Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате
Форум программистов > *NIX системы: Общие вопросы > Некоторые сайты перестали работать


Автор: Maksys 7.11.2008, 20:17
Привет ребята! Подскажите пожалуйста...
Собственно не с того ни с сего перестали проходить пакеты до сервака SUSE9 Server. 
Пробывал гасить файрвол. ни какой рекции...
iptables- ни чего не показывает ни каких изменений...  ни каких нестандартных правил не прописывал.
Пробывал снести операционку и переустановил заного... все работало около недели и опять перестало функционировать.
Подозреваю, что это либо вирус в сети, либо хакают сервак... либо надо FreeBSD поизучать?
Как узнать в linux кто подключен к серверу?

Заранее благодарен... 

Автор: bilbobagginz 8.11.2008, 05:10
Цитата(Maksys @  7.11.2008,  20:17 Найти цитируемый пост)
Собственно не с того ни с сего перестали проходить пакеты до сервака SUSE9 Server. 

каким образом это опеределялось ?
Цитата(Maksys @  7.11.2008,  20:17 Найти цитируемый пост)
Пробывал гасить файрвол. ни какой рекции...

как это делалось ?
Цитата(Maksys @  7.11.2008,  20:17 Найти цитируемый пост)
Подозреваю, что это либо вирус в сети, либо хакают сервак... либо надо FreeBSD поизучать?

начем эти подозрения основываются ?

Автор: ZeeLax 8.11.2008, 06:55
Цитата(Maksys @  7.11.2008,  23:17 Найти цитируемый пост)
iptables- ни чего не показывает ни каких изменений...  ни каких нестандартных правил не прописывал.

"стандартных" правил не бывает

Автор: Maksys 8.11.2008, 09:23
Хорошо... вот мой iptables он был такой как тока поставил Suse:
Код

LOG        udp  --  anywhere             192.168.10.14       udp dpt:16004 LOG level warning tcp-options ip-options prefix `SFW2-FWDint-ACC-REVMASQ ' 
ACCEPT     udp  --  anywhere             192.168.10.14       udp dpt:16004 
ACCEPT     udp  --  192.168.10.14        anywhere            state RELATED,ESTABLISHED 
DROP       all  --  anywhere             anywhere            PKTTYPE = multicast 
LOG        all  --  anywhere             anywhere            LOG level warning tcp-options ip-options prefix `SFW2-FWDint-DROP-DEFLT ' 
DROP       all  --  anywhere             anywhere            

Chain input_ext (3 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            PKTTYPE = broadcast 
LOG        icmp --  anywhere             anywhere            icmp source-quench LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-SOURCEQUENCH ' 
ACCEPT     icmp --  anywhere             anywhere            icmp source-quench 
LOG        icmp --  anywhere             anywhere            icmp echo-request LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-PING ' 
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request 
LOG        icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp echo-reply LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-ICMP ' 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp echo-reply 
LOG        icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp destination-unreachable LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-ICMP ' 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp destination-unreachable 
LOG        icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp time-exceeded LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-ICMP ' 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp time-exceeded 
LOG        icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp parameter-problem LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-ICMP ' 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp parameter-problem 
LOG        icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp timestamp-reply LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-ICMP ' 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp timestamp-reply 
LOG        icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp address-mask-reply LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-ICMP ' 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp address-mask-reply 
LOG        icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp protocol-unreachable LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-ICMP ' 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp protocol-unreachable 
LOG        icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp redirect LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-ICMP ' 
ACCEPT     icmp --  anywhere             anywhere            state RELATED,ESTABLISHED icmp redirect 
LOG        gre  --  anywhere             anywhere            LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-IP ' 
ACCEPT     gre  --  anywhere             anywhere            
LOG        tcp  --  anywhere             anywhere            tcp dpt:http LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP ' 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http 
LOG        tcp  --  anywhere             anywhere            tcp dpt:ssh LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP ' 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh 
LOG        tcp  --  anywhere             anywhere            tcp dpt:ident state NEW LOG level warning tcp-options ip-options prefix `SFW2-INext-REJECT ' 
reject_func  tcp  --  anywhere             anywhere            tcp dpt:ident state NEW 
DROP       all  --  anywhere             anywhere            PKTTYPE = multicast 
LOG        all  --  anywhere             anywhere            LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' 
DROP       all  --  anywhere             anywhere            

Chain input_int (1 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere            LOG level warning tcp-options ip-options prefix `SFW2-INint-ACC-ALL ' 
ACCEPT     all  --  anywhere             anywhere            

Chain reject_func (1 references)
target     prot opt source               destination         
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset 
REJECT     udp  --  anywhere             anywhere            reject-with icmp-port-unreachable 
REJECT     all  --  anywhere             anywhere            reject-with icmp-proto-unreachable 


Добавлено через 6 минут и 1 секунду
Цитата(bilbobagginz @  8.11.2008,  08:10 Найти цитируемый пост)
каким образом это опеределялось ?

Да в прочем обычным пингом и трасертом. потом анализ логов iptables
Цитата(bilbobagginz @  8.11.2008,  08:10 Найти цитируемый пост)
как это делалось ?

Код

SuSEfirewall2 stop

Цитата(bilbobagginz @  8.11.2008,  08:10 Найти цитируемый пост)
начем эти подозрения основываются ?

Просто догадки. т.к. я не смог ни чего найти... сожет просто знаний не хватает...

Автор: Maksys 8.11.2008, 10:02
Код

 Nov  8 05:22:07 binet kernel: SFW2-IN-ACC-RELATED IN=ppp0 OUT= MAC= SRC=213.33.221.134 DST=88.85.219.98 LEN=576 TOS=0x00 PREC=0x00 TTL=55 ID=42772 PROTO=ICMP TYPE=11 CODE=0 [SRC=88.85.219.98 DST=212.119.208.29 LEN=1500 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=UDP SPT=1028 DPT=44451 LEN=1480 ] 


Как понять этот лог?

Автор: ZeeLax 9.11.2008, 08:52
А полный вывод iptables можно увидеть? А также результат пинга и трэйса как с сервера, так и к серверу. И ещё его сетевую конфигурацию.

Автор: bilbobagginz 9.11.2008, 10:43
Maksys
Цитата(Maksys @  8.11.2008,  09:23 Найти цитируемый пост)
Просто догадки.

просто догадки - это не подозрения (основываются на чем то материальном)
мы же тут не свечки зажигаем, чтобы с духами говорить. Тут всё материально и причинно-следственно.

во первых, пинг и trace-route не обязаны проходить дальше твоего поставщика интернета, т.к. многие провайдеры просто блокируют пинг и трейс (который тоже основан на ICMP), чтобы каждуй чудак на букву М не смог за DOSить пингами или трейсами маршрутизаторы этого прова.
Далее, делаем простой эксперимент: выключаем фаервол на твоём слезе, через YaST (ja, St.), т.е. собсема выклюцяма.

смотрим есть ли доступ на эти заветные сайты, браузером!

результаты - в студию.

Автор: Maksys 9.11.2008, 15:58
Цитата(bilbobagginz @  9.11.2008,  13:43 Найти цитируемый пост)

Далее, делаем простой эксперимент: выключаем фаервол на твоём слезе, через YaST (ja, St.), т.е. собсема выклюцяма.

Ни какой разницы

Добавлено через 12 минут и 45 секунд
Что самое интересное, браузер висит с надписью получаю данные.... и всю ночь как минимум висит... нет там написать не могу отобразить страничку или еще че...
Переустановил сервак... все с нуля.. все точно также....

Подозреваю что у провайдера руки кривые....
Цитата(bilbobagginz @  9.11.2008,  13:43 Найти цитируемый пост)
просто догадки - это не подозрения (основываются на чем то материальном)

был бы я хакером в этой области я бы не догадывался.. а явно знал... но знания заставляют "..свечи ставить.."
буду искать односегменщиков...

Автор: bilbobagginz 9.11.2008, 16:40
проверял, если проблема на уровне резолвинга адрес->IP или обратно ?

Автор: Maksys 9.11.2008, 18:40
Цитата(bilbobagginz @ 9.11.2008,  19:40)
проверял, если проблема на уровне резолвинга адрес->IP или обратно ?

а как это проверить? user posted image

Автор: Maksys 9.11.2008, 19:45
Опять все заработало... хотя ни чего не трогал... на долго ли... я думаю не только в моих кривых руках маза зарыта... 
Вот и как тут не недогадываться.. то робит то нет..  ни чего не меняю...

Автор: bilbobagginz 9.11.2008, 21:43
Цитата(Maksys @  9.11.2008,  19:45 Найти цитируемый пост)
Вот и как тут не недогадываться.. то робит то нет..  ни чего не меняю... 

свяжись с провайдером. может он втихаря там чего-то намутил.

Автор: Maksys 10.11.2008, 05:38
До этого всязывался, он глаза круглые сделал и сказал: "Не знаю все у меня в порядке"... он как бы тупой правда... может все таки и он чета мутит... но ни когда не признается.
з.ы. Спасибо за внимание к моей проблеме!

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)