Сетевая активность в момент бездействия системы. (Естественна ли она?)

[Знак Ответа]

Всем доброго времени суток. Это мой первый пост здесь. Пол-года использую ASP 10, были проблемы, но удалось решить и настроиться, за что спасибо и этому форуму тоже.
1. Обратил внимание на subj в спокойном состоянии. Сижу, читаю текст, ничего не гружу и не закачиваю. И тем не менее incomming траф на eth0 0.25 - 0.45 kByte/sec просто постоянно... Outgoing, соответсвенно, 0. IP внешний. Так и должно быть, или есть повод поискать-почитать?
2. Опять же чтение текста, уже загруженного в память. Где-то через 2 часа щачинает интенсивно читаться-писаться винт. Траф наружу, опять-таки, 0. Насколько такое поведение естественно?
Спасибо.

[t.t]

1. Обратил внимание на subj в спокойном состоянии. Сижу, читаю текст, ничего не гружу и не закачиваю. И тем не менее incomming траф на eth0 0.25 - 0.45 kByte/sec просто постоянно... Outgoing, соответсвенно, 0. IP внешний. Так и должно быть, или есть повод поискать-почитать?

↑

У меня одно время трафик крутился даже когда машина была выключена, но в сети (по светодиодам на модеме видно было). После отслеживания по адресам через pmacct оказалось, что весь "левый" трафик идёт с ip моего провайдера (я тогда сидел на помегабайтке); после вопроса провайдеру "откуда столько набежало?", ответа на который я не получил, левый трафик исчез.

2. Опять же чтение текста, уже загруженного в память. Где-то через 2 часа щачинает интенсивно читаться-писаться винт. Траф наружу, опять-таки, 0. Насколько такое поведение естественно?

↑

Такое возможно при автоматическом старте чего-нибудь; например, updatedb -- довольно активно читает винт, причём запросто может быть прописана, например, в cron.weekly.

[Знак Ответа]

Спасибо. Полез разбираться с cron* Раньше руки не доходили, а тут столько всего запускается, смотрится, ещё и на ASP мылится, если правильно понимаю... Надо поблагодарить разработчиков, что хоть /ets/cron.hourly девственно чист...

Знак Ответа добавил в 23.06.2005 14:45

Сорри за оффтопик, нашёл причину сетевой активности.
Может пригодиться кому...
Jun 22 22:51:16 мой машин sshd[3718]: Illegal user david from ::ffff:84.234.17.41
Jun 22 22:51:17 мой машин sshd[3720]: Illegal user paul from ::ffff:84.234.17.41
Jun 22 22:51:18 мой машин sshd[3724]: Illegal user angel from ::ffff:84.234.17.41
И так далее.... Всего 20057 запросов.
inetnum: 84.234.16.0 - 84.234.31.255
netname: NETRINO-SOV
descr: Netrino London Network
Вот почему домашнюю персоналку с линуксом все считают сервером?

[sash-kan]

Вот почему домашнюю персоналку с линуксом все считают сервером?

↑

а разве не так?
у системы на лбу не написано, что стоит она дома.
зато написано, что unix-like.
было бы написано, что win - сразу было бы понятно (:
(win-сервер в инете, видимо, так же трудно встретить, как и unix-like - дома)

а на вышеупомянутого лондонского товарища можно и провайдеру пожаловаться. чтоб обрезал.

[Знак Ответа]

to Sash Kan
Товарищ сидит за прокси. Мой опыт разборки с проксями говорит, что support чаще всего вообще не снисходит до ответов на spam/flood report-ы... Судя по форс-словарю логины не из России. Уже IPtables объяснил, что делать с пакетами оттуда. Строго говоря у меня удалённый логин вообще запрещён, так что в где-то мне его даже жалко.

[Grom]

to Sash Kan
Товарищ сидит за прокси. Мой опыт разборки с проксями говорит, что support чаще всего вообще не снисходит до ответов на spam/flood report-ы... Судя по форс-словарю логины не из России. Уже IPtables объяснил, что делать с пакетами оттуда. Строго говоря у меня удалённый логин вообще запрещён, так что в где-то мне его даже жалко.

↑

Это правильно, закрывать надо все, что не используется. Один раз адрес где-нибудь засветится и будет потом бомбиться скриптами с перебором разных логинов и паролей, пока хакер не взломает другой комп и не потеряет интерес к твоей машине.

[sash-kan]

Для Знак Ответа:
советовал настучать провайдеру на тот случай, если вх. трафик - платный. пусть заблокируют, а то ведь обидно - тебя пытаются взломать и ты же деньги за это платишь (:

[Знак Ответа]

Вот вот... Хоть в @AllPortsClosed переименовывайся... Хотя с таким hostname точно всех малолетних кулхацкеров собрать можно...

Так.. Товарищ поменял прокси. Неужели всё-таки эта машина нужна? Равномерно так долбит, раз в секунду в 22 порт...
Не флейма ради, НО! Линукс, как основная сервер-операционка в сети призывает каждого новичка изучать Лин больше, чем это необходимо Оффтопик-(правильно?)- пользователю. Вас пытаются ломать только потому, что, как справедливо заметил Sash Kan, у вас стоит ОН...

[Angel_13th]

Полностью согласен с Знаком Ответа, меня уже достали бомбить, как только комп на ночь оставил все пошла бомбежка, ладно когда дома сам остаешся, вырубил все службы и спи спокойно , а ведь может понадобится через нет домой сходить. Для Знак Ответа: Советую полностью закрыть порты наружу (сам использую guarddog). И не могу понять почему у тебя доступ запрещен, а в сети светиш сервисом?

[Знак Ответа]

Для Знак Ответа: Советую полностью закрыть порты наружу (сам использую guarddog). И не могу понять почему у тебя доступ запрещен, а в сети светиш сервисом?

↑

Jun 23 22:50:43 мой машин sshd[3610]: Failed password for illegal user apache from ::ffff:84.234.17.41 port 36667 ssh2
Jun 23 22:50:44 мой машин sshd[3612]: Failed password for root from ::ffff:84.234.17.41 port 36737 ssh2
Jun 23 22:50:45 мой машин sshd[3614]: Failed password for root from ::ffff:84.234.17.41 port 36821 ssh2
Jun 23 22:50:45 мой машин sshd[3616]: Failed password for root from ::ffff:84.234.17.41 port 36908 ssh2
Jun 23 22:50:46 мой машин sshd[3618]: Failed password for root from ::ffff:84.234.17.41 port 36988 ssh2
Jun 23 22:50:46 мой машин sshd[3620]: Failed password for root from ::ffff:84.234.17.41 port 37061 ssh2
Jun 23 22:50:47 мой машин sshd[3622]: Failed password for root from ::ffff:84.234.17.41 port 37131 ssh2
Jun 23 22:50:48 мой машин sshd[3624]: Failed password for root from ::ffff:84.234.17.41 port 37218 ssh2
Jun 23 22:50:48 мой машин sshd[3626]: Illegal user admin from ::ffff:84.234.17.41
Jun 23 22:50:48 мой машин sshd[3626]: error: Could not get shadow information for NOUSER
error: Bind to port 22 on 0.0.0.0 failed: Address already in use.

И таких красавцев сейчас 16 штук.

Просто не уверен, что знаю как его (сервис) грамотно и до конца выключить.

[Angel_13th]

Так там в настройках ищи, пункт так и называется сервисы. Меня долбили с этих адресов, 80.243.168.172 и 83.149.159.7. тоже блин достали.

[Знак Ответа]

Спасибо, уже всё решил.

[cyberklin]

Всем доброго времени суток. Это мой первый пост здесь. Пол-года использую ASP 10, были проблемы, но удалось решить и настроиться, за что спасибо и этому форуму тоже.
1. Обратил внимание на subj в спокойном состоянии. Сижу, читаю текст, ничего не гружу и не закачиваю. И тем не менее incomming траф на eth0 0.25 - 0.45 kByte/sec просто постоянно... Outgoing, соответсвенно, 0. IP внешний.

↑

у меня то же самое. gkrellm постоянно детектит 0,3-0,7kb/s входящий трафф. не подскажите, как определить его "источник".

[t.t]

у меня то же самое. gkrellm постоянно детектит 0,3-0,7kb/s входящий трафф. не подскажите, как определить его "источник".

↑

Посмотреть любым нетлоггером. Я брал pmacct, т.к. его для этого практически не надо было настраивать; можно ещё netacct или что-то вроде iptraf.

[Знак Ответа]

to 3kLiN
Какой всё-таки траф? Recieved или Activity?

[cyberklin]

поставил iptraf.
в общем идёт огромное чило udp-пакетов на 137 порт с одного внутрисетевого ипа. :?
причём некоторые пакеты адресованы именно моему ip, а некоторые - на броадкаст.


разобрался. это виндузные товарищи в netbios стучат...

[ZeroCooL]

а можете рассказать как вы решили эти проблемы ? ... как именно заблокировали входящий трафф ?
( в случае когда долбятся в нетбиос виндовские тачки в локалке )

[cyberklin]

никак... так и оставил долбится