Всем доброго дня, столкнулся с такой проблемой.
В один прекрасный момент, поисковики типа яндекса, гугла и рамблера, начали ругаться на большое кол-во запросов с моего айпишника. Гугл так вообще забанил, как ни смешно звучит, но так оно и есть. На шлюзе, поставил утилиту iptraf, с помощью нее наблюдаю трафик. Так вот, имею 3 интерфейса, 1й - WAN, 2 и 3 - соответственно смотрят в локалки. Проверяю трафик по eth1 и eth2 (внут. интерфейсы), все нормально. Начинаю же проверять трафик на eth0 и вот тут обнаруживается, что куча пакетов идет с порта 1830 на домен mail.nns.net.ru, через whois ничего не находит по нему. Потом через порт сквида 3128 идет трафик на 78.184.152.64 – 78.184.152.64.dynamic.ttnet.com.tr на порт 52115 и на 117.251.213.113.west.global.crust-r.net по порту 60598.
Вывод nmap
Starting Nmap 5.00 ( http://nmap.org ) at 2012-05-22 11:10 MSK
Interesting ports on 192.168.1.56:
Not shown: 981 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
26/tcp open rsftp
53/tcp open domain
83/tcp open mit-ml-dev
110/tcp open pop3
111/tcp open rpcbind
139/tcp open netbios-ssn
143/tcp open imap
389/tcp open ldap
443/tcp open https
445/tcp open microsoft-ds
1024/tcp filtered kdm
1723/tcp open pptp
1947/tcp open unknown
2000/tcp open callbook
3128/tcp filtered squid-http
5222/tcp open unknown
8080/tcp open http-proxy
1947 порт
sudo netstat -anp | grep LISTEN | grep 1947
tcp 0 0 0.0.0.0:1947 0.0.0.0:* LISTEN 2107/hasplmd
5222 порт
sudo netstat -anp | grep LISTEN | grep 5222
tcp 0 0 0.0.0.0:5222 0.0.0.0:* LISTEN 2575/beam
UDP трафик
sudo netstat -anp | grep udp
udp 0 0 127.0.0.1:2790 0.0.0.0:* 2105/winehasp
udp 0 0 0.0.0.0:5353 0.0.0.0:* 933/avahi-daemon: r
udp 0 0 0.0.0.0:44403 0.0.0.0:* 12778/squid
udp 0 0 0.0.0.0:54262 0.0.0.0:* 933/avahi-daemon: r
udp 0 0 192.168.122.1:123 0.0.0.0:* 1692/ntpd
udp 0 0 192.168.2.56:123 0.0.0.0:* 1692/ntpd
udp 0 0 192.168.1.56:123 0.0.0.0:* 1692/ntpd
udp 0 0 xx.xx.xx.xx:123 0.0.0.0:* 1692/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 1692/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 1692/ntpd
udp 0 0 0.0.0.0:5000 0.0.0.0:* 1333/asterisk
udp 0 0 xx.xx.xx.xx:137 0.0.0.0:* 1801/nmbd
udp 0 0 192.168.1.56:137 0.0.0.0:* 1801/nmbd
udp 0 0 192.168.2.56:137 0.0.0.0:* 1801/nmbd
udp 0 0 192.168.122.1:137 0.0.0.0:* 1801/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 1801/nmbd
udp 0 0 xx.xx.xx.xx:138 0.0.0.0:* 1801/nmbd
udp 0 0 192.168.1.56:138 0.0.0.0:* 1801/nmbd
udp 0 0 192.168.2.56:138 0.0.0.0:* 1801/nmbd
udp 0 0 192.168.122.1:138 0.0.0.0:* 1801/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 1801/nmbd
udp 0 0 0.0.0.0:1812 0.0.0.0:* 7195/freeradius
udp 0 0 0.0.0.0:1813 0.0.0.0:* 7195/freeradius
udp 0 0 0.0.0.0:1814 0.0.0.0:* 7195/freeradius
udp 0 0 0.0.0.0:1947 0.0.0.0:* 2107/hasplmd
udp 0 0 0.0.0.0:2727 0.0.0.0:* 1333/asterisk
udp 0 0 0.0.0.0:4520 0.0.0.0:* 1333/asterisk
udp 0 0 192.168.122.1:53 0.0.0.0:* 6156/named
udp 0 0 192.168.2.56:53 0.0.0.0:* 6156/named
udp 0 0 192.168.1.56:53 0.0.0.0:* 6156/named
udp 0 0 xx.xx.xx.xx:53 0.0.0.0:* 6156/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 6156/named
udp 0 0 192.168.122.1:53 0.0.0.0:* 1622/dnsmasq
udp 0 0 0.0.0.0:3130 0.0.0.0:* 12778/squid
udp 0 0 0.0.0.0:51008 0.0.0.0:* 2107/hasplmd
udp 0 0 0.0.0.0:67 0.0.0.0:* 1622/dnsmasq
udp 0 0 0.0.0.0:5060 0.0.0.0:* 1333/asterisk
udp 0 0 0.0.0.0:69 0.0.0.0:* 1796/in.tftpd
udp 0 0 127.0.0.1:11211 0.0.0.0:* 4174/memcached
udp 0 0 0.0.0.0:4569 0.0.0.0:* 1333/asterisk
udp6 0 0 fe80::e852:4dff:fe8:123 :::* 1692/ntpd
udp6 0 0 fe80::205:5dff:fe4c:123 :::* 1692/ntpd
udp6 0 0 fe80::20d:88ff:fe65:123 :::* 1692/ntpd
udp6 0 0 ::1:123 :::* 1692/ntpd
udp6 0 0 fe80::215:f2ff:fe31:123 :::* 1692/ntpd
udp6 0 0 :::123 :::* 1692/ntpd
udp6 0 0 ::1:56064 ::1:56064 ESTABLISHED 1475/postgres: ebox
Пользователей с UID=0 кроме рута никого.
Левых ключей в /root/.ssh/ нет
Проверка /var/log/rkhunter.log
07:55:25] Performing filesystem checks
[07:55:25] Info: Starting test name 'filesystem'
[07:55:25] Info: SCAN_MODE_DEV set to 'THOROUGH'
[07:55:25] Checking /dev for suspicious file types [ Warning ]
[07:55:25] Warning: Suspicious file types found in /dev:
[07:55:25] /dev/shm/pulse-shm-1675745118: AmigaOS bitmap font
[07:55:26] Checking for hidden files and directories [ Warning ]
[07:55:26] Warning: Hidden directory found: /dev/.udev
[07:55:26] Warning: Hidden directory found: /dev/.initramfs
[07:55:26]
[07:55:26] Info: Test 'apps' disabled at users request.
[07:55:26]
[07:55:26] System checks summary
[07:55:26] =====================
[07:55:26]
[07:55:26] File properties checks...
[07:55:26] Files checked: 133
[07:55:26] Suspect files: 0
[07:55:26]
[07:55:26] Rootkit checks...
[07:55:26] Rootkits checked : 245
[07:55:26] Possible rootkits: 0
[07:55:26]
[07:55:26] Applications checks...
[07:55:26] All checks skipped
[07:55:26]
[07:55:26] The system checks took: 4 minutes and 33 seconds
И в итоге, что это? Моя паранойя или все-таки идет какая-то рассылка?
Как еще можно проверить, куда залезть, что посмотреть, заранее огромное спасибо.