LINUX.ORG.RU
ФорумAdmin

Левые http-запросы в сети

 ,


0

1

Есть линуксовый сервер с прокси, через него происходят практически все соединения в нашей сети. Случайно обнаружилось, что от некоторых пользователей время от времени появляются такие запросы:

GET http://<some>.<lan>.4.168:2869/upnphost/udhisapi.dll?

От какого именно пользователя идет запрос - понятно по попадающему в лог сквида имени доменного аккаунта, и среди 5 юзеров, за которыми такое замечено, у одной девушки таких запросов на два порядка больше, чем у остальных:

# zgrep /upnphost/udhisapi.dll /var/log/squid/access.log* | egrep "[a-z]+_[a-z]{2}" | awk '{print $8}' | sort | uniq -c | sort -n | awk '{print $1}'
11
67
92
117
6983

Есть подозрение, что с компом этой девушки что-то не так. Можно сходить и поглядеть, но хорошо бы, конечно, знать, что искать.

Если кому-то такое попадалось в практике, поделитесь, пожалуйста, опытом.

А не проще забанить IP'шник на который этот вирус что-то шлет?

Кстати, можно каким-нибудь сниффером посмотреть, что же там в теле запроса.

Eddy_Em ☆☆☆☆☆ ()

Отключить сервис UPnP?

AITap ★★★★★ ()
Ответ на: комментарий от sergv

Натыкался. Там ближе к низу страницы написано, насколько я понял, что так себя и должна вести виндосеть. Но почему одна машина это делает в сто раз чаще, чем другие, я не понимаю. А также не понимаю, почему из ~1000 машин этим занимаются только пять.

pianolender ★★★ ()
Ответ на: комментарий от pianolender

А также не понимаю, почему из ~1000 машин этим занимаются только пять.

Может торренты раздавать хотят? Или в дебилки рубятся?

sergv ()
Ответ на: комментарий от pianolender

А также не понимаю, почему из ~1000 машин этим занимаются только пять.

Ну к примеру, если у остальных остановлена служба upnp.

funky ()

отрубай службу SSDP и пройдись антивирусом по компу - на всякий случай...

Pinkbyte ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.