Анализ трафика (Трояны или нет?)

[dduh]

Просмтаривал трафик на фаерволе. Страннные ip адреса проходят. Ночью с машины с вин 8.1. На машине только 1с используется и автообновления. Другие программы не запускаются.
87.245.200.67 (34,81,18,8) порт 80 - принадлежность Лондон RETN Limited сетевая компнаия (в смысле компьютерные сети)
212.30.134.158 порт 80 - MTS network for Akami node
2.23.157.199 порт 80 - Akami Technologies тоже похоже сетевая компания
192.116.242.20 порт 80 - startssl.com Израиль Не понял что за компания. Похоже сетификационный центр.

[Bizdelnick]

87.245.200.67 (34,81,18,8) порт 80 - принадлежность Лондон RETN Limited сетевая компнаия (в смысле компьютерные сети)

Shell

Код: Выделить всё

% whois 87.245.200.67
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See [url="http://www.ripe.net/db/support/db-terms-conditions.pdf"]http://www.ripe.net/db/support/db-terms-conditions.pdf[/url]

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '87.245.200.0 - 87.245.200.127'

% Abuse contact for '87.245.200.0 - 87.245.200.127' is 'abuse@retn.net'

inetnum:        87.245.200.0 - 87.245.200.127
netname:        RETN-AKAMAI-MSK
descr:          RETN Akamai Moscow CDN node
country:        RU
admin-c:        NARA1-RIPE
tech-c:         NARA1-RIPE
status:         ASSIGNED PA
mnt-by:         MNT-RETN
source:         RIPE # Filtered

role:           Network Architecture Role Account
address:        Akamai Technologies
address:        8 Cambridge Center
address:        Cambridge, MA 02142
phone:          +1-617-938-3130
abuse-mailbox:  abuse@akamai.com
admin-c:        NF1714-RIPE
admin-c:        JP1944-RIPE
tech-c:         NF1714-RIPE
tech-c:         JP1944-RIPE
tech-c:         APB15-RIPE
tech-c:         CKAK-RIPE
tech-c:         PWG8-RIPE
tech-c:         MH7314-RIPE
tech-c:         TBAK-RIPE
tech-c:         MJAK-RIPE
nic-hdl:        NARA1-RIPE
mnt-by:         AKAM1-RIPE-MNT
source:         RIPE # Filtered

% Information related to '87.245.200.0/21AS9002'

route:          87.245.200.0/21
descr:          RETN-RU
origin:         AS9002
mnt-by:         MNT-RETN
source:         RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.71 (WHOIS1)


%

Akamai - это провайдер CDN, его кто только не использует. StartCom - да, CA. Сами по себе конторы не страшные, но кому туда лезть - непонятно.

[dduh]

Не знаю, на сколько можно ей доверять, но утилита DrWEB Curelt! криминала не находит. Попытаюсь закрыть доступ ко всем подозрительным адресам. Если к ним обращается что-то кашерное, то должна быть видна реакция на отсутсвие доступа.

[drBatty]

Попытаюсь закрыть доступ ко всем подозрительным адресам.

запретите ко ВСЕМ. Кроме некоторых, которым вы доверяете.

Если к ним обращается что-то кашерное, то должна быть видна реакция на отсутсвие доступа.

нет. Принято молча выкидывать ненужное. Иначе враги могут завалить вашу машину дерьмом (DoS).

но утилита DrWEB Curelt! криминала не находит.

это для маздая. Используйте chkrootkit

[dduh]

Попытаюсь закрыть доступ ко всем подозрительным адресам.

запретите ко ВСЕМ. Кроме некоторых, которым вы доверяете.

Если к ним обращается что-то кашерное, то должна быть видна реакция на отсутсвие доступа.

нет. Принято молча выкидывать ненужное. Иначе враги могут завалить вашу машину дерьмом (DoS).

но утилита DrWEB Curelt! криминала не находит.

это для маздая. Используйте chkrootkit

Так маздай и устанавливает соединения.

[drBatty]

Так маздай и устанавливает соединения.

а... Ну дык закройте все привилегированные порты в т.ч. и 80й, который атакуют, и проблема решится, если у вас "На машине только 1с используется и автообновления. Другие программы не запускаются. "

[dduh]

Так маздай и устанавливает соединения.

а... Ну дык закройте все привилегированные порты в т.ч. и 80й, который атакуют, и проблема решится, если у вас "На машине только 1с используется и автообновления. Другие программы не запускаются. "

Да странно как то, поэтому и пишу. Виндовс официальный, скачан с их сайта (корпоративная лицензия). На машине только 1с и Либра. В интернет с ней совсем не ходят, кроме обновлений. Машина в виртуалке, доступ к ней по терминалу, у пользователя права юзера не админа. Сейчас буду смотреть что в трафике идет и закрывать лишнее. Посмотрю заоодно что с линуксовых машин идёт.
У меня две разные организации через один шлюз идут. Я сейчас развёл сети полностью, а какой то момент они в одной сети были. Обратил внимание что с их шлюза периодически шёл трафик на китайский сервер. Почитал, троян.
Стал усебя смотреть, вот и наткнулся на эти ip адреса. Думаю, по сети от них ни чего не могло пролезть?

[Bizdelnick]

В принципе никто не мешает M$ распространять обновления через Akamai.

[dduh]

Feb 12 09:58:03 OUTGOINGFW:DROP:1 br0 TCP 192.168.3.102 50284 12:a7:3c:92:27:bd 212.30.134.167 80
Feb 12 09:58:06 OUTGOINGFW:DROP:1 br0 TCP 192.168.3.102 50284 12:a7:3c:92:27:bd 212.30.134.167 80
Feb 12 09:58:12 OUTGOINGFW:DROP:1 br0 TCP 192.168.3.102 50284 12:a7:3c:92:27:bd 212.30.134.167 80
Feb 12 09:58:24 OUTGOINGFW:DROP:1 br0 TCP 192.168.3.102 50285 12:a7:3c:92:27:bd 212.30.134.182 80
Feb 12 09:58:27 OUTGOINGFW:DROP:1 br0 TCP 192.168.3.102 50285 12:a7:3c:92:27:bd 212.30.134.182 80
Feb 12 09:58:33 OUTGOINGFW:DROP:1 br0 TCP 192.168.3.102 50285 12:a7:3c:92:27:bd 212.30.134.182 80

Ни кто не знает, есть прграммы для маздая, что бы посмотреть, какой процесс обращается по сети к этим ip адрессам?

[Bizdelnick]

dduh
Бесполезно банить отдельные IP-адреса Akamai. Это же CDN, там их огромный пул.

Ни кто не знает, есть прграммы для маздая, что бы посмотреть, какой процесс обращается по сети к этим ip адрессам?

Я знаю, есть. Только названий не знаю. (-:

P. S. ИМХО у Вас паранойя. Для винды нормально лезть куда ни попадя без спросу.

[dduh]

dduh
Бесполезно банить отдельные IP-адреса Akamai. Это же CDN, там их огромный пул.

Ни кто не знает, есть прграммы для маздая, что бы посмотреть, какой процесс обращается по сети к этим ip адрессам?

Я знаю, есть. Только названий не знаю. (-:

P. S. ИМХО у Вас паранойя. Для винды нормально лезть куда ни попадя без спросу.

Согласен, параноя. Эти адреса похоже связаны с обновлениями. При ручном запуске обновления идет обращение к этим адресам.
Будем считать вопрос закрыт.
А про параною добавлю. На днях приятель очередной(!) раз платил за разблокировку сервера 300 у.е.. Но там отдельная песня про отношение к сетевой безопастности. Крякнутая винда, логины все администраторы, открытые порты для доступа на сервер 1С из вне. Так что иногда полезно пострадать параноей

[azsx]

офтопик
админ вин сервера платил 300 баксов за разблокировку сервера... Майкрософт непобедима, пока есть мы, системные администраторы уиндоус

[drBatty]

Думаю, по сети от них ни чего не могло пролезть?

могло. Ну разбирайтесь, что, куда, как, откуда...

Ни кто не знает, есть прграммы для маздая, что бы посмотреть, какой процесс обращается по сети к этим ip адрессам?

была netmon вроде. Но это было очень давно.

[bormant]

есть прграммы для маздая, что бы посмотреть, какой процесс обращается по сети к этим ip адрессам?

netstat -b
покажет процессы, открывшие соединения.

[drBatty]

При ручном запуске обновления идет обращение к этим адресам.

дык это же маздай. Закройте. Купите платный фаервол, он как раз для таких вот... Ну вы поняли.

А про параною добавлю. На днях приятель очередной(!) раз платил за разблокировку сервера 300 у.е.. Но там отдельная песня про отношение к сетевой безопастности. Крякнутая винда,

безопасность в венде === деление на ноль.