Second Opinion
Folosind serviciul second opinion ne puteți trimite RMN-uri, CT -uri, angiografii, fișiere .pdf, documente medicale. Astfel vă vom putea da o opinie neurochirurgicală, fără ca aceasta să poată înlocui un consult de specialitate. Răspunsurile vor fi date prin e-mail în cel mai scurt timp posibil (de obicei în mai putin de 24 de ore, dar nu mai mult de 48 de ore). Second opinion – Neurohope este un serviciu gratuit. www.neurohope.ro |
O problema imputita tare
Last Updated: Jan 21 2008 13:14, Started by
bontzy
, Jan 06 2008 12:40
·
0
#1
Posted 06 January 2008 - 12:40
Actiunea are loc intr-un camin universitar (net de la roedu) cu switch-uri pe fiecare etaj care intr-un final duc intr-un router cu ip-ul:10.18.0.1 si dupa face le leg cu restul caminelor
Treaba e cam asa cu toate ca avem banda cat de cat in limitele bunului simt HTTP-ul se taraie, banda de download este da pana aungi sa faci download ai de asteptat. Mie imi mai merge cat de cat ok k am firewall-ul da la altii nu misca deloc Adminu a zis k e un virus pe retea si nu reuseste sa ii dea de cap. aaa- Orice pagina web deschid jos in stanga apare pt o sec doua "connecting to g.asdafdgfgf.com, (orice misc se conecteaza la site-ul ala) si abia dupa intra in pagina care trebuie Am scant calc meu cu antivirusu care il am acu, am scanat cu Bitdef online nu gaseste nimic Am atasat un log de la firewall ca sa va faceti o idee cam ce se intampla pe retea. 10.18.0.1 - routeru 10.18.x.x - restu sunt ip-uri din retea 10.18.1.100 - ip-ul meu Aveti vreo idee despre ce e vb...ne innebuneste de ceva vreme si nimeni nu poate scapa de asta MUltumesc anticipat! Attached FilesEdited by bontzy, 06 January 2008 - 12:47. |
#2
Posted 06 January 2008 - 16:47
nu pare ca e virus ala... mie mi se pare un trafic normal. faptul ca-ti urla firewall-ul e pentru ca asa l-ai configurat.
acolo trebuie facuta o investigatie calumea, cu un sniffer de retea, vazut despre ce virus e vorba. si dupa aia trecut la masuri... Quote Orice pagina web deschid jos in stanga apare pt o sec doua "connecting to g.asdafdgfgf.com, (orice misc se conecteaza la site-ul ala Edited by worm, 06 January 2008 - 16:48. |
#3
Posted 06 January 2008 - 17:28
Ia un linux bootabil (LiveCD ftp://ftp.iasi.roedu.net/mirrors/knopper.net/knoppix ) si vezi cu ala cum se comporta la tine pe PC.
Daca la fel, e de la retea sau chiar de la router. Acela e router simplu sau e un server cu un squid pe acolo (se practica)? |
#4
Posted 07 January 2008 - 12:44
nu cred k e de la firewall knd ai intr-o zi 14000 de inbound de la 300 de ip-uri...de instalat knopix nu am timp...proiecte, acusi vine sesiunea...
acu si-a mai revenit...cand merge knd nu merge...revin in curand cu noi detalii |
#6
Posted 07 January 2008 - 15:41
cand ai un firewall configurat sa blocheze anumite requesturi, si sa dea alert pentru fiecare block, e normal sa ai 14 mii de avertizari. mai ales la cat de mare e reteaua aia de camin. banuiesc ca si domeniu de broadcast e imens...
|
#7
Posted 07 January 2008 - 17:56
In mod sigur e ceva in neregula cu pc-ul tau si probabil ca si foarte multi oameni din camin au aceeasi problema, avand in vedere ca virusii se inmultesc in regie de zici ca cei aia. incearca windwos defender.
Din ce stiu eu in cateva camine routerul e cisco (finantat de roedu.. ) solutia propusa de mine include: inchizi uTorrent, dc++ etc tot ce ar face conexiuni diferite cmd netstat -ab asta iti arata cam tot ce ai ca si conexiuni deschise proces surce_ip:port dest_ip:port vezi daca ai vreo aplicatie care nu trebuie sa fie acolo cu o conexiune deschisa catre africa de sud. :D mai mult vezi sa nu ai setat vreun proxy ceva la internet options. si asculta si tu de oameni ia knopixu ca il iei de la iasi cu 5-10 MB prin roedu. |
#8
Posted 07 January 2008 - 21:45
Broadcasturi probabil ca ai multe. Am intalnit retele de camin in care totul era un /16
|
#9
Posted 08 January 2008 - 00:25
cisco e pe vine, la fel k si fibra...inca stam cu routerele prin camine si retele ceapa...am atasat un text cu logu netsat...
nush ce e ala broadcast...sau probabil ca stiu ce inseama dar practic... sunt camine unde mai merge cat de cat binisor...in altele e jale... fac maine un cd cu knopixu sa vad cum se comporta... pana atunci numai bine si multumesc de sfaturi! Attached FilesEdited by bontzy, 08 January 2008 - 00:31. |
#10
Posted 08 January 2008 - 12:46
da cica prob e de la un virus care face poison rooting si momentan s-a gasit urmatoarea solutie :arp -s 10.18.0.1 00-0e-0c-b7-31-08
acu va las pe voi sa ziceti care e treaba |
|
#11
Posted 19 January 2008 - 18:47
bontzy, on Jan 8 2008, 12:46, said: da cica prob e de la un virus care face poison rooting si momentan s-a gasit urmatoarea solutie :arp -s 10.18.0.1 00-0e-0c-b7-31-08 acu va las pe voi sa ziceti care e treaba Downlodeaza utilitarul HijackThis , da-i un "Do a system scan and save a logfile" si apoi posteaza logul aici pe forum .. asa poate reusim sa te ajutam Bafta! |
#12
Posted 20 January 2008 - 00:38
arp poisoning-ul ala nu e de la el, mai mult ca sigur.
slabe sanse hijack this sa ajute in cazul asta... reteaua in caminele universitare e de obicei VARZA! |
#13
Posted 20 January 2008 - 01:33
scuze de offtopic; bontzy, e cumva vorba de reteaua din Tudor, Iasi?
Edited by _SAM, 20 January 2008 - 01:33. |
#14
Posted 21 January 2008 - 11:44
pot sa confirm ca problema e aparuta si in Iasi, in reteaua UAIC, in toate caminele universitare. Ca sa nu va mai dati cu parerea ca este din cauza nustiu carei treaba de pe calculator, cauza este urmatoarea (determinata si cu ajutorul catorva amici de la bitdefender): Un calculator cu windows este infectat cu viermele in cauza prin intrarea pe o pagina care contine ads.js (cel de mai jos). acest javascript instantiaza niste obiecte ActiveX, si foloseste cateva exploituri la windows (De ex cursor exploit, un exploit Real Player, si inca vreo 3 sau 4 exploituri cunoscute la windowsul updatat la zi), si downloadeaza o serie de alte javascripturi si un program ads.exe. Dupa rularea codului pe masina infectata, procesul se instaleaza ca serviciu, si porneste infectarea celorlalte calculatoare de pe retea, printr-o metoda inca necunoscuta (probabil ARP man in the midle?) . Motivul pt care credem ca este vorba de arp poisoning este numarul IMENS de cereri ARP care se efectueaza pe retea. Intr-o dimineata de luni, la ora 11, se efectuau 1000 de cereri ARP in 0,001 secunde. Din cauza faptului ca injectia scriptului in pagini este cauzata de celelalte calculatoare pe retea, se pot trage concluziile: 1. ISP-ul nu are cum sa ajute, fiind o problema in interiorul retelei, si nu pe gateway sau upstream, 2. Nici un sistem nu este imun la js-ul in cauza: pana si sistemele pe linux, cu firewall, au js-ul infectat in unele pagini pe care intra. Singura solutie momentan ar fi identificarea celor care fac ARP flood pe retea, ceea ce se face usor cu un sniffer, si instalarea unui antivirus/anti-spyware pe ele.
Un thread paralel este acesta: http://forums.devnet...hp?f=6&p=437823 (in engleza) |
#15
Posted 21 January 2008 - 12:33
masterthor, on Jan 21 2008, 11:44, said: Nici un sistem nu este imun la js-ul in cauza: pana si sistemele pe linux, cu firewall, au js-ul infectat in unele pagini pe care intra. Ce are asta cu imunitatea? De la a vedea acel js in unele pagini dealungul navigarii si pana la a se infecta un sistem linux (care nu stie ce ii aia activex) e cale lunga. Incerc sa fac un soft in ajutorul celor carora nu le merge bine net-ul din cauza asta Edited by dani.user, 21 January 2008 - 12:37. |
|
#16
Posted 21 January 2008 - 13:07
dani.user, on Jan 21 2008, 13:33, said: Ce are asta cu imunitatea? De la a vedea acel js in unele pagini dealungul navigarii si pana la a se infecta un sistem linux (care nu stie ce ii aia activex) e cale lunga. Si de la banalele pagini web la care se introduce js-ul, si paginile cu autentificare http, paginile care folosesc SSL, FTP, SVN, etc tot cale lunga e. Avem probleme si pe Linux cu SVN-ul in mod special, si sisteme de Team-Management care folosesc autentificare http , deoarece virusul nici macar nu mai prezinta formularul de logare, aruncand direct un "Authorization failed". Ma refeream la imunitate in sensul ca nu iti poti face treaba in conditii normale. Imi dau seama ca am formulat gresit. Ce va face softul tau? Sunt curios, si ar prinde bine. |
#17
Posted 21 January 2008 - 13:14
Prin a infecta ma refeream ca nu determina linuxul sa creeze si el neplaceri mai departe celorlalte pc'uri din retea. Faptul ca virusul "se baga peste" unele conexiuni si face modificari cauzeaza diverse probleme, clar.
Softul ma gandeam sa monotorizeze mac'ul de la gateway si cand detecteaza o schimbare sa il seteze la loc (sa il impuna) pe cel vechi. Poate si altele, sa vad primadata exact ce face virusul Edited by dani.user, 21 January 2008 - 13:20. |
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users