O problema imputita tare

Actiunea are loc intr-un camin universitar (net de la roedu) cu switch-uri pe fiecare etaj care intr-un final duc intr-un router cu ip-ul:10.18.0.1 si dupa face le leg cu restul caminelor

Treaba e cam asa cu toate ca avem banda cat de cat in limitele bunului simt HTTP-ul se taraie, banda de download este da pana aungi sa faci download ai de asteptat.
Mie imi mai merge cat de cat ok k am firewall-ul da la altii nu misca deloc
Adminu a zis k e un virus pe retea si nu reuseste sa ii dea de cap.
aaa- Orice pagina web deschid jos in stanga apare pt o sec doua "connecting to g.asdafdgfgf.com, (orice misc se conecteaza la site-ul ala) si abia dupa intra in pagina care trebuie
Am scant calc meu cu antivirusu care il am acu, am scanat cu Bitdef online nu gaseste nimic
Am atasat un log de la firewall ca sa va faceti o idee cam ce se intampla pe retea.
10.18.0.1 - routeru
10.18.x.x - restu sunt ip-uri din retea
10.18.1.100 - ip-ul meu

Aveti vreo idee despre ce e vb...ne innebuneste de ceva vreme si nimeni nu poate scapa de asta

MUltumesc anticipat!

Edited by bontzy, 06 January 2008 - 12:47.

nu pare ca e virus ala... mie mi se pare un trafic normal. faptul ca-ti urla firewall-ul e pentru ca asa l-ai configurat.
acolo trebuie facuta o investigatie calumea, cu un sniffer de retea, vazut despre ce virus e vorba. si dupa aia trecut la masuri...

Quote

ai spyware pe comp.

Edited by worm, 06 January 2008 - 16:48.

Ia un linux bootabil (LiveCD ftp://ftp.iasi.roedu.net/mirrors/knopper.net/knoppix ) si vezi cu ala cum se comporta la tine pe PC.
Daca la fel, e de la retea sau chiar de la router.
Acela e router simplu sau e un server cu un squid pe acolo (se practica)?

nu cred k e de la firewall knd ai intr-o zi 14000 de inbound de la 300 de ip-uri...de instalat knopix nu am timp...proiecte, acusi vine sesiunea...

acu si-a mai revenit...cand merge knd nu merge...revin in curand cu noi detalii

De aia ti-am recomandat Knoppix fiindca nu trebuie instalat. Faci boot de pe el, setezi reteaua si navighezi

cand ai un firewall configurat sa blocheze anumite requesturi, si sa dea alert pentru fiecare block, e normal sa ai 14 mii de avertizari. mai ales la cat de mare e reteaua aia de camin. banuiesc ca si domeniu de broadcast e imens...

In mod sigur e ceva in neregula cu pc-ul tau si probabil ca si foarte multi oameni din camin au aceeasi problema, avand in vedere ca virusii se inmultesc in regie de zici ca cei aia. incearca windwos defender.

Din ce stiu eu in cateva camine routerul e cisco (finantat de roedu.. )

solutia propusa de mine include:

inchizi uTorrent, dc++ etc
tot ce ar face conexiuni diferite


cmd netstat -ab

asta iti arata cam tot ce ai ca si conexiuni deschise proces surce_ip:port dest_ip:port

vezi daca ai vreo aplicatie care nu trebuie sa fie acolo cu o conexiune deschisa catre africa de sud. :D


mai mult vezi sa nu ai setat vreun proxy ceva la internet options.

si asculta si tu de oameni ia knopixu ca il iei de la iasi cu 5-10 MB prin roedu.

Broadcasturi probabil ca ai multe. Am intalnit retele de camin in care totul era un /16

cisco e pe vine, la fel k si fibra...inca stam cu routerele prin camine si retele ceapa...am atasat un text cu logu netsat...
nush ce e ala broadcast...sau probabil ca stiu ce inseama dar practic...
sunt camine unde mai merge cat de cat binisor...in altele e jale...
fac maine un cd cu knopixu sa vad cum se comporta...
pana atunci numai bine si multumesc de sfaturi!

Edited by bontzy, 08 January 2008 - 00:31.

da cica prob e de la un virus care face poison rooting si momentan s-a gasit urmatoarea solutie :arp -s 10.18.0.1 00-0e-0c-b7-31-08
acu va las pe voi sa ziceti care e treaba

bontzy, on Jan 8 2008, 12:46, said:

Downlodeaza utilitarul HijackThis , da-i un "Do a system scan and save a logfile" si apoi posteaza logul aici pe forum .. asa poate reusim sa te ajutam
Bafta!

arp poisoning-ul ala nu e de la el, mai mult ca sigur.

slabe sanse hijack this sa ajute in cazul asta... reteaua in caminele universitare e de obicei VARZA!

scuze de offtopic; bontzy, e cumva vorba de reteaua din Tudor, Iasi?

Edited by _SAM, 20 January 2008 - 01:33.

pot sa confirm ca problema e aparuta si in Iasi, in reteaua UAIC, in toate caminele universitare. Ca sa nu va mai dati cu parerea ca este din cauza nustiu carei treaba de pe calculator, cauza este urmatoarea (determinata si cu ajutorul catorva amici de la bitdefender): Un calculator cu windows este infectat cu viermele in cauza prin intrarea pe o pagina care contine ads.js (cel de mai jos). acest javascript instantiaza niste obiecte ActiveX, si foloseste cateva exploituri la windows (De ex cursor exploit, un exploit Real Player, si inca vreo 3 sau 4 exploituri cunoscute la windowsul updatat la zi), si downloadeaza o serie de alte javascripturi si un program ads.exe. Dupa rularea codului pe masina infectata, procesul se instaleaza ca serviciu, si porneste infectarea celorlalte calculatoare de pe retea, printr-o metoda inca necunoscuta (probabil ARP man in the midle?) . Motivul pt care credem ca este vorba de arp poisoning este numarul IMENS de cereri ARP care se efectueaza pe retea. Intr-o dimineata de luni, la ora 11, se efectuau 1000 de cereri ARP in 0,001 secunde. Din cauza faptului ca injectia scriptului in pagini este cauzata de celelalte calculatoare pe retea, se pot trage concluziile: 1. ISP-ul nu are cum sa ajute, fiind o problema in interiorul retelei, si nu pe gateway sau upstream, 2. Nici un sistem nu este imun la js-ul in cauza: pana si sistemele pe linux, cu firewall, au js-ul infectat in unele pagini pe care intra. Singura solutie momentan ar fi identificarea celor care fac ARP flood pe retea, ceea ce se face usor cu un sniffer, si instalarea unui antivirus/anti-spyware pe ele.

Un thread paralel este acesta: http://forums.devnet...hp?f=6&p=437823 (in engleza)

masterthor, on Jan 21 2008, 11:44, said:

Ce are asta cu imunitatea? De la a vedea acel js in unele pagini dealungul navigarii si pana la a se infecta un sistem linux (care nu stie ce ii aia activex) e cale lunga.

Incerc sa fac un soft in ajutorul celor carora nu le merge bine net-ul din cauza asta

Edited by dani.user, 21 January 2008 - 12:37.

dani.user, on Jan 21 2008, 13:33, said:

Si de la banalele pagini web la care se introduce js-ul, si paginile cu autentificare http, paginile care folosesc SSL, FTP, SVN, etc tot cale lunga e. Avem probleme si pe Linux cu SVN-ul in mod special, si sisteme de Team-Management care folosesc autentificare http , deoarece virusul nici macar nu mai prezinta formularul de logare, aruncand direct un "Authorization failed". Ma refeream la imunitate in sensul ca nu iti poti face treaba in conditii normale. Imi dau seama ca am formulat gresit.

Ce va face softul tau? Sunt curios, si ar prinde bine.

Prin a infecta ma refeream ca nu determina linuxul sa creeze si el neplaceri mai departe celorlalte pc'uri din retea. Faptul ca virusul "se baga peste" unele conexiuni si face modificari cauzeaza diverse probleme, clar.

Softul ma gandeam sa monotorizeze mac'ul de la gateway si cand detecteaza o schimbare sa il seteze la loc (sa il impuna) pe cel vechi. Poate si altele, sa vad primadata exact ce face virusul

Edited by dani.user, 21 January 2008 - 13:20.