"Самоволочка" Netware 5.1

Обсуждение технических вопросов по продуктам Novell

"Самоволочка" Netware 5.1

Сообщение Аркадий Глазырин » 02 сен 2002, 20:34

Проанализировал LOG с Cisco и вдруг очень сильно удивился.
Файл-сервер Netware 5.1 SP2 на котором поднят разве что FTP (сам сервер живет за NAT и файерволом во внутренней сети) периодически "бегает" на адреса: 217.106.6.129, 217.106.6.130.

По 20-100Килобайт за раз сходит, отложит и снова "молчек". Иногда по мегабайту откладывает.
Это что за "самоволочка"?
Снаружи к этому серверу точно не пробиться. Только изнутри можно такое сделать. Т.е. только по желанию самого сервера.

Вот что известно об этих загадочных адресах:

OrgName: RIPE Network Coordination Centre
OrgID: RIPE

NetRange: 217.0.0.0 - 217.255.255.255
CIDR: 217.0.0.0/8
NetName: 217-RIPE
NetHandle: NET-217-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS.RIPE.NET
NameServer: AUTH00.NS.UU.NET
NameServer: NS3.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: MUNNARI.OZ.AU
NameServer: NS.APNIC.NET
NameServer: SVC00.APNIC.NET
Comment: These addresses have been further assigned to users in
the RIPE NCC region. Contact information can be found in
the RIPE database at whois.ripe.net

RegDate: 2000-06-05
Updated: 2000-06-05

TechHandle: RIPE-NCC-ARIN
TechName: Reseaux IP European Network Co-ordination Centre S
TechPhone: +31 20 535 4444
TechEmail: nicdb@ripe.net

Выскажитесь, если кто-то что-то понимает.
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Уточнение...

Сообщение Сергей Дубров » 03 сен 2002, 06:00

У меня whois (whois.ripe.net) выдаёт чуть другую информацию (это ростелекомовские адреса, бэкбоны):

% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-service ... right.html

inetnum: 217.106.0.0 - 217.107.255.255
netname: RU-ROSTELECOM-20001220
descr: OJSC Rostelecom,
descr: Rostelecom Internet Center
descr: PROVIDER
country: RU
admin-c: RT-ORG
tech-c: RT-ORG
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: AS8342-MNT
mnt-routes: AS8342-MNT
changed: hostmaster@ripe.net 20001220
changed: hostmaster@ripe.net 20010703
changed: hostmaster@ripe.net 20010709
changed: lir-help@ripe.net 20011214
source: RIPE

route: 217.106.0.0/15
descr: ROSTELECOM-NET
origin: AS8342
notify: ncc@rt.ru
mnt-by: AS8342-MNT
changed: rus@rt.ru 20001221
source: RIPE

role: ROSTELECOM Internet Center
address: JSC Rostelecom
address: Delegatskaya str., 5
address: Moscow, Russia
address: 103091
phone: +7 095 334 99 83
phone: +7 095 339 24 15
fax-no: +7 095 339 24 15
e-mail: ncc@rt.ru
trouble: ---------------------------------------------------------
trouble: ROSTELECOM Internet Center is available 24 x 7
trouble: ---------------------------------------------------------
trouble: Points of contact for ROSTELECOM Network Operations
trouble: ---------------------------------------------------------
trouble: SPAM and Network security issues: abuse@rt.ru
trouble: General information: info@rt.ru
trouble: Routing and peering issues: noc@rt.ru
trouble: Mail issues: postmaster@rt.ru
trouble: News issues: newsmaster@rt.ru
trouble: ---------------------------------------------------------
trouble:
trouble: _________________A T T E N T I O N!____________________
trouble:
trouble: Please use abuse@rt.ru e-mail address for complaints.
trouble: All messages to any other our address, relative to SPAM
trouble: or security issues, will not be concerned.
trouble:
trouble: ---------------------------------------------------------
admin-c: DVS3-RIPE
admin-c: RRS6-RIPE
tech-c: DVS3-RIPE
tech-c: RRS6-RIPE
tech-c: DIMA-RIPE
tech-c: RUS-RIPE
nic-hdl: RT-ORG
notify: ncc@rt.ru
mnt-by: AS8342-MNT
changed: rus@rt.ru 20010627
changed: rus@rt.ru 20020508
changed: rus@rt.ru 20020725
source: RIPE



**complete**
Аватара пользователя
Сергей Дубров
 
Сообщения: 2072
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Евгений Андреев » 03 сен 2002, 08:03

Это номер :) Ломится нетварь Ваша действительно в сторону ростелекомовских бэкбоновых маршрутизаторов. Только вот действительно непонятно зачем? Про троянов под НВ вроде даже и слышно не было никогда. Может имеет смысл помониторить destination адреса и порты?
И чайник сказал утюгу - Давай! Я тебе помогу!
Аватара пользователя
Евгений Андреев
 
Сообщения: 131
Зарегистрирован: 10 авг 2002, 16:52
Откуда: Россия, Мегион

Троян под Netware?

Сообщение Аркадий Глазырин » 03 сен 2002, 08:49

Евгений Андреев писал(а):Это номер :) Ломится нетварь Ваша действительно в сторону ростелекомовских бэкбоновых маршрутизаторов. Только вот действительно непонятно зачем? Про троянов под НВ вроде даже и слышно не было никогда. Может имеет смысл помониторить destination адреса и порты?


За двадцать лет ни одного вируса или трояна под Netware не написали. Может быть какая-нибудь приблуда (например тот же консольный менеджер) лезет регистрироваться или обновляться?
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Сообщение Евгений Андреев » 03 сен 2002, 10:48

Аркадий, у меня НВ 5.1 СП3 работает с реальным интернетовским ip адресом. Сидит за файрволом. На котором простое правило - deny all from any to x.x.x.x и обратное правило deny all from x.x.x.x to any. Что хочу сказать. Периодически посмоатриваю статистику файрвола. Естественно всяческие бродкаст пакеты НВ рассылает, но что бы ломится напрямую куда то - такого не было никогда. Странно это все как то.
И чайник сказал утюгу - Давай! Я тебе помогу!
Аватара пользователя
Евгений Андреев
 
Сообщения: 131
Зарегистрирован: 10 авг 2002, 16:52
Откуда: Россия, Мегион

Сообщение Andrey Grigorovich » 03 сен 2002, 11:32

А на этом серваке случаем named не поднят?
With Best Wishes from Siberia,
Андрей Григорович aka Hyper Mode
Аватара пользователя
Andrey Grigorovich
 
Сообщения: 80
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Мегион, ХМАО

Чего-чего?

Сообщение Аркадий Глазырин » 03 сен 2002, 11:55

Andrey Grigorovich писал(а):А на этом серваке случаем named не поднят?


Это что такое?
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Re: Чего-чего?

Сообщение Andrey Grigorovich » 03 сен 2002, 12:02

Arkadi Glazyrin писал(а):
Andrey Grigorovich писал(а):А на этом серваке случаем named не поднят?


Это что такое?

Блин, даже не знаю, как отвечать... 8)
Это, блин, NLM-ка такая, которая за DNS отвечает...
Так вот, если у тебя DNS на нетвари поднят, то поудаляй все лишнии зоны кроме своей... Тока не спрашивай "как" :roll:
With Best Wishes from Siberia,
Андрей Григорович aka Hyper Mode
Аватара пользователя
Andrey Grigorovich
 
Сообщения: 80
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Мегион, ХМАО


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: Yahoo [Bot] и гости: 6