"Kedves" különlegesség :)

Microsoft Windows

Szép estét mindenkinek! :)
Egy igazán aranyos problémával kerültem szembe, adott 1 kis iroda 6 számítógéppel, a net egy "tilgin" router-en keresztül érkezik, invitel-ADSL.
A tilginből megy a net egy linksys WRT54GL-be mely wifin osztja szép a nép között. A gépekben d-link wifi kártya van. A gépek látják egymást, és látják a szervernek kinevezett gép hálózati megosztásait is. A "szerver" Suse x64 11.1-el egyszerű samba szerverként működik, erre a gépek mentik a dolgozók a munkájukat, és ezen van a nyomtató is. A munkaállomásokon Win7 x64 Professional van.
A "kedvesség" az hogy ma 18:00-kor megszűnt a munkaállomásokon a http:// forgalom. Ez azt jelenti hogy bármilyen címet írnak be a win-es gépeken ami http:// "time out" -al elszáll, semmi sem jön be. De!
A ping működik bárhová, ftp, https:// címek működnek, elvileg a levelezés is működik, azok a levelek nem jönnek be melyek html formátumban vannak, sima txt levelek lejönnek, küldeni viszont bármit lehet.
A skype és az msn működik, torrentezni is lehet...
A "szerver" gépen működik minden, a laptopommal felcsatlakoztam azon is működik, a munkaállomásokat az AVG9 védi, mely patyolat tisztának találja a gépeket, az s&d sem talál semmit, az egyik gépen kicseréltem az avg-t kaspersky-re de az is tisztának mutatja a gépet.A "hosts" fájl érintetlen.

Valaki látott már ilyet ?

  • 1980 megtekintés

( magyarver | 2010. 01. 19., k – 20:13 )

Én két dolgot néznék át.

1 Suse IPTABLES 80-as port.

2 AVG. valamit baszkurál a gép dns beállításaival vagy mi.. nemtudom pontosan mer régen hallottam meg windowsszal is régen aláztam meg a gépem. Próbáld ki, hogy kikapcsolod... hogy úgy megy e a klienseken a net.

( meridian v | 2010. 01. 19., k – 20:33 )

próbálj meg más DNS szervereket megadni a gépeken

( bsh | 2010. 01. 19., k – 20:33 )

(majdnem) olyan, mintha valaki beállított volna a routeren valami parental control / blocking szabályt "http://"-re :)
de valószínűleg az avg teszi ezt. (link scanning?) nem lehet, hogy volt valami avg frissítés, amiben elkeféltek valamit?

Hát azt hiszem kezdem feladni :(

A következő a helyzet:
DNS szerverek:

-213.163.34.66
-62.77.203.10

Nos most a gépeken nincs semmilyen "idegen" program, a linksys beállításai:

Routing Table Entry List
Destination LAN IP Subnet Mask Gateway Interface
0.0.0.0 0.0.0.0 192.168.1.1 WAN (Internet)
172.16.1.0 255.255.255.0 172.16.1.1 LAN & Wireless
192.168.1.0 255.255.255.0 192.168.1.6 WAN (Internet)

Bármit lehet csinálni a http:// forgalmon kívül, ftpről szépen lehet tölteni, "https://addons.mozilla.org/hu/firefox/" szépen bejön, de a www.hup.hu már nem, azt "túl hosszú ideig nem válaszolt" szöveggel már eldobja. Próbáltam, IE8/IE8 x64, firefox 3.5.7, 3.6RC2, Opera 10.1, chorme, és még Szafari is, de semmi nem jön be ami http:// -vel kezdődik.
Azt is megpróbáltam hogy az egyik gép lan portjába dugtam a tilgin routerből kijövő kábelt, ip-t kap ipconfig /all -ra kiírja a dns-eket, megpingel bármit, de böngészni az nem böngészik.
Gyanús hogy újra kell rakni a win-ek, de jó lenne tudni hogy mi intézte el őket, rootkit -et is kerestem, mcafee és avg keresőkkel, eredmény semmi...
Ha Suse-t állítom be gateway-nek akkor az iptraf segítségével meg tudom nézni hogy a kliensek miket töltenek fel? Vagy ahhoz a wireshark kellene ?

UI:
Letölttem a wireshark-ot feletettem egy "beteg" gépre és gyanús hálózati forgalmat találtam a feltöltések között:

Internet Protocol, Src: 172.16.1.104 (172.16.1.104), Dst: 79.112.225.116 (79.112.225.116) Protocol: UDP
Total data length: 2048237 kbytes

ide tölt fel a beteg win7-es gép:
http://whois.domaintools.com/79.112.225.116

(már 40 megánál jár.)

( gthomas | 2010. 01. 19., k – 23:25 )

Buta ötlet: nem lehet, hogy DNS átirányítás van egy DNS-bármimás gateway-re, és épp töltik le a céges adatokat UDP-n DNS csomagoknak álcázva (ill. abban elrejtve)?

( maszogep | 2010. 01. 20., sze – 08:34 )

...másik modem, másik router?

szerk.: visszavonva, most esett le, hogy a szerveren megy a dolog...

---
Ó, hogy a hatalmas Kublaj kán üssön rajtad, és a házad népén!

( chx | 2010. 01. 20., sze – 07:06 )

Ha a SuSE-n megy a http, a wineken meg nem, akkor egyértelmű hogy a winek beszedtek valamit.
Esetleg:
netsh winsock reset
reboot

__________________________
Kinek a pap, kinek a chap.

Újrahúztam őket , most működik minden rendesen, a fenti ip-t a routerben bannoltam.
Szép éjszaka volt ... a legbosszantóbb az egészben az hogy csupán azért van win7 a gépeken, mert sem az SE sem a Nokia telefonokat nem lehet linux alatt pl a Thunderbird névjegyzékével szinkronizálni, e miatt win7+outlook 2007 meg a szopás.

Nem jött :)
Szerintem emilben jött valami kedvesség, én is kaptam az inviteles emilemre olyan üzenetet, hogy nézzem meg ezeket az ajánlatokat, tunéziai utazást kínáltak, sok szép kép, normális levélnek tűnt, a melléket árlista egy pdf fájl volt, megnyitom és üres lapok vannak benne, pontosan 5 oldalnyi üres pdf doksi, töröltem.
Az irodában is kaptak egy csomó kéretlen levelet, a legtöbbjét törölték a hölgyek, de az édi-bébi kiscicás prezentációkat megnyitották akkor is ha ismeretlen volt a feladó.
A meló után szoktak maradni a hölgyek és megy a chat.hu, skype, msn, általában kilenckor húznak haza. Azon gondolkodom hogy akár a java-n keresztül is ki tudták fingatni a 7-est.

( th v | 2010. 01. 20., sze – 20:32 )

En egy par evvel ezelott talalkoztam ugyanezze egy XP-n. Annak is reinstall lett a vege, de ugy nezett ki, mintha magat a TCP protokolt piszkalta volna meg valami. Vagy egyszeruen csak megserult egy lefagyas/reset kozben. Azota is erdekel, hogy mi okozhatta, mert kezdeni semmit nem tudtam vele...

--
TH