Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » подозрительная активность на 53 порту сервера

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

hexen4

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!
очень нужна помощь опытных админов.
 
Есть обычный контроллер домена на легальном  
win2003 server со всеми обновлениями
с обычной ролью DNS под внутренние запросы AD  
и внешние адреса с dns провайдера
все нормально работает, вот только в логах сквида  
с этого сервака миллионы запросов с неизвестных DNS
за несколько часов:
   адреса               соединения
111.40.229.77:53    232826
111.40.229.76:53    232815
218.203.56.224:53    232821
218.203.56.240:53    232817
 
на сервере спокойно живет серверный drweb
со всеми обновлениями
антимайлварь тоже ничего не находит
 
Вопрос: Это что за безобразие и как его победить?
 
 
Process Monitor Copyright © 1996-2010 Mark Russinovich  
дает такие сведения:
 
Description:    DNS-?????? (Domain Name System)
Company:    Microsoft Corporation
Name:    dns.exe
Version:    5.2.3790.4957
Path:    C:\WINDOWS\System32\dns.exe
Command Line:    C:\WINDOWS\System32\dns.exe
PID:    1904
Parent PID:    456
Session ID:    0
User:    NT AUTHORITY\SYSTEM
Auth ID:    00000000:000003e7
Architecture:    32-bit
Virtualized:    n/a
Integrity:    n/a
Started:    03.04.2018 7:31:11
Ended:    (Running)
Modules:
 
 
Date & Time:    06.04.2018 8:32:17
Event Class:    Network
Operation:    UDP Unknown
Result:    SUCCESS
Path:    218.203.56.224:domain -> мойдомен.ru:51855
TID:    0
Duration:    0.0000000
Length:    203
 
 
 
Date & Time:    06.04.2018 8:32:17
Event Class:    Network
Operation:    UDP Unknown
Result:    SUCCESS
Path:    мойдомен.ru:51855 -> 218.203.56.240:domain
TID:    0
Duration:    0.0000000
Length:    45
 

Всего записей: 19 | Зарегистр. 02-03-2004 | Отправлено: 08:45 06-04-2018 | Исправлено: hexen4, 10:31 06-04-2018
vertex4

Moderator
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
hexen4
1) Уволить админа
2) Запретить доступ извне к DNS (если оно надо - то как минимум установить rate limit)
3) понять откуда идут запросы
4) если из локалки - изолировать этот комп

Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 08:53 06-04-2018
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hexen4

Цитата:
с неизвестных DNS

так "с" или "к"?
указанные ip - днсы в chinamobile.com
 
 
вполне возможно, что что то у вас занимается udp флудом.

Всего записей: 15040 | Зарегистр. 20-09-2014 | Отправлено: 09:11 06-04-2018 | Исправлено: Mavrikii, 09:26 06-04-2018
hexen4

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
to vertex4:
Вы всем предлагаете лечить головную боль гильетиной?
1. с радостью, только не у всех есть возможность нанимать крутых специалистов
2. извне как мне говорил провайдер доступа вообще нет
3. с этим я и прошу помочь разобраться
4. отключить всю локалку даже временно я не могу, но обращения идут даже ночью,
когда все компы выключены.
 
ps.
Я не обижусь, если меня назовут чайником, но тогда это относится и к drweb, который  
ничего зловредного не находит  

Всего записей: 19 | Зарегистр. 02-03-2004 | Отправлено: 09:22 06-04-2018
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hexen4

Цитата:
но тогда это относится и к drweb, который  
ничего зловредного не находит

ну, антивирус, к примеру, не часто способен найти руткит. или если это не вирус, а нормальное приложение, которое работает не так, как нужно.
 
а так, выглядит так, что ваш dns пытается получить инфу от того днс, и приходит ответ (udp приходит с их 53 на высокие порты).

Всего записей: 15040 | Зарегистр. 20-09-2014 | Отправлено: 09:25 06-04-2018 | Исправлено: Mavrikii, 09:28 06-04-2018
hexen4

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
может я неверно понял отчет procmon, но вроде получается и "с" и "к"
может провайдер сам не в курсе по поводу доступа?
 
тогда вопрос: как разобраться штатными средствами кто насилует DNS?

Всего записей: 19 | Зарегистр. 02-03-2004 | Отправлено: 09:28 06-04-2018
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hexen4

Цитата:
но вроде получается и "с" и "к"

нет. udp с высокого порта на 53 - это DNS запрос, ответ приходит в виде udp с 53 на ваш высокий.

Цитата:
разобраться штатными средствами кто насилует DNS?  

для начала было бы неплохо посмотреть внутрь, чтобы определить что именно пытаются резолвить.
если это ваш dns делает резолв запроса, то ожидалось бы хоть какое то кэширование результатов, без повторного обращения в течение какого то времени.

Всего записей: 15040 | Зарегистр. 20-09-2014 | Отправлено: 09:32 06-04-2018 | Исправлено: Mavrikii, 09:41 06-04-2018
hexen4

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
[/q]
[q]для начала было бы неплохо посмотреть внутрь

Это что-то из практики дзен-буддизма?
Какими средствами это сделать?

Всего записей: 19 | Зарегистр. 02-03-2004 | Отправлено: 09:38 06-04-2018
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hexen4

Цитата:
Какими средствами это сделать?

любой сниффер, tcpdump, windump, wireshark и тд и тп
ps: раз ночью компы выключены - не пробовали вырубить службу в это время?  

Всего записей: 15040 | Зарегистр. 20-09-2014 | Отправлено: 09:39 06-04-2018 | Исправлено: Mavrikii, 09:45 06-04-2018
vertex4

Moderator
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
hexen4
 

Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 09:42 06-04-2018
hexen4

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
спасибо откликнувшимся, буду ковырять глубже.
на это нужно время, тему пока не закрываю.
если кто-то сталкивался с подобным, прошу поделиться решениями.

Всего записей: 19 | Зарегистр. 02-03-2004 | Отправлено: 09:46 06-04-2018
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
тему пока не закрываю

Но переименовываю.
Вообще, есть тема Всё о DNS и если забить DNS в поиск, то она первая, не считая этой.
Это говорит о том, что вы не искали. И большой вопрос будете ли чето-то слушать

Цитата:
с радостью, только не у всех есть возможность нанимать крутых специалистов
Себя уволить сложно. Незаконно как-то


----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 10:13 06-04-2018
hexen4

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Но переименовываю.

Ну извиняюсь если попал нетуда.
Вопрос ведь не про настройку dns-к нему претензий нет, он пашет как может.
Скорее про обнаружение зловреда штатными методами.

Всего записей: 19 | Зарегистр. 02-03-2004 | Отправлено: 10:29 06-04-2018
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пардон, вы выставили сервер в интернет, так чего вы хотели?
Мне гораздо худшее телепатируется, что выставили вы в интернет не просто сервер, а DC AD... И что, если вы здесь, https://2ip.ru/check-port/ зайдя с вашего замечательного сервера, скажете 445, то вы увидите красную надпись ПОРТ ОТКРЫТ!
Вот, если я ошибаюсь, то это очень хорошо

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 10:59 06-04-2018 | Исправлено: Paromshick, 10:59 06-04-2018
hexen4

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ну вот кто заказывал windamp прилагаю микроскопический кусочек
(192.168.200.130-это внутренний адрес сервака)
фильтр WinDump.exe -n port 53 and host 111.40.229.77 or host 218.203.56.240 >logfile
порт конечно проверю, очень удивлюсь если он открыт.
 
 
11:11:27.519952 IP 192.168.200.130.57942 > 111.40.229.77.53:  15537 PTR? 77.229.40.111.in-addr.arpa. (44)
11:11:27.537522 IP 111.40.229.77.53 > 192.168.200.130.57942:  15537 0/4/4 (202)
11:11:27.537597 IP 192.168.200.130.57942 > 218.203.56.240.53:  15537 PTR? 77.229.40.111.in-addr.arpa. (44)
11:11:27.555047 IP 218.203.56.240.53 > 192.168.200.130.57942:  15537 0/4/4 (202)
11:11:27.682823 IP 192.168.200.130.51593 > 111.40.229.77.53:  16521 PTR? 240.56.203.218.in-addr.arpa. (45)
11:11:27.693189 IP 111.40.229.77.53 > 192.168.200.130.51593:  16521 0/4/4 (203)
11:11:27.693260 IP 192.168.200.130.51593 > 218.203.56.240.53:  16521 PTR? 240.56.203.218.in-addr.arpa. (45)
11:11:27.702224 IP 218.203.56.240.53 > 192.168.200.130.51593:  16521 0/4/4 (203)
11:11:27.752059 IP 192.168.200.130.57282 > 111.40.229.77.53:  62555 PTR? 224.56.203.218.in-addr.arpa. (45)
11:11:27.765961 IP 111.40.229.77.53 > 192.168.200.130.57282:  62555 0/4/4 (203)
11:11:27.766033 IP 192.168.200.130.57282 > 218.203.56.240.53:  62555 PTR? 224.56.203.218.in-addr.arpa. (45)
11:11:27.782725 IP 218.203.56.240.53 > 192.168.200.130.57282:  62555 0/4/4 (203)
11:11:27.942445 IP 192.168.200.130.54651 > 111.40.229.77.53:  1413 PTR? 240.56.203.218.in-addr.arpa. (45)
11:11:27.959408 IP 111.40.229.77.53 > 192.168.200.130.54651:  1413 0/4/4 (203)
11:11:27.959479 IP 192.168.200.130.54651 > 218.203.56.240.53:  1413 PTR? 240.56.203.218.in-addr.arpa. (45)
11:11:27.976296 IP 218.203.56.240.53 > 192.168.200.130.54651:  1413 0/4/4 (203)
11:11:28.986912 IP 192.168.200.130.58277 > 111.40.229.77.53:  65452 PTR? 240.56.203.218.in-addr.arpa. (45)
11:11:29.004623 IP 111.40.229.77.53 > 192.168.200.130.58277:  65452 0/4/4 (203)
11:11:29.004728 IP 192.168.200.130.58277 > 218.203.56.240.53:  65452 PTR? 240.56.203.218.in-addr.arpa. (45)
11:11:29.023568 IP 218.203.56.240.53 > 192.168.200.130.58277:  65452 0/4/4 (203)
11:11:29.121535 IP 192.168.200.130.62760 > 111.40.229.77.53:  28850 PTR? 224.56.203.218.in-addr.arpa. (45)
11:11:29.131615 IP 192.168.200.130.54157 > 218.203.56.240.53:  18678 PTR? 77.229.40.111.in-addr.arpa. (44)
11:11:29.132027 IP 111.40.229.77.53 > 192.168.200.130.62760:  28850 0/4/4 (203)
11:11:29.132100 IP 192.168.200.130.62760 > 218.203.56.240.53:  28850 PTR? 224.56.203.218.in-addr.arpa. (45)
11:11:29.141839 IP 218.203.56.240.53 > 192.168.200.130.54157:  18678 0/4/4 (202)
11:11:29.141909 IP 192.168.200.130.54157 > 111.40.229.77.53:  18678 PTR? 77.229.40.111.in-addr.arpa. (44)
11:11:29.142336 IP 218.203.56.240.53 > 192.168.200.130.62760:  28850 0/4/4 (203)
11:11:29.153048 IP 111.40.229.77.53 > 192.168.200.130.54157:  18678 0/4/4 (202)
 
 
Добавлено:
ps
 
порт 445 закрыт по тесту  https://2ip.ru/check-port/  
да и вообще я не настолько уж чайник чтобы развертывать домен с белым IP

Всего записей: 19 | Зарегистр. 02-03-2004 | Отправлено: 11:23 06-04-2018
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
я не настолько уж чайник  

Уже легче
Ваш сервер пытается разрешить IP в символьное имя, причем атакует каких-то сынов востока... Разве нет?

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 11:39 06-04-2018
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hexen4
Это не содержимое пакетов. Но, в принципе, как показали выше - достаточно включить логгирование в системе и там посмотреть.
У меня ощущение, что эти китайские dns не рекурсивные и просто перекидывают друг на друга, получается бесконечный цикл.

Цитата:
При рекурсивном запросе Вы просто обращаетесь к серверу, а он, если не найдет у себя нужной записи, идет к другим серверам и спрашивает у них. Нерекурсивный dns сервер в данном случае просто говорит - "я не знаю, но спроси у этого сервера". И клиент будет слать ещё один запрос.

По идее ваш dns должен понимать подобную ситуацию, либо кто то делает запросы к тем днс через ваш, с целью флуда/доса

Всего записей: 15040 | Зарегистр. 20-09-2014 | Отправлено: 11:40 06-04-2018 | Исправлено: Mavrikii, 11:53 06-04-2018
hexen4

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
По идее ваш dns должен понимать подобную ситуацию, либо кто то делает запросы к тем днс через ваш, с целью флуда/доса
 

ну вот я и спрашиваю, как понять-кто???
 
что-то после установки WinPcap сам dns кажется перестал вести трассировку (может это я туплю)
но из предыдущего отчета кусок
где 10.135.0.100-вышестоящий dns провайдера, а 8.8.8.8 -альтернативный
 
20180406 09:54:27 7EC PACKET  03A42410 UDP Snd 10.135.0.100    0273   Q [0001   D   NOERROR] PTR   (2)77(3)229(2)40(3)111(7)in-addr(4)arpa(0)
UDP question info
  Socket = 19240, recvd on port (65535)
  Remote addr 10.135.0.100, port 53
  Time Query=0, Queued=0, Expire=0
  Buf length = 0x0500 (1280)
  Msg length = 0x002c (44)
  Message:
    XID       0x0273
    Flags     0x0100
      QR        0 (QUESTION)
      OPCODE    0 (QUERY)
      AA        0
      TC        0
      RD        1
      RA        0
      Z         0
      RCODE     0 (NOERROR)
    QCOUNT    1
    ACOUNT    0
    NSCOUNT   0
    ARCOUNT   0
    QUESTION SECTION:
    Offset = 0x000c, RR count = 0
    Name      "(2)77(3)229(2)40(3)111(7)in-addr(4)arpa(0)"
      QTYPE   PTR (12)
      QCLASS  1
    ANSWER SECTION:
      empty
    AUTHORITY SECTION:
      empty
    ADDITIONAL SECTION:
      empty
 
20180406 09:54:27 7EC PACKET  02C32900 UDP Rcv 10.135.0.100    0273 R Q [8281   DR SERVFAIL] PTR   (2)77(3)229(2)40(3)111(7)in-addr(4)arpa(0)
UDP response info
  Socket = 19240, recvd on port (65535)
  Remote addr 10.135.0.100, port 53
  Time Query=267910, Queued=0, Expire=0
  Buf length = 0x0500 (1280)
  Msg length = 0x002c (44)
  Message:
    XID       0x0273
    Flags     0x8182
      QR        1 (RESPONSE)
      OPCODE    0 (QUERY)
      AA        0
      TC        0
      RD        1
      RA        1
      Z         0
      RCODE     2 (SERVFAIL)
    QCOUNT    1
    ACOUNT    0
    NSCOUNT   0
    ARCOUNT   0
    QUESTION SECTION:
    Offset = 0x000c, RR count = 0
    Name      "(2)77(3)229(2)40(3)111(7)in-addr(4)arpa(0)"
      QTYPE   PTR (12)
      QCLASS  1
    ANSWER SECTION:
      empty
    AUTHORITY SECTION:
      empty
    ADDITIONAL SECTION:
      empty
 
20180406 09:54:27 7EC PACKET  03A42410 UDP Snd 8.8.8.8         0273   Q [0001   D   NOERROR] PTR   (2)77(3)229(2)40(3)111(7)in-addr(4)arpa(0)
UDP question info
  Socket = 19240, recvd on port (65535)
  Remote addr 8.8.8.8, port 53
  Time Query=0, Queued=0, Expire=0
  Buf length = 0x0500 (1280)
  Msg length = 0x002c (44)
  Message:
    XID       0x0273
    Flags     0x0100
      QR        0 (QUESTION)
      OPCODE    0 (QUERY)
      AA        0
      TC        0
      RD        1
      RA        0
      Z         0
      RCODE     0 (NOERROR)
    QCOUNT    1
    ACOUNT    0
    NSCOUNT   0
    ARCOUNT   0
    QUESTION SECTION:
    Offset = 0x000c, RR count = 0
    Name      "(2)77(3)229(2)40(3)111(7)in-addr(4)arpa(0)"
      QTYPE   PTR (12)
      QCLASS  1
    ANSWER SECTION:
      empty
    AUTHORITY SECTION:
      empty
    ADDITIONAL SECTION:
      empty
 
 

Всего записей: 19 | Зарегистр. 02-03-2004 | Отправлено: 12:06 06-04-2018
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hexen4

Цитата:
ну вот я и спрашиваю, как понять-кто???

Картинку с галками видели выше? Включаете, смотрите логи.
 

Цитата:
предыдущего отчета кусок

Это он резолвить используемые ip пытается используя днс провайдера и гугля, ничего такого.
Они этого сделать не смогли, ответили (вернее провайдер, от гугля ответ не показали)

Цитата:
SERVFAIL    RCODE:2    
 Server failed to complete the DNS request

Поэтому в логе и  написано PTR? 77.229.40.111.in-addr.arpa.
Более интересно что в запросе к китайцам и их ответе.

Всего записей: 15040 | Зарегистр. 20-09-2014 | Отправлено: 12:16 06-04-2018 | Исправлено: Mavrikii, 12:23 06-04-2018
hexen4

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mavrikii, спасибо за участие
 
боюсь выкладывать здесь большие куски логов, а то еще и меня пощитают ддосером
 
вот еще кусочек лога с dns
 
20180406 12:16:50 7EC PACKET  02768D60 UDP Snd 111.40.229.76   1c1b   Q [0000       NOERROR] PTR   (2)76(3)229(2)40(3)111(7)in-addr(4)arpa(0)
UDP question info
  Socket = 19352, recvd on port (65535)
  Remote addr 111.40.229.76, port 53
  Time Query=0, Queued=0, Expire=0
  Buf length = 0x0500 (1280)
  Msg length = 0x002c (44)
  Message:
    XID       0x1c1b
    Flags     0x0000
      QR        0 (QUESTION)
      OPCODE    0 (QUERY)
      AA        0
      TC        0
      RD        0
      RA        0
      Z         0
      RCODE     0 (NOERROR)
    QCOUNT    1
    ACOUNT    0
    NSCOUNT   0
    ARCOUNT   0
    QUESTION SECTION:
    Offset = 0x000c, RR count = 0
    Name      "(2)76(3)229(2)40(3)111(7)in-addr(4)arpa(0)"
      QTYPE   PTR (12)
      QCLASS  1
    ANSWER SECTION:
      empty
    AUTHORITY SECTION:
      empty
    ADDITIONAL SECTION:
      empty
 
20180406 12:16:50 7EC PACKET  0323A3F0 UDP Rcv 111.40.229.76   1c1b R Q [8080    R  NOERROR] PTR   (2)76(3)229(2)40(3)111(7)in-addr(4)arpa(0)
UDP response info
  Socket = 19352, recvd on port (65535)
  Remote addr 111.40.229.76, port 53
  Time Query=276452, Queued=0, Expire=0
  Buf length = 0x0500 (1280)
  Msg length = 0x00ca (202)
  Message:
    XID       0x1c1b
    Flags     0x8080
      QR        1 (RESPONSE)
      OPCODE    0 (QUERY)
      AA        0
      TC        0
      RD        0
      RA        1
      Z         0
      RCODE     0 (NOERROR)
    QCOUNT    1
    ACOUNT    0
    NSCOUNT   4
    ARCOUNT   4
    QUESTION SECTION:
    Offset = 0x000c, RR count = 0
    Name      "(2)76(3)229(2)40(3)111(7)in-addr(4)arpa(0)"
      QTYPE   PTR (12)
      QCLASS  1
    ANSWER SECTION:
      empty
    AUTHORITY SECTION:
    Offset = 0x002c, RR count = 0
    Name      "[C00F](3)229(2)40(3)111(7)in-addr(4)arpa(0)"
      TYPE   NS  (2)
      CLASS  1
      TTL    1630
      DLEN   25
      DATA   (4)dns2(2)hl(11)chinamobile(3)com(0)
    Offset = 0x0051, RR count = 1
    Name      "[C00F](3)229(2)40(3)111(7)in-addr(4)arpa(0)"
      TYPE   NS  (2)
      CLASS  1
      TTL    1630
      DLEN   7
      DATA   (4)dns1[C03D](2)hl(11)chinamobile(3)com(0)
    Offset = 0x0064, RR count = 2
    Name      "[C00F](3)229(2)40(3)111(7)in-addr(4)arpa(0)"
      TYPE   NS  (2)
      CLASS  1
      TTL    1630
      DLEN   7
      DATA   (4)dns3[C03D](2)hl(11)chinamobile(3)com(0)
    Offset = 0x0077, RR count = 3
    Name      "[C00F](3)229(2)40(3)111(7)in-addr(4)arpa(0)"
      TYPE   NS  (2)
      CLASS  1
      TTL    1630
      DLEN   7
      DATA   (4)dns4[C03D](2)hl(11)chinamobile(3)com(0)
    ADDITIONAL SECTION:
    Offset = 0x008a, RR count = 0
    Name      "[C05D](4)dns1[C03D](2)hl(11)chinamobile(3)com(0)"
      TYPE   A  (1)
      CLASS  1
      TTL    2419
      DLEN   4
      DATA   218.203.56.224
    Offset = 0x009a, RR count = 1
    Name      "[C070](4)dns3[C03D](2)hl(11)chinamobile(3)com(0)"
      TYPE   A  (1)
      CLASS  1
      TTL    1898
      DLEN   4
      DATA   111.40.229.76
    Offset = 0x00aa, RR count = 2
    Name      "[C038](4)dns2(2)hl(11)chinamobile(3)com(0)"
      TYPE   A  (1)
      CLASS  1
      TTL    1898
      DLEN   4
      DATA   218.203.56.240
    Offset = 0x00ba, RR count = 3
    Name      "[C083](4)dns4[C03D](2)hl(11)chinamobile(3)com(0)"
      TYPE   A  (1)
      CLASS  1
      TTL    1898
      DLEN   4
      DATA   111.40.229.77
 
===================
 
 
ps
 
о каком запросе к китайцам и их ответе идет речь?
если про windump, то с каким фильтром чтобы сервак не загнулся от нагрузки?
 
 

Всего записей: 19 | Зарегистр. 02-03-2004 | Отправлено: 12:31 06-04-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » подозрительная активность на 53 порту сервера


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru