Форум химфака КНУ

Неформальное общение вокруг околофакультетской жизни

Вы не вошли.

Объявление

Внимание! Не используйте при регистрации почту в доменах Яндекс и Mail.ru. Письмо на них физически не дойдёт с серверов в Украине, из-за введённых правительством Украины санкций против этих кампаний. Всем, кто ранее использовал подобную почту, для сохранения прежней функциональности форума, рекомендуется её поменять.

Форум является местом неформального общения абитуриентов, студентов, выпускников и сотрудников факультета. Все сообщения, опубликованные на форуме, отображают исключительно точку зрения их авторов и, ни в коей мере, не являются официальной позицией факультета. В свою очередь, администрация форума следит лишь за соблюдением общепринятых норм публичного общения и технической работоспособностью форума.

Для тех, у кого нет кириллической раскладки клавиатуры - виртуальная клавиатура. Желаем вам приятного времяпрепровождения!

#1 13.05.2005 13:53:04

adsh
реалист
Откуда: КНУ, химфак
Здесь с 12.05.2005
Сообщений: 1,724
Сайт

Список зараженных машин

Список компьютеров, в настоящее время зараженных сетевыми червями:

virus.jpg

Дата закрытия: 07.02.2014
IP адрес: 10.28.1.79
Причина зарытия: Virus Activity

HTTP Flood с 17 до 18 часов вот такими запросами (~40 запросов в секунду):

Fri Feb  7 17:01:08 2014    113 10.28.1.79 TCP_MISS/504 2988 GET http://etranslater1.com/invcis2/2.php? - DIRECT/- text/html
Fri Feb  7 17:01:08 2014    113 10.28.1.79 TCP_MISS/504 3010 GET http://etranslater1.com/invcis2/httpsdomains.php? - DIRECT/- text/html
Fri Feb  7 17:01:08 2014    106 10.28.1.79 TCP_MISS/504 3010 GET http://etranslater1.com/invcis2/httpsdomains.php? - DIRECT/- text/html
Fri Feb  7 17:01:08 2014    118 10.28.1.79 TCP_MISS/504 2988 GET http://etranslater4.com/invcis2/1.php? - DIRECT/- text/html

Типичная картина заражения с целью сделать этот компьютер участником ботнета.

*(блокировка временно снята) IP адрес: 10.28.1.102
Дата закрытия: 16.07.2017
Причина закрытия: Выкачано через внешний канал 3 Гб за неделю на единственном файле в 2166 байт: plura-affiliate-app-connector_20100824.jar

Всего - 1402240 запросов за неделю.
Комментарий: Контрольное исследование за пятницу 21.07.2017. Время активности: 08:12:40 - 13:25:39. Всего 132808 запросов на 274 МБ. Доступ закрыт до излечения от этой напасти.

*(блокировка временно снята) IP адрес: 10.28.1.56
Дата закрытия: 22.07.2017
Причина закрытия: Мусорный трафик, вот такого вот вида:

Fri Jul 21 12:12:30 2017     53 10.28.1.56 TAG_NONE/200 65 CONNECT 149.154.167.50:443 - HIER_NONE/- -
Fri Jul 21 12:12:30 2017     53 10.28.1.56 TAG_NONE/200 65 CONNECT 149.154.167.50:443 - HIER_NONE/- -
Fri Jul 21 12:12:30 2017     51 10.28.1.56 TAG_NONE/200 65 CONNECT 149.154.167.50:443 - HIER_NONE/- -
Fri Jul 21 12:12:30 2017     84 10.28.1.56 TAG_NONE/400 5792 NONE error:invalid-request - HIER_NONE/- text/html
Fri Jul 21 12:12:30 2017     65 10.28.1.56 TAG_NONE/400 21145 NONE error:invalid-request - HIER_NONE/- text/html
Fri Jul 21 12:12:30 2017     65 10.28.1.56 TAG_NONE/400 4536 E%943Z%BCu%17@2%94%DCs(%0BF%A6%93%AC%A9f+1%01%%BD%FB%9D%B4cC%C0z5%EDTW%08t%B7%E3%B15%9Bx %DE%92DE%F9%0E%E4%ED%90%EAN%DF%13%DD%1C%04%95%7E)%83Li%B5+%E7%B6%89%139%E3@HsW$u%87-%D2%AAx%16C%F0%98%A2%80X%17_%DDW%B9%13%F1%81%C4 - HIER_NONE/- text/html

Комментарий: Статистика за пятницу 21.07.2017. Время активности: 09:30:01 - 16:51:31. Всего 12983 мусорных запросов, временами - до нескольких десятков в секунду (замечено в ~12:05-12:10). Похоже, сходит с ума Telegram клиент и роутер также может подглючивать от всплесков нагрузки (см. нижний запрос в логе выше). Доступ закрыт до излечения от этой напасти.

*(блокировка временно снята) IP адрес: 10.28.2.69
Дата закрытия: 07.08.2017
Причина закрытия: Мусорный трафик, вот такого вот вида:

Mon Aug  7 18:20:48 2017     27 10.28.2.69 TAG_NONE/200 65 CONNECT 149.154.167.51:443 - HIER_NONE/- -
Mon Aug  7 18:20:48 2017     29 10.28.2.69 TAG_NONE/200 67 CONNECT 149.154.165.222:443 - HIER_NONE/- -
Mon Aug  7 18:20:48 2017     15 10.28.2.69 TAG_NONE/400 6673 NONE error:invalid-request - HIER_NONE/- text/html
Mon Aug  7 18:20:59 2017     39 10.28.2.69 TAG_NONE/400 6769 %1D%D0%A7t%B1%D8%C6%7F%5D%F6vLoi g8%16%D6%DC.%F1%8B%CF%E7R%EDO%C6%CB%10%9B%18%FF%BB%AD%16%C3%8BaK%EB=%BDI%5Bz%15s%13DQ%F4vp$/%DD%F5L%E6g2%D5%E8%BDj+6%CD;D%CD%FEY%D6%7B%C4%7B%A8qqMn%8D%936F%E0%7C%03%A6-%BD%0F6%9C%9C%A3%A4/N1%5EBG3%3E%97%CD%EC%EBa%D0y%is%90%17%81%80p@z%CA%B3%AEU%10%23Q%91%87x%DE%A9%AF%BA%01y%8E%05%0E%9D%B1%F1%E1%DE%AD%DE%A9%19t%B6%B5%CD%B8%5E%89%EC%27%B0%7C%B2%DA%95b%D6%81%C7KQ%DD%BF%99)%DBQ%A5%10%AE%8B%AB%AC%1E%E8%BB%B8%E5%FA%D8%C1%DCm%135%BE%91%C7%B0%221%A0x%C3%E1%CA!%98%16%AE%E0zK%A2%F9%8A%9CV%81X%BB%883%D8C4Q2%BD%FB%F4%9D%98%C7O%A4%27%11%1Bk%A5%DDP%88%22hj%02%04%B8%8A)%5Bi%95ee%FEP%CFa%5C%E3%%0EN%B4%FB%EA%97$Z%C0%1A%1D%BAS%DD%BA%A9%B1d%A6%DD%A8%FA%FDj%FF%BB%AA%FF%F1p%D6%C2b%99%E2%05%C7%C4%FF%CB - HIER_NONE/- text/html
Mon Aug  7 18:20:59 2017     19 10.28.2.69 TAG_NONE/400 21463 NONE error:invalid-request - HIER_NONE/- text/html
Mon Aug  7 18:20:59 2017     17 10.28.2.69 TAG_NONE/400 19374 NONE error:invalid-request - HIER_NONE/- text/html

Комментарий: Статистика за понедельник 07.08.2017. Время активности: 11:22:12 - 18:24:56. Всего 9093 мусорных запросов, временами - больше десятка в секунду (замечено в ~18:20). Похоже, сходит с ума мобильный Telegram клиент и роутер также может подглючивать от всплесков нагрузки (см. длинный запрос в логе выше). Доступ закрыт до излечения от этой напасти.

*(блокировка временно снята) IP адрес: 10.28.1.116
Дата закрытия: 18.08.2017
Причина зарытия: Viber Activity

TCP Flood с 12 до 12:30 часов 17.08.2017 (до ~40 запросов в секунду) - ваш Viber клиент сходит с ума. За этот промежуток времени было отправлено 29085 запросов на IP 34.196.129.108 и 17407 запросов на IP 52.20.138.131.

Такого не должно быть. Попробуйте обновить версию клиента. Доступ будет открыт, как прочтёте и напишите на E-Mail...

Инструкции по лечению зараженных машин опубликованы здесь.

Это сообщение будет обновляться по мере дальнейшего развития событий.

Отредактировано adsh (18.08.2017 03:13:24)

Вне форума

Сейчас в этой теме пользователей: 0, гостей: 1
[Bot] CCBot

Подвал форума

Под управлением FluxBB
Модифицировал Visman

[ Сгенерировано за 0.095 сек, 8 запросов выполнено - Использовано памяти: 1.18 Мбайт (Пик: 1.21 Мбайт) ]