tráfego estranho para internet

jr.jorro
(usa Debian)

Enviado em 09/09/2010 - 10:26h

Olá pessoal,

Ultimamente venho notado um tráfego além do normal no meu link de internet. Verifiquei o log do squid (access.log) e vi coisas desse tipo:

msr36.hinet.net:25
maila.agc.idv.tw:25

Encontrei pouca coisa no google que pudesse esclarecer o que é e como resolver.

Vocês podem me ajudar ?

pogo
(usa Fedora)

Enviado em 09/09/2010 - 10:39h

Será que a máquina que está acessando estes hosts não está infectada por algum tipo de malware? Tente verificar qual máquina da sua rede está acessando e verifique o tráfego gerado por ela e se ela está infectada por alguma coisa.

[]'s
Pedro Pereira

jr.jorro
(usa Debian)

Enviado em 09/09/2010 - 10:47h

estou tentando identificar a máquina, mas estou achando que é o próprio gateway. Vocês conhecem algum comando que me auxilie nisso ?


10:46:18.991079 IP 189-000-000-004.3128 > 220-136-74-80.dynamic.hinet.net.4576:

10:46:18.992165 IP 118-168-142-36.dynamic.hinet.net.4054 > 189-000-000-004.3128:

10:46:18.992301 IP 118-168-140-219.dynamic.hinet.net.2769 > 189-000-000-004.3128:

10:46:18.992325 IP 189-000-000-004.3128 > 118-168-140-219.dynamic.hinet.net.2769:

10:46:18.992363 IP 189-000-000-004.56369 > 119.206.195.224.smtp:

renato_pacheco
(usa Debian)

Enviado em 09/09/2010 - 11:38h

O pogo ta certo... e algum malware. E essa porcaria ta acessando servidores SMTP pra disseminar os virus. O lance e instalar o Sarg pra v a origem das conexoes (caso vc use o squid como proxy).

ramos1986
(usa Debian)

Enviado em 09/09/2010 - 11:41h

Cara peguei recentemente um problema semelhante a este na minha rede, e era uma máquina infectada, utilizei o MalwareBytes para remoção de Malwares/Spywares e o problema parou.

irado
(usa XUbuntu)

Enviado em 09/09/2010 - 14:04h

pela mensagem, vc está disseminando ou spam ou viruses (como já mencionado); se tem o apache instalado aí, provavelmente está 'owned' e fazendo o envio via script. Se vc tem o iptables e NÃO tem servidor de e-mail, bloqueie a saída (output) de qualquer coisa pela porta 25.

renato_pacheco
(usa Debian)

Enviado em 09/09/2010 - 14:26h

Coitado, irado! Assim ele nem vai conseguir mandar mais e-mail pra namorada...