Zdravim, pouzivam Debian Squeeze a mam problem s tym ze obcas sa mi uplne zahlti siet.. s tym ze mi v monitore systemu ukazuje abnormalne hodnoty stahovania a odosielania 3 alebo 4 gb. Netusim preco sa to deje ale siet je v tom momente uplne nefunkcna,
Debian a zahltenie siete
Pre pridávanie komentárov sa musíte prihlásiť.
Použi tcpdump, alebo obdobný nástroj na sledovanie siete, uvidíš kde tie pakety lietajú. Všetko nasvedčuje tomu že u teba niekto bol. Dáta odzálohovať, formát disku a nový systém, nikdy nevieš kde to ešte ostalo zahniezdené. Pokiaľ sa s tým chceš hrať, zatrhni danú IP a pokús sa zistiť čo posiela tie dáta.
Tych dovodov na taketo chovanie netu moze byt ale fakt vela:
bug v Network mngr
Parametre siete samotnej
Nemusi to byt prave malware a podobne, ale moze tak byt
Takze daj si do Debian program rkhunter+jeho doplnky pre scan sietovych portov tvojho systemu, pusti si scan a potom uvidis:-)
Daj nam vediet:-)
Pod doplnkami rkhunter som mal na mysli hlavne program unhide
Ten unhide si nainstaluj spolu s rkhunter
Vdaka.. skusim, paradoxne sa ale tak zacalo diat po pripojeni cez kabel.. cez wifi som nic podobne nezaznamenal. Ale vyskusam dane nastroje a dam vediet.
Hm, aký máš ethernet-podsystém na tom stroji ??
lspci -v
Ethernet controller: Atheros Communications Inc. AR8151 v1.0 Gigabit Ethernet (rev c0) Subsystem: Acer Incorporated [ALI] Device 0412 Flags: bus master, fast devsel, latency 0, IRQ 28 Memory at f8000000 (64-bit, non-prefetchable) [size=256K] I/O ports at 3000 [size=128] Capabilities: [40] Power Management version 3 Capabilities: [48] MSI: Enable+ Count=1/1 Maskable- 64bit+ Capabilities: [58] Express Endpoint, MSI 00 Capabilities: [6c] Vital Product Data Capabilities: [100] Advanced Error Reporting Capabilities: [180] Device Serial Number ff-d3-2e-fa-60-eb-69-ff Kernel driver in use: atl1c
driver in use: atl1
Pokiaľ viem, boli s ním problémy v Linux kernel 3.8.x
Vieš ako to skús?
V network mngr vypni (disable) wi-fi pripojenie a nechaj iba kábel-ethernet pripojenie. Malo by to prestať, ak to nebude robiť ten chaos, je to driverom....
No sprobujem.
Este snad dodatkom, ze ked sa to deje tak mi to netaha ziadne mb ani dnu ani von na pocitadle.
Ale keď sa to deje na počítadielko sa vykašli, zapni tcpdump a uvidíš čo odkiaľ kam ide.
[21:07:39] Checking for string 'hdparm' [ Warning ] [21:07:40] Warning: Checking for possible rootkit strings [ Warning ] [21:07:40] Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit [21:07:40] Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit [21:09:27] Checking for system startup files [ Found ] [21:09:27] Checking system startup files for malware [ None found ] [21:09:28] Warning: Hidden directory found: /etc/.java [21:09:28] Warning: Hidden directory found: /dev/.udev [21:09:28] Warning: Hidden directory found: /dev/.initramfs [21:09:48] Rootkit checks... [21:09:48] Rootkits checked : 242 [21:09:48] Possible rootkits: 2 [21:09:48] Rootkit names : Xzibit Rootkit, Xzibit Rootkit
tot su hlasky ktore z toho vyberam ostatne ukazalo ako ok.
Possible rootkit: Xzibit Rootkit
Čo Ti ukáže výstup príkazu unhide ??
////////////////////////////////////////////////////////////////
Vyzerá to (pre Debian 6.x) na false-positive, výskyt vo verziách rkhunter/1.3.6-3, rkhunter/1.3.6-4 pozri nižšie:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=576680
Pri unhide pri proc ani brute nezdetekovalo nic pri sys vypisalo one hidden proces ale nic viac konkretne. cestu k nejakemu logu mi to neukazalo.
Pri rkhunter overilo i porty s tym ze by mali byt ok.
false-positive
:-)
Znamena to teoreticky ze nemam u seba v stroji ziaden sajrajt?
Áno, je to asi iba ovládačom v tom kerneli, nič viac.
:-)
Vyskúšaj to odpojenie/disable tvojej wi-fi, pripoj sa cez kábel, a zisti či to pretrváva.
Po dlhsej dobe sa odvazujem povedat, ze problem je zrejme vyrieseny. Zrejme to bol teda ten driver. Obdobne problemy sa uz neopakuju.