virus dando muita dor de cabeça

[14735]

estou com um problema a mais de 3 meses
nos clientes que vejo que esta com virus formato o pc mais nao esta adiantando nada
fica bom 1 ou 2 dias e volta a estourar o limite de banda.
aki uso hotspot com cache-full controle de banda pelo hotspot mesmo.
e a algum tempo vem ocorrendo em varios usuarios meus um estouro do limite de banda que eu coloco muito a cima.
sempre em upload.
veja nas imagens se alguem pode me ajudar a solucionar esse problema ..
desde ja muito obrigado.

[sergio]

Pela imagem do torch não parece ser vírus e sim bittorrent na porta 0. Porta 0 por padrão nem deveria ser usado. Crie um filtro em firewall com destino a porta 0 e ação de negação.

[14735]

Pela imagem do torch não parece ser vírus e sim bittorrent na porta 0. Porta 0 por padrão nem deveria ser usado. Crie um filtro em firewall com destino a porta 0 e ação de negação.

achei que era virus por ultrapaçar o limite de banda e ultilizar a porta 0.
no queue tree tem controle de p2p la fica normal nao ultrapaça será que he mesmo p2p ou virús.
de qualquer modo vou fazer o que vc disse criar uma regra pra bloquear a porta 0
vlw pela ajuda.

[JHONNE]

bom lembrar que mesmo que aparareça esse "estouro" de banda, na realidade ela não se concretiza para internet, o que pode ser observado através da ferramenta torch do mikrotik, no entanto virus também pode causar esse problema sim, aconteceu uma vez aqui comigo. Na realidade o que acontece é o que o vírus ou programa tenta enviar por exemplo uma porrada de requisições icmp, o gateway as recebe, afinal não existe limite de banda entre o cliente e o gateway e sim entre o gateway e a intenet. Assim para evitar problemas temos mesmo que ficar de olho e saná-lo na fonte.

O uso de aps com controle de banda no cliente e nano station podem ser uma solução, visto a possívilidade de limitar a banda no cliente, evitando que requisições indesejadas sejam enviadas a torre.

Não me lembro em qual post, mas comentei sobre isso aki no forum e o sérgio (supermoderador) disse estar desenvolvendo um scrip para desconectar e banir o mac que causasse tal interferência, evitando lentidão geral a rede. Enfim não sei no que deu ainda!




No entanto é bom lembra também que cada politica de controle de banda tem um tempo de atuação, a politica sfq, normalmente ustilizada em transmissão wireless com o mikrotik, me parece tem cmo tempo de inspeção ou comparação o intervalo de cinco segundos como padrão, assim dentre desse intervalo podem existir valores maiores e menores do que a banda especificada já que o que realemente conta é a média do período.


De posse da média o sistema dropa pacotes com objetivo de diminuir a banda.

[Josue Guedes]

De vez enquando acontece aqui, sempre é vírus ou P2P, um limite de conexões simultâneas, aqui, fez diminuir bastante o problema.

[netuai]

PODE SER TAMBEM QUE SEU CACHE ESTEJA ARMAZENANDO TAL VIRUS, JA QUE DEPOIS DE 3 DIAS DE FORMATADO O COMPUTADOR DO CLIENTE ELE VOLTA A DAR PROBLEMA, DAI A VANTAGEM DE AS VEZES ESVAZIAR O CACHE, EU PELO MENOS FAÇO A CADA 15 DIAS EM MEDIA, PARO O WEB-PROXY E DEPOIS ESVAZIO O CACHE, VERIFICO O HD E ESTABELEÇO NOVA CONECÇÃO, SEMPRE DE MADRUGADA.

estou com um problema a mais de 3 meses
nos clientes que vejo que esta com virus formato o pc mais nao esta adiantando nada
fica bom 1 ou 2 dias e volta a estourar o limite de banda.
aki uso hotspot com cache-full controle de banda pelo hotspot mesmo.
e a algum tempo vem ocorrendo em varios usuarios meus um estouro do limite de banda que eu coloco muito a cima.
sempre em upload.
veja nas imagens se alguem pode me ajudar a solucionar esse problema ..
desde ja muito obrigado.

[sergio]

PODE SER TAMBEM QUE SEU CACHE ESTEJA ARMAZENANDO TAL VIRUS, JA QUE DEPOIS DE 3 DIAS DE FORMATADO O COMPUTADOR DO CLIENTE ELE VOLTA A DAR PROBLEMA, DAI A VANTAGEM DE AS VEZES ESVAZIAR O CACHE, EU PELO MENOS FAÇO A CADA 15 DIAS EM MEDIA, PARO O WEB-PROXY E DEPOIS ESVAZIO O CACHE, VERIFICO O HD E ESTABELEÇO NOVA CONECÇÃO, SEMPRE DE MADRUGADA.

Quando se configura um web-proxy, normalmente é para realizar cache (exceto em alguns casos, onde utiliza-se o mesmo para controle de conteúdo), desta forma o "maior patrimônio" de um web-proxy é o seu cache. Bem configurado o web-proxy com suas políticas de atualização, o mesmo descarta os objetos antigos e matem os objetos mais recentes.

Agora se monta um web-proxy e esvazia o mesmo de 15 em 15 dias, está gastando tempo e equipamento à toa... é ridículo este pensamento e não sei quem foi o "iluminado" que teve esta idéia.

Web-proxy é para se configurar e deixar o mesmo funcionando o maior tempo possível sem ficar alterando suas configurações ou esvaziando o cache. Esvazia-se um cache normalmente quando a mídia apresenta problemas (bad blocks, arquivos corrompidos).

Se tem vírus no cache, utilize um antivírus.

[netuai]

Concordo, ate discutimos tal assunto, eu e você no curso MK de Belo Horizonte, o ultimo que teve, se lembra, sou o Juliano, so que neste caso pode ate ser que resolva o problema. Foi apenas uma dica...

Quando se configura um web-proxy, normalmente é para realizar cache (exceto em alguns casos, onde utiliza-se o mesmo para controle de conteúdo), desta forma o "maior patrimônio" de um web-proxy é o seu cache. Bem configurado o web-proxy com suas políticas de atualização, o mesmo descarta os objetos antigos e matem os objetos mais recentes.

Agora se monta um web-proxy e esvazia o mesmo de 15 em 15 dias, está gastando tempo e equipamento à toa... é ridículo este pensamento e não sei quem foi o "iluminado" que teve esta idéia.

Web-proxy é para se configurar e deixar o mesmo funcionando o maior tempo possível sem ficar alterando suas configurações ou esvaziando o cache. Esvazia-se um cache normalmente quando a mídia apresenta problemas (bad blocks, arquivos corrompidos).

Se tem vírus no cache, utilize um antivírus.

[sergio]

Concordo, ate discutimos tal assunto, eu e você no curso MK de Belo Horizonte, o ultimo que teve, se lembra, sou o Juliano, so que neste caso pode ate ser que resolva o problema. Foi apenas uma dica...

Sim, Juliano, eu lembro. Tanto que toda vez que vejo esse assunto de limpar cache eu fico "irado"...hehehehe.

Lembra que o Maia disse que eu sou o "fominha" por web-proxy? :P

Conforme mencionei, acredito mais em P2P do que em vírus (no caso desse post), pois o tráfego é UDP e não vi icmp no Torch, algo que os vírus utilizam-se com frequência.

Falando nisso... você não está usando o script "wesley" não, certo? hahahaha

[netuai]

A, este script eu deixo pra vc mesmo, rsrs, mas to prescizando de um favor seu, queria uma copia de cada foto daquelas do curso, você pode me mandar? mande para meu e-mail [email protected]

Sim, Juliano, eu lembro. Tanto que toda vez que vejo esse assunto de limpar cache eu fico "irado"...hehehehe.

Lembra que o Maia disse que eu sou o "fominha" por web-proxy? :P

Conforme mencionei, acredito mais em P2P do que em vírus (no caso desse post), pois o tráfego é UDP e não vi icmp no Torch, algo que os vírus utilizam-se com frequência.

Falando nisso... você não está usando o script "wesley" não, certo? hahahaha

[sergio]

A, este script eu deixo pra vc mesmo, rsrs, mas to prescizando de um favor seu, queria uma copia de cada foto daquelas do curso, você pode me mandar? mande para meu e-mail [email protected]

hummm... tá no notebook que usamos para ftp (nosso super servidor, hehehehe)... amanhã pego ele na empresa e mando as fotos.

[14735]

obrigado sergio me parece que nao era virus mesmo nao
bloquiei a porta 0 e simplesmente o problema foi resolvido
agora nao esta mais ultrapassando o limite de banda ..
obrigado.

[sergio]

obrigado sergio me parece que nao era virus mesmo nao
bloquiei a porta 0 e simplesmente o problema foi resolvido
agora nao esta mais ultrapassando o limite de banda ..
obrigado.

Sim, foi o que imaginei. Porta 0 é torrent normalmente.

Agora quanto às dicas do pessoal acima, fica de olho, pois acontece, ainda mais onde clientes ficam no P2P dia e noite sem parar entupindo os PCs de vírus. O Torch e o Packet Sniffer são excelentes ferramentas para monitorar e identificar o que ocorre na rede.

[14735]

resolvi de um lado estragou pelo outro
bloquiei a porta 0 ficou uma maravilha
depois de 1 dia veio uns clientes que joga um tal de Mú
falando que nao entra mais no jogo
desabilitei o jogo pra testar e o jogo entrou :/
e agora sera que tem como controlar a banda dessa porta 0 ?
tenho muitos clientes que joga esse jogo e bloquear essa porta vai me causar transtornos ..

[sergio]

Como falei antes, porta 0, por padrão não é usada. Este jogo provavelmente não usa esta porta. Verifique se não possui outros filtros (principalmente UDP) que estão provocando problemas.

Se for o caso peça ao jogador para mudar as portas do jogo.

[14735]

olha so primeiro eu criei esse regra

add chain=forward protocol=udp src-port=0 dst-port=0 action=drop \
comment="DROPE DA PORTA 0" disabled=no

nao funcionou ai coloquei assim

add chain=forward src-port=0 dst-port=0 action=drop comment="DROPE DA PORTA 0" \
disabled=no

funcionou blzinha porem nao entra no msn e em alguns jogos .

estranho eu ativo ela o msn nao entra se desativar o msn entra na hora
eu nao sabia que o msn tinha alguma coisa a ver com a porta 0 :/

[sergio]

olha so primeiro eu criei esse regra

add chain=forward protocol=udp src-port=0 dst-port=0 action=drop \
comment="DROPE DA PORTA 0" disabled=no

nao funcionou ai coloquei assim

add chain=forward src-port=0 dst-port=0 action=drop comment="DROPE DA PORTA 0" \
disabled=no

funcionou blzinha porem nao entra no msn e em alguns jogos .

estranho eu ativo ela o msn nao entra se desativar o msn entra na hora
eu nao sabia que o msn tinha alguma coisa a ver com a porta 0 :/

Esse filtro é necessário apenas para porta de destino 0, em porta de origem não configure nada.

[14735]

Esse filtro é necessário apenas para porta de destino 0, em porta de origem não configure nada.

foi exatamente o que eu fiz aki agora pouco pra testar coloquei somente na porta de destino dst
porem se coloca o protocolo UDP o que aparece no touch a regra nao marca nao bloqueia ..
quando tiro o protocolo a regra marca e bloqueia na hora ..

o problema he que se colocar sem algum protocolo ele bloqueia msn e outras coisas tbm .

ou seja nao sei oq fazer agora hehe