Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    augustocss
    Galera,
    trabalho em um provedor e semana passada tivemos um problema de lentidão em nossa rede, de uma hora pra outra a rede wireless ficava uma carroça, e percebemos q ao digitar 'arp' no servidor/gateway linux, vinha um caminhão de ips (mais de 1000) e vários com o mesmo MAC.
    de início achamos tratar-se de um ataque DoS, mas depois de mt pesquisa na net e mt cabeça quente, descobrimos q era a máquina de um cliente infectada com um vírus q ficava jogando pacote na rede pra todo lado e causava a lentidão. era só ligar a maquina dele na rede e pronto, sentava tudo.

    alguém já passou por problema semelhante? há alguma forma de bloquear isso, ou só alertando (mais) os clientes sobre atualizações de antivirus, etc? temos poucos clientes, mas se fossem mais, não seria tão facil achar uma solucao pro problema...

    obrigado,

    Augusto

  2. da onde vc doido, de montenegro?



  3. #3
    haas
    Tenho o mesmo problema aqui, estou ficando de cabelo em pé com as ações desses virus, não sei o que fazer, alguém alguma dica?

  4. Citação Postado originalmente por haas
    Tenho o mesmo problema aqui, estou ficando de cabelo em pé com as ações desses virus, não sei o que fazer, alguém alguma dica?
    contrate um otimo tecnico e usa o VirusScan em sua rede



  5. #5
    haas
    Certo, mas isso é viável? Como por exemplo a empresas que oferecem ADSL lidam com isso? elas mandam um técnico ir remover os vírus da máquina dos clientes?

  6. #6
    augustocss
    ow pirigoso,
    sou do interior de sp...

    o virusscan vai resolver esse problema? ele vai varrer as maquinas dos clientes tambem? como funciona, tem q instalar o agente nos clientes???
    assim fica meio estranho, eu como cliente nao aceitaria tal coisa... e tem bastante cliente chato como eu...hehehehe

    valew! (alguma outra sugestao?)



  7. Citação Postado originalmente por augustocss
    Galera,
    trabalho em um provedor e semana passada tivemos um problema de lentidão em nossa rede, de uma hora pra outra a rede wireless ficava uma carroça, e percebemos q ao digitar 'arp' no servidor/gateway linux, vinha um caminhão de ips (mais de 1000) e vários com o mesmo MAC.
    de início achamos tratar-se de um ataque DoS, mas depois de mt pesquisa na net e mt cabeça quente, descobrimos q era a máquina de um cliente infectada com um vírus q ficava jogando pacote na rede pra todo lado e causava a lentidão. era só ligar a maquina dele na rede e pronto, sentava tudo.

    alguém já passou por problema semelhante? há alguma forma de bloquear isso, ou só alertando (mais) os clientes sobre atualizações de antivirus, etc? temos poucos clientes, mas se fossem mais, não seria tão facil achar uma solucao pro problema...

    obrigado,

    Augusto
    Já perdi muitos cabelos (dos poucos que ainda restam) e a soluçao é instalar o pppoe na sua rede. Normalmente esses vírus decarregam um tráfego imenso no seu gateway. Faça o teste; derrube o gateway na máquina contaminada e veja que o vírus não se propaga.

  8. Citação Postado originalmente por augustocss
    ow pirigoso,
    sou do interior de sp...

    o virusscan vai resolver esse problema? ele vai varrer as maquinas dos clientes tambem? como funciona, tem q instalar o agente nos clientes???
    assim fica meio estranho, eu como cliente nao aceitaria tal coisa... e tem bastante cliente chato como eu...hehehehe

    valew! (alguma outra sugestao?)
    o cara desde que o norton fazia apenas as ferramenta de rescue disk que ja nao me lembro mais isto uns 10 anos +- eu so uso o virus scan e cara nunca me incomodei, hj tenho uma rede wireles invejavel pelo meu trafego no meio de tanto ruido, e so uso este antivirus, isto eu imponho pro meu cliente na hora da instalação, somente com ativirus da VirusScan e nenhum emule ou Kazaa da vida, unico permitido e o Imesh e ainda sim configurado para 24 de up com 1 usuario apenas, pois tenho serios problemas como kazaa e emule ou dos genero na minha rede e se quer é assim se nao quer procure outro, meu link e de 1.5mb na ponta pro cliente e custo de 130,00 mensal e o cliente nao paga nada nem instalação e muito menos o raio, unica coisa e o cabo de rede e o fio eletrico, e eu nao uso cartao, souso bridge wet11 para lonje e dwl900+ pra perto



  9. faca um tcpdump -ni ethX | grep "IPDOCLIENTE" > arquivo.log e veja qual porta o bicho tah utilizando... se for a 445 ou 135 ou 139 e soh barrar com:
    #iptables -A FORWARD -p tcp --dport 135 -i ethX -j REJECT
    #iptables -A FORWARD -p udp --dport 135 -i ethX -j REJECT

    se quiser tb pode barrar o INPUT e OUTPUT e sport tb...

  10. Citação Postado originalmente por Pirigoso
    Citação Postado originalmente por augustocss
    ow pirigoso,
    sou do interior de sp...

    o virusscan vai resolver esse problema? ele vai varrer as maquinas dos clientes tambem? como funciona, tem q instalar o agente nos clientes???
    assim fica meio estranho, eu como cliente nao aceitaria tal coisa... e tem bastante cliente chato como eu...hehehehe

    valew! (alguma outra sugestao?)
    o cara desde que o norton fazia apenas as ferramenta de rescue disk que ja nao me lembro mais isto uns 10 anos +- eu so uso o virus scan e cara nunca me incomodei, hj tenho uma rede wireles invejavel pelo meu trafego no meio de tanto ruido, e so uso este antivirus, isto eu imponho pro meu cliente na hora da instalação, somente com ativirus da VirusScan e nenhum emule ou Kazaa da vida, unico permitido e o Imesh e ainda sim configurado para 24 de up com 1 usuario apenas, pois tenho serios problemas como kazaa e emule ou dos genero na minha rede e se quer é assim se nao quer procure outro, meu link e de 1.5mb na ponta pro cliente e custo de 130,00 mensal e o cliente nao paga nada nem instalação e muito menos o raio, unica coisa e o cabo de rede e o fio eletrico, e eu nao uso cartao, souso bridge wet11 para lonje e dwl900+ pra perto
    E quando vc vira as costas teus clientes nao instalam tudo ? da minha parte eu não confiaria nos clientes.... Melhor investir em uma estrutura bem montada e servidores bem configurados. Assim não me preocupo com o que o usuário tá rodando. Teus wet não dão pau ? ô bixim pra travar ! os que tinha aqui fiz questão de juntar e botar fogo, só dava dor de cabeça.



  11. Citação Postado originalmente por SerAntSou
    faca um tcpdump -ni ethX | grep "IPDOCLIENTE" > arquivo.log e veja qual porta o bicho tah utilizando... se for a 445 ou 135 ou 139 e soh barrar com:
    #iptables -A FORWARD -p tcp --dport 135 -i ethX -j REJECT
    #iptables -A FORWARD -p udp --dport 135 -i ethX -j REJECT

    se quiser tb pode barrar o INPUT e OUTPUT e sport tb...
    Blz, mas se o tráfego passar por um AP com certeza ele continuará lento. Isso pq o AP tentará repassar todos os pacotes para seu server e não vai adiantar levantar as regras no servidor se o tráfego passar pelo AP....

  12. Citação Postado originalmente por aheringer
    Citação Postado originalmente por Pirigoso
    Citação Postado originalmente por augustocss
    ow pirigoso,
    sou do interior de sp...

    o virusscan vai resolver esse problema? ele vai varrer as maquinas dos clientes tambem? como funciona, tem q instalar o agente nos clientes???
    assim fica meio estranho, eu como cliente nao aceitaria tal coisa... e tem bastante cliente chato como eu...hehehehe

    valew! (alguma outra sugestao?)
    o cara desde que o norton fazia apenas as ferramenta de rescue disk que ja nao me lembro mais isto uns 10 anos +- eu so uso o virus scan e cara nunca me incomodei, hj tenho uma rede wireles invejavel pelo meu trafego no meio de tanto ruido, e so uso este antivirus, isto eu imponho pro meu cliente na hora da instalação, somente com ativirus da VirusScan e nenhum emule ou Kazaa da vida, unico permitido e o Imesh e ainda sim configurado para 24 de up com 1 usuario apenas, pois tenho serios problemas como kazaa e emule ou dos genero na minha rede e se quer é assim se nao quer procure outro, meu link e de 1.5mb na ponta pro cliente e custo de 130,00 mensal e o cliente nao paga nada nem instalação e muito menos o raio, unica coisa e o cabo de rede e o fio eletrico, e eu nao uso cartao, souso bridge wet11 para lonje e dwl900+ pra perto
    E quando vc vira as costas teus clientes nao instalam tudo ? da minha parte eu não confiaria nos clientes.... Melhor investir em uma estrutura bem montada e servidores bem configurados. Assim não me preocupo com o que o usuário tá rodando. Teus wet não dão pau ? ô bixim pra travar ! os que tinha aqui fiz questão de juntar e botar fogo, só dava dor de cabeça.
    o cara pra mim aqui nao tive nenhum problema, eu te recomendo a usar energia establizada,

    cara e normal eles tentarem, mas e so vc bloquear no iptables e ja era



  13. Citação Postado originalmente por aheringer
    Citação Postado originalmente por SerAntSou
    faca um tcpdump -ni ethX | grep "IPDOCLIENTE" > arquivo.log e veja qual porta o bicho tah utilizando... se for a 445 ou 135 ou 139 e soh barrar com:
    #iptables -A FORWARD -p tcp --dport 135 -i ethX -j REJECT
    #iptables -A FORWARD -p udp --dport 135 -i ethX -j REJECT

    se quiser tb pode barrar o INPUT e OUTPUT e sport tb...
    Blz, mas se o tráfego passar por um AP com certeza ele continuará lento. Isso pq o AP tentará repassar todos os pacotes para seu server e não vai adiantar levantar as regras no servidor se o tráfego passar pelo AP....
    se for o AP2000 dah pra criar uma regra nova e bloquear a porta 445 alem das conhecidas 135:139....

  14. o duro eh o trafego q sai do cliente ateh o AP... esse trafego faz a diferenca tbm...

    nesse caso... eu aconselho vc a ir ateh o cliente e dar instrucoes ao tecnico dele pra retirar o virus e instalar uma firewall local mesmo... pra q os virus naum se propaguem pra sua rede wireless

    []'s

  15. #15
    haas
    Então pra se ter uma rede mais profissional o negócio é ter uma AP2000, nessa AP dá pra ver as portas e a vazão de dados entre o cliente e a AP e ainda controlar a banda dos clientes individualmente pelo MAC? Isso seria possível?

  16. #16
    oslnx
    nao e' um virus, e' um spyware que scaneia portas 139 (netbios) e 445 (microsoft-ids)
    bloqueie essas portas no seu AP2000 (ou outro que voce usar) para todas interfaces, ative tambem o filtro arp

  17. #17
    oslnx
    isso nao e' virus, e' um spyware que faz scans na mesma classe A da sua rede, existem outros que fazem na internet, esses consomem o link do assinante e ele acha a conexao lenta por esse motivo, eles atuam nas portas 139 (netbios) e 445 (microsoft-IDS), faca um filtro em todos seus AP2000 (ou qual voce usar) nestas portas, ative tambem o filtro ARP, vai melhorar 90%

    abracos

  18. #18
    rafaelpazcolles
    Cara, mas se tum tem um Gateway linux la na ponta do cliente, tu pode bloquear ele lá e até já limitar a banda do cara antes de chegar no AP, o que para ti reduziria os teus problemas, e no momento em que ele sofrer pelo problema do vírus e spyware, (e não tu) ele irá correr atráz para resolver.

    Para limitar a banda, utiliza o bandlimit underlinux que é show de bola.

    T+

  19. #19
    Ola...

    Uma dia qua acho importante....

    A maioria dos vírus novos utilizam para se dissiminar smtp proprio, ou seja, nem fazem uso do seu servidor de e-mail. No seu firewall do wireless crie uma regra que somente permita passagem pela porta 25 com destino ao seu servidor de email descartando qualquer outro. Sanei bastante meus problemas com apenas esta regra...tambem siga acima de bloqueio da porta 445 e 135:139

    t+

  20. #20
    Neerlan_Amorim
    Tive esse mesmo problema quando usava um AP-1000
    mesmo eu bloqueando essas portas no servidor, os clientes que tavam com virus deixavam o AP carregado de tanto trafego

    So resolvi esse problema de vez quando comprei um AP-2000
    com ele adicionei filtros e bloquiei os portas que os virus trafegam pelo proprio AP






Tópicos Similares

  1. dhcp em rede wireless
    Por casper-linux no fórum Servidores de Rede
    Respostas: 3
    Último Post: 08-12-2004, 10:45
  2. VÍRUS NA REDE WIRELESS
    Por Caemp no fórum Redes
    Respostas: 6
    Último Post: 06-11-2004, 19:37
  3. Respostas: 3
    Último Post: 14-10-2004, 14:59
  4. IP Real em Rede Wireless
    Por Sub-zero no fórum Redes
    Respostas: 7
    Último Post: 07-07-2004, 09:50
  5. Uplink em rede Wireless
    Por Mack_the_Black no fórum Redes
    Respostas: 12
    Último Post: 22-04-2004, 12:43

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L