Debian льет ночью инфу в инет

Автор Dass, 23 октября 2015, 10:56:23

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Dass

Здравствуйте!

Настроил Debian 8 со Squid3 с доменной аутентификацией.

Смотря по логам vnstat ночью Debian что-то куда то льет в инет. Причем точно сам, а не юзеры, т.к. по локальному интерфейсу трафика нет почти.
Как мне выяснить куда он там льет и отключить это?

Заранее спасибо за советы.

Malaheenee

Цитата: Dass от 23 октября 2015, 10:56:23Настроил Debian 8 со Squid3 с доменной аутентификацией.
Цитата: Dass от 23 октября 2015, 10:56:23Squid3
В вопросе всегда скрыта часть ответа.
Все мы где-то, когда-то и в чем-то были новичками.

Dass

#2
И что он льет в это время? со стороны локальной сети трафика почти нет.

sidbar

Devuan GNU/Linux 4 Chimaera x86_64

Malaheenee

Цитата: Dass от 23 октября 2015, 16:16:06что он льет в это время? со стороны локальной сети трафика почти нет.
Вы не так поняли. Заверните трафик с сервера тоже на squid:
iptables -t nat -A OUTPUT -m owner --uid-owner 13 -j ACCEPT
iptables -t nat -A OUTPUT -o eth0 -p tcp -m multiport --dport 443 -j REDIRECT --to-ports 8081
iptables -t nat -A OUTPUT -o eth0 -p tcp -m multiport --dport 80 -j REDIRECT --to-ports 8080

И читайте логи.
Все мы где-то, когда-то и в чем-то были новичками.

ihammers

Может какой-то начной скрипт пользователя отрабатывает?
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290

Dass

Поймал кто льет инфу в инет, подозрение, что это вирус. Имя странное, после killall появляется другой процесс с рандомным именем и льет на китайский ip что-то. Есть консольный антивирь под linux? Gnome или KDE не ставил, т.к. серверу это ни к чему.

Malaheenee

Дык clamav, только сомнительно как-то.
Вы хоть напишите как поймали, имя процесса и т.д.
Все мы где-то, когда-то и в чем-то были новичками.

CoolAller

#8
Присоединяюсь, опишите имя процесса и как вы его поймали?

Запустите проверку rkhunter (Description: rootkit, backdoor, sniffer and exploit scanner).

sudo apt-get install rkhunter
После установки необходимо обновить базу данных сигнатур командой:
sudo rkhunter --update
Чтобы запустить проверку операционной системы:
sudo rkhunter --check
По умолчанию после каждого теста нужно нажимать любую клавишу для того, чтобы успеть ознакомится с промежуточными результатами, если этого не требуется, то можно запустить проверку с ключом --sk:
sudo rkhunter --check --sk