Может быть кто сталкивался со следующим случаем: xxxx# sh ip cache flow | inc 127.0.0.1 Et0/0 127.0.0.1 Null 195.184.128.93 06 0050 04EA 1 Et0/0 127.0.0.1 Null 195.184.81.12 06 0050 058D 1 Et0/0 127.0.0.1 Null 195.184.16.15 06 0050 0498 1 Et0/0 127.0.0.1 Null 195.184.130.215 06 0050 0636 1 Et0/0 127.0.0.1 Null 195.184.82.161 06 0050 064A 1 Et0/0 127.0.0.1 Null 195.184.17.163 06 0050 0554 1 Et0/0 127.0.0.1 Null 195.184.82.166 06 0050 067A 1 Et0/0 127.0.0.1 Null 195.184.65.22 06 0050 0534 1 Et0/0 127.0.0.1 Null 195.184.82.156 06 0050 06B4 1 Et0/0 127.0.0.1 Null 195.184.81.102 06 0050 056E 1 Et0/0 127.0.0.1 Null 195.184.131.15 06 0050 077C 1 Et0/0 127.0.0.1 Null 195.184.80.208 06 0050 04B2 1 Et0/0 127.0.0.1 Null 195.184.130.211 06 0050 06A0 1 Et0/0 127.0.0.1 Null 195.184.80.71 06 0050 0403 1 Et0/0 127.0.0.1 Null 195.184.129.152 06 0050 05C5 1 Et0/0 127.0.0.1 Null 195.184.66.81 06 0050 060F 1 Et0/0 127.0.0.1 Null 195.184.80.48 06 0050 05AC 1 Et0/0 127.0.0.1 Null 195.184.131.137 06 0050 0663 1 [skip] Вот такой траффик приходит от абонента. Может кому-то знаком "характерный почерк" этого траффика? Он то фильтруется, но что можно порекомендовать абоненту поискать у себя на машине, а то ведь у него канал на исход забит. Беглый просмотр google не дал результата :( У абонента WinXXX. BTW, такая же дрянь недавно привалила со стороны UA-IX. -- YY18-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
возможно один из последних вирусов, который шупает машины по tcp/135 On Thu, Oct 23, 2003 at 09:14:31AM +0300, Yury Yaroshevsky wrote: YY>Может быть кто сталкивался со следующим случаем: YY>xxxx# sh ip cache flow | inc 127.0.0.1 YY>Et0/0 127.0.0.1 Null 195.184.128.93 06 0050 04EA 1 YY>Et0/0 127.0.0.1 Null 195.184.81.12 06 0050 058D 1 YY>Et0/0 127.0.0.1 Null 195.184.16.15 06 0050 0498 1 YY>Et0/0 127.0.0.1 Null 195.184.130.215 06 0050 0636 1 YY>Et0/0 127.0.0.1 Null 195.184.82.161 06 0050 064A 1 YY>Et0/0 127.0.0.1 Null 195.184.17.163 06 0050 0554 1 YY>Et0/0 127.0.0.1 Null 195.184.82.166 06 0050 067A 1 YY>Et0/0 127.0.0.1 Null 195.184.65.22 06 0050 0534 1 YY>Et0/0 127.0.0.1 Null 195.184.82.156 06 0050 06B4 1 YY>Et0/0 127.0.0.1 Null 195.184.81.102 06 0050 056E 1 YY>Et0/0 127.0.0.1 Null 195.184.131.15 06 0050 077C 1 YY>Et0/0 127.0.0.1 Null 195.184.80.208 06 0050 04B2 1 YY>Et0/0 127.0.0.1 Null 195.184.130.211 06 0050 06A0 1 YY>Et0/0 127.0.0.1 Null 195.184.80.71 06 0050 0403 1 YY>Et0/0 127.0.0.1 Null 195.184.129.152 06 0050 05C5 1 YY>Et0/0 127.0.0.1 Null 195.184.66.81 06 0050 060F 1 YY>Et0/0 127.0.0.1 Null 195.184.80.48 06 0050 05AC 1 YY>Et0/0 127.0.0.1 Null 195.184.131.137 06 0050 0663 1 YY>[skip] YY>Вот такой траффик приходит от абонента. YY>Может кому-то знаком "характерный почерк" этого траффика? YY>Он то фильтруется, но что можно порекомендовать абоненту YY>поискать у себя на машине, а то ведь у него канал на исход YY>забит. Беглый просмотр google не дал результата :( YY>У абонента WinXXX. YY>BTW, такая же дрянь недавно привалила со стороны UA-IX. -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Промчался таракан - и снова тихо... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
возможно один из последних вирусов, который шупает машины по tcp/135
Если бы. См. внимательно ниже:
On Thu, Oct 23, 2003 at 09:14:31AM +0300, Yury Yaroshevsky wrote:
YY>Может быть кто сталкивался со следующим случаем:
YY>xxxx# sh ip cache flow | inc 127.0.0.1 YY>Et0/0 127.0.0.1 Null 195.184.128.93 06 0050 04EA 1 YY>Et0/0 127.0.0.1 Null 195.184.81.12 06 0050 058D 1
^^^^^^^^^^^^^ т.е. это tcp c src-ip 127.0.0.1 и src-port 80 на соверненно разные dst-ip & dst-port -- YY18-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Oct 23, 2003 at 10:10:31AM +0300, Yury Yaroshevsky wrote:
возможно один из последних вирусов, который шупает машины по tcp/135 Если бы. См. внимательно ниже:
On Thu, Oct 23, 2003 at 09:14:31AM +0300, Yury Yaroshevsky wrote:
YY>Может быть кто сталкивался со следующим случаем:
YY>xxxx# sh ip cache flow | inc 127.0.0.1 YY>Et0/0 127.0.0.1 Null 195.184.128.93 06 0050 04EA 1 YY>Et0/0 127.0.0.1 Null 195.184.81.12 06 0050 058D 1 ^^^^^^^^^^^^ т.е. это tcp c src-ip 127.0.0.1 и src-port 80 на соверненно разные dst-ip & dst-port
Так этот трафик с src 127.0.0.1:80 ползает уже месяца два, а то и больше. Правда смысл таких сканов действительно не ясен. -- The Emperor wants to control the outer space, Yoda wants to explore the inner space.That's the fundamental difference between the good and the bad sides of the Force. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Oct 23, 2003 at 09:14:31AM +0300, Yury Yaroshevsky wrote:
YY>Может быть кто сталкивался со следующим случаем:
YY>xxxx# sh ip cache flow | inc 127.0.0.1 YY>Et0/0 127.0.0.1 Null 195.184.128.93 06 0050 04EA 1 YY>Et0/0 127.0.0.1 Null 195.184.81.12 06 0050 058D 1 ^^^^^^^^^^^^ т.е. это tcp c src-ip 127.0.0.1 и src-port 80 на соверненно разные dst-ip & dst-port
Так этот трафик с src 127.0.0.1:80 ползает уже месяца два, а то и больше. Правда смысл таких сканов действительно не ясен.
А что это за червь/вирус? -- YY18-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Yury Yaroshevsky (yk@donbass.net) wrote:
On Thu, Oct 23, 2003 at 09:14:31AM +0300, Yury Yaroshevsky wrote:
YY>Может быть кто сталкивался со следующим случаем:
YY>xxxx# sh ip cache flow | inc 127.0.0.1 YY>Et0/0 127.0.0.1 Null 195.184.128.93 06 0050 04EA 1 YY>Et0/0 127.0.0.1 Null 195.184.81.12 06 0050 058D 1 ^^^^^^^^^^^^ т.е. это tcp c src-ip 127.0.0.1 и src-port 80 на соверненно разные dst-ip & dst-port
Так этот трафик с src 127.0.0.1:80 ползает уже месяца два, а то и больше. Правда смысл таких сканов действительно не ясен.
А что это за червь/вирус?
что, таки никто не знает?
-- YY18-RIPE
-- Michael Vasilenko =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi! On Mon, Oct 27, 2003 at 18:18 +0200, Michael Vasilenko wrote:
Yury Yaroshevsky (yk@donbass.net) wrote:
On Thu, Oct 23, 2003 at 09:14:31AM +0300, Yury Yaroshevsky wrote:
YY>Может быть кто сталкивался со следующим случаем:
YY>xxxx# sh ip cache flow | inc 127.0.0.1 YY>Et0/0 127.0.0.1 Null 195.184.128.93 06 0050 04EA 1 YY>Et0/0 127.0.0.1 Null 195.184.81.12 06 0050 058D 1 ^^^^^^^^^^^^ т.е. это tcp c src-ip 127.0.0.1 и src-port 80 на соверненно разные dst-ip & dst-port
Так этот трафик с src 127.0.0.1:80 ползает уже месяца два, а то и больше. Правда смысл таких сканов действительно не ясен.
А что это за червь/вирус?
что, таки никто не знает?
http://lists.netsys.com/pipermail/full-disclosure/2003-August/008308.html ------------snip------------ This might be a bad idea. If you let windowsupdate.com resolve to 127.0.0.1 the following will happen: The worm uses spoofed IPs from the local /16 subnet as source address. Pointing all the syn packets to 127.0.0.1 will generate a RST packet from the local host to the spoofed IPs and spread traffic over the complete internal network. Even blocking or routing the normally resolved IP to Null0 will be a lot work because this domain is loadbalanced through the world. That means you get a different resolution depending on your ISP or place in the world. If you manipulate your DNS, you should give no A-Record back to the worm. With this the worm will not start attacking anything. So setting up a nameserver zone with only a SOA record will do the job for Saturday 0:00. ------------snap------------ =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (5)
-
Alexander Trotsai -
Andrey Blochintsev -
Michael Vasilenko -
Sergey A. Smitienko -
Yury Yaroshevsky