+ Responder ao Tópico



  1. #1

    Thumbs down virus dando muita dor de cabeça

    estou com um problema a mais de 3 meses
    nos clientes que vejo que esta com virus formato o pc mais nao esta adiantando nada
    fica bom 1 ou 2 dias e volta a estourar o limite de banda.
    aki uso hotspot com cache-full controle de banda pelo hotspot mesmo.
    e a algum tempo vem ocorrendo em varios usuarios meus um estouro do limite de banda que eu coloco muito a cima.
    sempre em upload.
    veja nas imagens se alguem pode me ajudar a solucionar esse problema ..
    desde ja muito obrigado.
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         raquel2.jpg
Visualizações:	393
Tamanho: 	127,1 KB
ID:      	3281   Clique na imagem para uma versão maior

Nome:	         raquel22.jpg
Visualizações:	389
Tamanho: 	156,6 KB
ID:      	3282  


  2. #2
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Pela imagem do torch não parece ser vírus e sim bittorrent na porta 0. Porta 0 por padrão nem deveria ser usado. Crie um filtro em firewall com destino a porta 0 e ação de negação.

  3. #3

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Pela imagem do torch não parece ser vírus e sim bittorrent na porta 0. Porta 0 por padrão nem deveria ser usado. Crie um filtro em firewall com destino a porta 0 e ação de negação.
    achei que era virus por ultrapaçar o limite de banda e ultilizar a porta 0.
    no queue tree tem controle de p2p la fica normal nao ultrapaça será que he mesmo p2p ou virús.
    de qualquer modo vou fazer o que vc disse criar uma regra pra bloquear a porta 0
    vlw pela ajuda.

  4. #4

    Padrão

    bom lembrar que mesmo que aparareça esse "estouro" de banda, na realidade ela não se concretiza para internet, o que pode ser observado através da ferramenta torch do mikrotik, no entanto virus também pode causar esse problema sim, aconteceu uma vez aqui comigo. Na realidade o que acontece é o que o vírus ou programa tenta enviar por exemplo uma porrada de requisições icmp, o gateway as recebe, afinal não existe limite de banda entre o cliente e o gateway e sim entre o gateway e a intenet. Assim para evitar problemas temos mesmo que ficar de olho e saná-lo na fonte.

    O uso de aps com controle de banda no cliente e nano station podem ser uma solução, visto a possívilidade de limitar a banda no cliente, evitando que requisições indesejadas sejam enviadas a torre.

    Não me lembro em qual post, mas comentei sobre isso aki no forum e o sérgio (supermoderador) disse estar desenvolvendo um scrip para desconectar e banir o mac que causasse tal interferência, evitando lentidão geral a rede. Enfim não sei no que deu ainda!




    No entanto é bom lembra também que cada politica de controle de banda tem um tempo de atuação, a politica sfq, normalmente ustilizada em transmissão wireless com o mikrotik, me parece tem cmo tempo de inspeção ou comparação o intervalo de cinco segundos como padrão, assim dentre desse intervalo podem existir valores maiores e menores do que a banda especificada já que o que realemente conta é a média do período.


    De posse da média o sistema dropa pacotes com objetivo de diminuir a banda.
    Última edição por JHONNE; 01-01-2009 às 23:26.

  5. #5

    Padrão

    De vez enquando acontece aqui, sempre é vírus ou P2P, um limite de conexões simultâneas, aqui, fez diminuir bastante o problema.

  6. #6

    Padrão

    PODE SER TAMBEM QUE SEU CACHE ESTEJA ARMAZENANDO TAL VIRUS, JA QUE DEPOIS DE 3 DIAS DE FORMATADO O COMPUTADOR DO CLIENTE ELE VOLTA A DAR PROBLEMA, DAI A VANTAGEM DE AS VEZES ESVAZIAR O CACHE, EU PELO MENOS FAÇO A CADA 15 DIAS EM MEDIA, PARO O WEB-PROXY E DEPOIS ESVAZIO O CACHE, VERIFICO O HD E ESTABELEÇO NOVA CONECÇÃO, SEMPRE DE MADRUGADA.


    Citação Postado originalmente por 14735 Ver Post
    estou com um problema a mais de 3 meses
    nos clientes que vejo que esta com virus formato o pc mais nao esta adiantando nada
    fica bom 1 ou 2 dias e volta a estourar o limite de banda.
    aki uso hotspot com cache-full controle de banda pelo hotspot mesmo.
    e a algum tempo vem ocorrendo em varios usuarios meus um estouro do limite de banda que eu coloco muito a cima.
    sempre em upload.
    veja nas imagens se alguem pode me ajudar a solucionar esse problema ..
    desde ja muito obrigado.

  7. #7
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por netuai Ver Post
    PODE SER TAMBEM QUE SEU CACHE ESTEJA ARMAZENANDO TAL VIRUS, JA QUE DEPOIS DE 3 DIAS DE FORMATADO O COMPUTADOR DO CLIENTE ELE VOLTA A DAR PROBLEMA, DAI A VANTAGEM DE AS VEZES ESVAZIAR O CACHE, EU PELO MENOS FAÇO A CADA 15 DIAS EM MEDIA, PARO O WEB-PROXY E DEPOIS ESVAZIO O CACHE, VERIFICO O HD E ESTABELEÇO NOVA CONECÇÃO, SEMPRE DE MADRUGADA.
    Quando se configura um web-proxy, normalmente é para realizar cache (exceto em alguns casos, onde utiliza-se o mesmo para controle de conteúdo), desta forma o "maior patrimônio" de um web-proxy é o seu cache. Bem configurado o web-proxy com suas políticas de atualização, o mesmo descarta os objetos antigos e matem os objetos mais recentes.

    Agora se monta um web-proxy e esvazia o mesmo de 15 em 15 dias, está gastando tempo e equipamento à toa... é ridículo este pensamento e não sei quem foi o "iluminado" que teve esta idéia.

    Web-proxy é para se configurar e deixar o mesmo funcionando o maior tempo possível sem ficar alterando suas configurações ou esvaziando o cache. Esvazia-se um cache normalmente quando a mídia apresenta problemas (bad blocks, arquivos corrompidos).

    Se tem vírus no cache, utilize um antivírus.

  8. #8

    Padrão

    Concordo, ate discutimos tal assunto, eu e você no curso MK de Belo Horizonte, o ultimo que teve, se lembra, sou o Juliano, so que neste caso pode ate ser que resolva o problema. Foi apenas uma dica...



    Citação Postado originalmente por sergio Ver Post
    Quando se configura um web-proxy, normalmente é para realizar cache (exceto em alguns casos, onde utiliza-se o mesmo para controle de conteúdo), desta forma o "maior patrimônio" de um web-proxy é o seu cache. Bem configurado o web-proxy com suas políticas de atualização, o mesmo descarta os objetos antigos e matem os objetos mais recentes.

    Agora se monta um web-proxy e esvazia o mesmo de 15 em 15 dias, está gastando tempo e equipamento à toa... é ridículo este pensamento e não sei quem foi o "iluminado" que teve esta idéia.

    Web-proxy é para se configurar e deixar o mesmo funcionando o maior tempo possível sem ficar alterando suas configurações ou esvaziando o cache. Esvazia-se um cache normalmente quando a mídia apresenta problemas (bad blocks, arquivos corrompidos).

    Se tem vírus no cache, utilize um antivírus.

  9. #9
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por netuai Ver Post
    Concordo, ate discutimos tal assunto, eu e você no curso MK de Belo Horizonte, o ultimo que teve, se lembra, sou o Juliano, so que neste caso pode ate ser que resolva o problema. Foi apenas uma dica...
    Sim, Juliano, eu lembro. Tanto que toda vez que vejo esse assunto de limpar cache eu fico "irado"...hehehehe.

    Lembra que o Maia disse que eu sou o "fominha" por web-proxy? :P

    Conforme mencionei, acredito mais em P2P do que em vírus (no caso desse post), pois o tráfego é UDP e não vi icmp no Torch, algo que os vírus utilizam-se com frequência.

    Falando nisso... você não está usando o script "wesley" não, certo? hahahaha

  10. #10

    Padrão

    A, este script eu deixo pra vc mesmo, rsrs, mas to prescizando de um favor seu, queria uma copia de cada foto daquelas do curso, você pode me mandar? mande para meu e-mail [email protected]

    Citação Postado originalmente por sergio Ver Post
    Sim, Juliano, eu lembro. Tanto que toda vez que vejo esse assunto de limpar cache eu fico "irado"...hehehehe.

    Lembra que o Maia disse que eu sou o "fominha" por web-proxy? :P

    Conforme mencionei, acredito mais em P2P do que em vírus (no caso desse post), pois o tráfego é UDP e não vi icmp no Torch, algo que os vírus utilizam-se com frequência.

    Falando nisso... você não está usando o script "wesley" não, certo? hahahaha

  11. #11
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por netuai Ver Post
    A, este script eu deixo pra vc mesmo, rsrs, mas to prescizando de um favor seu, queria uma copia de cada foto daquelas do curso, você pode me mandar? mande para meu e-mail [email protected]

    hummm... tá no notebook que usamos para ftp (nosso super servidor, hehehehe)... amanhã pego ele na empresa e mando as fotos.

  12. #12

    Padrão

    obrigado sergio me parece que nao era virus mesmo nao
    bloquiei a porta 0 e simplesmente o problema foi resolvido
    agora nao esta mais ultrapassando o limite de banda ..
    obrigado.

  13. #13
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por 14735 Ver Post
    obrigado sergio me parece que nao era virus mesmo nao
    bloquiei a porta 0 e simplesmente o problema foi resolvido
    agora nao esta mais ultrapassando o limite de banda ..
    obrigado.

    Sim, foi o que imaginei. Porta 0 é torrent normalmente.

    Agora quanto às dicas do pessoal acima, fica de olho, pois acontece, ainda mais onde clientes ficam no P2P dia e noite sem parar entupindo os PCs de vírus. O Torch e o Packet Sniffer são excelentes ferramentas para monitorar e identificar o que ocorre na rede.

  14. #14

    Padrão

    resolvi de um lado estragou pelo outro
    bloquiei a porta 0 ficou uma maravilha
    depois de 1 dia veio uns clientes que joga um tal de Mú
    falando que nao entra mais no jogo
    desabilitei o jogo pra testar e o jogo entrou :/
    e agora sera que tem como controlar a banda dessa porta 0 ?
    tenho muitos clientes que joga esse jogo e bloquear essa porta vai me causar transtornos ..

  15. #15
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Como falei antes, porta 0, por padrão não é usada. Este jogo provavelmente não usa esta porta. Verifique se não possui outros filtros (principalmente UDP) que estão provocando problemas.

    Se for o caso peça ao jogador para mudar as portas do jogo.

  16. #16

    Padrão

    olha so primeiro eu criei esse regra

    add chain=forward protocol=udp src-port=0 dst-port=0 action=drop \
    comment="DROPE DA PORTA 0" disabled=no

    nao funcionou ai coloquei assim

    add chain=forward src-port=0 dst-port=0 action=drop comment="DROPE DA PORTA 0" \
    disabled=no

    funcionou blzinha porem nao entra no msn e em alguns jogos .

    estranho eu ativo ela o msn nao entra se desativar o msn entra na hora
    eu nao sabia que o msn tinha alguma coisa a ver com a porta 0 :/

  17. #17
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por 14735 Ver Post
    olha so primeiro eu criei esse regra

    add chain=forward protocol=udp src-port=0 dst-port=0 action=drop \
    comment="DROPE DA PORTA 0" disabled=no

    nao funcionou ai coloquei assim

    add chain=forward src-port=0 dst-port=0 action=drop comment="DROPE DA PORTA 0" \
    disabled=no

    funcionou blzinha porem nao entra no msn e em alguns jogos .

    estranho eu ativo ela o msn nao entra se desativar o msn entra na hora
    eu nao sabia que o msn tinha alguma coisa a ver com a porta 0 :/
    Esse filtro é necessário apenas para porta de destino 0, em porta de origem não configure nada.

  18. #18

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Esse filtro é necessário apenas para porta de destino 0, em porta de origem não configure nada.
    foi exatamente o que eu fiz aki agora pouco pra testar coloquei somente na porta de destino dst
    porem se coloca o protocolo UDP o que aparece no touch a regra nao marca nao bloqueia ..
    quando tiro o protocolo a regra marca e bloqueia na hora ..

    o problema he que se colocar sem algum protocolo ele bloqueia msn e outras coisas tbm .

    ou seja nao sei oq fazer agora hehe