports 8080
И читайте логи.
Все мы где-то, когда-то и в чем-то были новичками.

ihammers

#5
24 октября 2015, 09:09:58
Может какой-то начной скрипт пользователя отрабатывает?
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

Dass

#6
25 октября 2015, 13:21:13
Поймал кто льет инфу в инет, подозрение, что это вирус. Имя странное, после killall появляется другой процесс с рандомным именем и льет на китайский ip что-то. Есть консольный антивирь под linux? Gnome или KDE не ставил, т.к. серверу это ни к чему.

Malaheenee

#7
25 октября 2015, 14:35:07
Дык clamav, только сомнительно как-то.
Вы хоть напишите как поймали, имя процесса и т.д.
Все мы где-то, когда-то и в чем-то были новичками.

CoolAller

#8
18 ноября 2015, 19:21:30 Последнее редактирование: 18 ноября 2015, 19:34:59 от CoolAller
Присоединяюсь, опишите имя процесса и как вы его поймали?

Запустите проверку rkhunter (Description: rootkit, backdoor, sniffer and exploit scanner).

Код Выделить
sudo apt-get install rkhunter
После установки необходимо обновить базу данных сигнатур командой:
Код Выделить
sudo rkhunter --update
Чтобы запустить проверку операционной системы:
Код Выделить
sudo rkhunter --check
По умолчанию после каждого теста нужно нажимать любую клавишу для того, чтобы успеть ознакомится с промежуточными результатами, если этого не требуется, то можно запустить проверку с ключом --sk:
Код Выделить
sudo rkhunter --check --sk

Печать
Вверх Страницы1
Действия пользователя