Linux и DoS.Generic.SYNFlood

> DoS.Generic.SYNFlood

Даже по названию понятно, что это не конкретный вирус, а семейство червей, занимающиеся SynFlood. Теоретически, под Linux такие черви существуют - используя уязвимость, например, в дырявом phpbb, сажать флудилку в /tmp или в /var/tmp и оттуда её запускать.

посоветуеш поставить антивирь или еще как, боросться

или хотя бы вычислить

нетстат или запусти iptraf и смотри идет ли от тебя флуд, но скорее всего админы локалки идиоты, благо это распространенное среди них заболевание.

> посоветуеш поставить антивирь или еще как, боросться

Тут помогут только руки + апдейт софта

походу зверюшка всетаки есть вот вывод iptraf за 10 секунд работы

x               Total      Total    Incoming   Incoming    Outgoing   Outgoing x
x             Packets      Bytes     Packets      Bytes     Packets      Bytes x
x Total:           31       2866          25       2369           6        497 x
x IP:              31       2432          25       2019           6        413 x
x TCP:              0          0           0          0           0          0 x
x UDP:             21       1690          21       1690           0          0 x
x ICMP:             0          0           0          0           0          0 x
x Other IP:        10        742           4        329           6        413 x
x Non-IP:           0          0           0          0           0          0 x

извиняюсь ступил

а какя скорость исходящих пакетов может указывать на dos атаку

> а какя скорость исходящих пакетов может указывать на dos атаку

Ну 6 пакетов за 10 секунд это не ахти какая атака.

иногда бывают скачки 10-15 пакетов в скунду но напротяжении где-то секунды не более с интервалами 2-5 минут

GrSecurity тебя спасёт. Ну, от заражения/распространения точно ;)

Или TPE есть ещё где? :)

Через netstat, всё же, посмотри. Скорее всего, если зверь есть, будет сидеть где-нибудь в /tmp/ или /var/www/

> иногда бывают скачки 10-15 пакетов в скунду но напротяжении где-то секунды не более с интервалами 2-5 минут

Да усраться можно какая атака. 6/10+10/120=0.7 пакета/сек максимум

> Через netstat, всё же, посмотри.

вот

Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ]         DGRAM                    2485     @/org/kernel/udev/udevd
unix  9      [ ]         DGRAM                    5068     /dev/log
unix  3      [ ]         STREAM     CONNECTED     7000     /tmp/.X11-unix/X0
unix  3      [ ]         STREAM     CONNECTED     6999
unix  3      [ ]         STREAM     CONNECTED     6373     /tmp/.X11-unix/X0
unix  3      [ ]         STREAM     CONNECTED     6372
unix  3      [ ]         STREAM     CONNECTED     6361     /tmp/.X11-unix/X0
unix  3      [ ]         STREAM     CONNECTED     6360
unix  3      [ ]         STREAM     CONNECTED     6305     /var/run/pptp/255.255.255.255:217.21.51.32
unix  2      [ ]         DGRAM                    6292
unix  3      [ ]         STREAM     CONNECTED     6260
unix  2      [ ]         DGRAM                    6258
unix  2      [ ]         DGRAM                    6229
unix  3      [ ]         STREAM     CONNECTED     6124     /tmp/.X11-unix/X0
unix  3      [ ]         STREAM     CONNECTED     6123
unix  3      [ ]         STREAM     CONNECTED     6120     /tmp/.ICE-unix/dcop3135-1228893037
unix  3      [ ]         STREAM     CONNECTED     6119
unix  3      [ ]         STREAM     CONNECTED     6090     /tmp/.X11-unix/X0
unix  3      [ ]         STREAM     CONNECTED     6089
unix  3      [ ]         STREAM     CONNECTED     6082     /tmp/.ICE-unix/dcop3135-1228893037
unix  3      [ ]         STREAM     CONNECTED     6081
unix  3      [ ]         STREAM     CONNECTED     6072     /tmp/.X11-unix/X0
unix  3      [ ]         STREAM     CONNECTED     6071
unix  3      [ ]         STREAM     CONNECTED     6062     /tmp/.ICE-unix/dcop3135-1228893037
unix  3      [ ]         STREAM     CONNECTED     6061
unix  3      [ ]         STREAM     CONNECTED     6059
unix  3      [ ]         STREAM     CONNECTED     6058
unix  3      [ ]         STREAM     CONNECTED     5890     /tmp/.X11-unix/X0
unix  3      [ ]         STREAM     CONNECTED     5889
unix  3      [ ]         STREAM     CONNECTED     5886     /tmp/.X11-unix/X0
unix  3      [ ]         STREAM     CONNECTED     5885
unix  3      [ ]         STREAM     CONNECTED     5883     /tmp/.X11-unix/X0
unix  3      [ ]         STREAM     CONNECTED     5882
unix  2      [ ]         DGRAM                    5844
unix  3      [ ]         STREAM     CONNECTED     5819     /var/run/acpid.socket
unix  3      [ ]         STREAM     CONNECTED     5818
unix  3      [ ]         STREAM     CONNECTED     5789     /var/run/acpid.socket
unix  3      [ ]         STREAM     CONNECTED     5788
unix  3      [ ]         STREAM     CONNECTED     5827     /tmp/.X11-unix/X0
unix  3      [ ]         STREAM     CONNECTED     5787
unix  3      [ ]         STREAM     CONNECTED     5566
unix  3      [ ]         STREAM     CONNECTED     5565
unix  2      [ ]         DGRAM                    5305
unix  2      [ ]         DGRAM                    5189
unix  2      [ ]         DGRAM                    5083

> GrSecurity тебя спасёт. Ну, от заражения/распространения точно ;)

просто установить патч или надо что-то еше?

>Или TPE есть ещё где? :)

не понял

> Скорее всего, если зверь есть, будет сидеть где-нибудь в /tmp/ или /var/www/

Посмотри первый (мой) ответ :)

> Посмотри первый (мой) ответ :)

видел

а что про приведенный выше вывод netstat скажеш

netstat надо запускать так:

netstat -tvpa

Желательно от рута.

Установи wireshark или tcpdump да посмотри что там за пакетики бегают.

netstat -tvpa от рута вывел вот что

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         

State       PID/Program name
tcp        0      0 *:dict                  *:*                     LISTEN     2690/0
tcp        0      0 localhost:6600          *:*                     LISTEN     2994/mpd
tcp        0      0 *:netbios-ssn           *:*                     LISTEN     2922/smbd
tcp        0      0 localhost:ipp           *:*                     LISTEN     2627/cupsd
tcp        0      0 *:microsoft-ds          *:*                     LISTEN     2922/smbd
tcp        0      0 151-153.vpn.aichy:48240 www-128.southbury-s:www TIME_WAIT  -
tcp        0      0 192.168.6.92:38684      192.168.6.:microsoft-ds TIME_WAIT  -
tcp        0      0 192.168.6.92:34313      192.168.6.:microsoft-ds ESTABLISHED3877/fusesmb
tcp        0      0 192.168.6.92:45927      192.168.6.1:netbios-ssn ESTABLISHED4559/fusesmb.cache
tcp        0      0 192.168.6.92:35812      vpn.aplus.by:1723       ESTABLISHED3174/pptp: call man
tcp        0      0 192.168.6.92:52358      192.168.6.2:netbios-ssn ESTABLISHED4559/fusesmb.cache
tcp        0      0 192.168.6.92:52364      192.168.6.2:netbios-ssn ESTABLISHED4559/fusesmb.cache
tcp        0      0 192.168.6.92:54364      192.168.6.2:netbios-ssn ESTABLISHED4559/fusesmb.cache
tcp        0      0 192.168.6.92:38436      192.168.6.:microsoft-ds TIME_WAIT  -
tcp        0      0 151-153.vpn.aichy:52182 linux.org.ru:www        TIME_WAIT  -
tcp        0      0 192.168.6.92:45925      192.168.6.1:netbios-ssn ESTABLISHED4559/fusesmb.cache
tcp        0      0 192.168.6.92:54371      192.168.6.2:netbios-ssn ESTABLISHED4559/fusesmb.cache
tcp        0      0 192.168.6.92:32911      192.168.6.:microsoft-ds TIME_WAIT  -
tcp        0      0 151-153.vpn.aichy:52181 linux.org.ru:www        TIME_WAIT  -
tcp6       0      0 *:www                   *:*                     LISTEN     3603/apache2
tcp6       0      0 *:https                 *:*                     LISTEN     3603/apache2

не nmap'ал ничего в ближайшее время? под рутом там по умолчанию SYN-сканирование.

>не nmap'ал ничего в ближайшее время?

нет

> видел

Это я не тебе.