Доброго времени суток всем.
Возникла у меня одна проблема? Точнее она еще не "проявилась", но возможно станет ОЧЧень большой. Поэтому хочу предпринять некоторые упреждающие шаги для разрешения ситуации. (извиняюсь за витиеватое вступление, теперь описание самой проблемы)
С компьютера подключенного по скоростному каналу к инету произошла огромная утечка траффика, программа TMeter за три часа включения показала 50 Гиг по ICMP-траффику (ОТКУДА ТАКОЙ ОБЪЕМ?), и 40 мегабайт IP-пакетами (это мелочь). На компьютере никакой важной информации не хранилось, это учебная лошадка доступная всем. ОС - Windows SP1 (руки пока не дошли обновить, я недавно работаю, а вообще моя мечта - поставить везде Линукс для доступа в инет, винду для работы only).

Теперь некоторые уточнения. В организации, где я работаю, недавно провели подключение к инету по быстрому каналу связи (закачка 200 КБайт/с). Я в этой организации некоторым образом отвечаю за компьютеры, но опыта быстрой связи в инете не имею, работа прежде заключалась в решении локально-виндовских и бухгалтерскко-кадровых проблем, точнее настраивал программы и учил пользователей. Подключение и настройку проводили без меня (я совместитель и был на основной работе). Настроили приехавшие специалисты от провайдера (насколько понимаю - известного) только два компьютера, у остальных "администраторы" были запаролены, а я храню пароли дома, на память не помню, потому они оставили подключение остальных машин на меня (подключил кстати без проблем). Кроме того сотрудник вышестоящей организации, сопровождавший специалистов провайдера, сказал что никак ограничивать пользование инета не надо, а так-же поставил на оба компа антивирус Dr-WEB. Я,взявшись за настройку, не стал ограничивать ничего, но на всякий случай поставил на все компы программу TMeter, для учета входящего-исходящего, и настроил сохранять логи HTTP и IP. Логи ICMP сохранять не настраивал. Вчера настраивал внутреннюю сеть (из-за подключения произошла полная смена IP-адресов в сети, доделывал внутренние нестыковки). Компьютеры все это время были подключены к инету. Когда собрался уходить и начал выключат компы, то ради интереса открывал окна мониторинга TMeter-а, и на компе настроенном не мной обнаружил сильную сетевую активность. Посмотрел на счетчики и тихо офигел, 50 ГИГ по ICMP-траффику натикало. При этом сам комп никак не выдавал признаков бурной деятельности, винчестер не "стрекотал", как при активной записи (винт 40 Гиг, старый и шумный). IP-траффика набежало 40 мегабайт, из них примерно 10 я сам сделал, устанавливая Оперу, менеджер закачек и переписав несколько картинок для обоев. Немедленно выдернул сетевой шнур и полез логи читать. Там поминутно расписаны адреса сайтов с которыми комп работал, и практически это один и тот-же адрес. За ним скрывается сайт, которому нужны вычислительные мощности (Пока не буду называть какой) , больше я ничего практически не понял, IP адреса для моего неопытного взгляда - сплошная мешанина. Доктор веб никак не реагировал, вырубил его, поставил Касперского, тот тоже вирусов не нашел. При подключении к инету возникает активность, но антивирь никак не реагирует. На компьютерах которые были настроены лично мной никакой подозрительной активности не было, трафик мелкий, считанные килобайты.
Вот вопрос - что это было? Возможно ли что владельцы игры подключились к компу и использовали его для своих целей? Или вирус-троян-червь сидел и закачивал-выкачивал (точнее в основном пинги посылал, ICMP за них отвечает, так понял почитав в инете). Куда в такой ситуации обращаться, идти в милицию с заявлением, чтоб комп опечатали и сверили логи ТМетра с логами провайдера? Все подозрения падают на меня, учитывая что в то время рядом с компьютерами я находился практически один, есть правда свидетельница которая может сказать что я не занимался играми, когда она вошла, я как раз Оперу настраивал (на других компах), поискал ей материалы в инете, на "криминальном" компе в этот момент скринсейвер крутился, как впрочем и на всех остальных, кроме тех двух с которыми я в тот момент работал. Но не думаю что она запомнила про скринсейверы.
Провайдер находится от нас далеко, примерно 130 км, так что прийти лично я не могу, завтра, точнее уже сегодня днем, буду е-мэйлом выяснять сколько траффика натикало. Паролем доступа к контролю траффика я не владею, не дали, так что выяснить сколько там на счету лежит пока не могу. Так-же я не знаю ни тарифного плана, ни прочих условий договора. Оборудование выходящее в инет подключено к общему концентратору, а не через отдельный компьютер.
В этой ситуации получается все против меня, я был один у компов (решил свободное время посвятить настройке, Б.....), мог гигабайтами качать всякое Г...., играть в игры и т.д. и т.п. За меня только моя честная репутация, а что она даст в случае уголовного следствия? Ничего. Разве что участковый положительную характеристику напишет, он меня знает, и в компах немного разбирается, поймет что так тупо я не стал бы качать гигами из инета. Вообще при необходимости крупной закачки я пользуюсь файловой почтой, парни пишут на диски по ссылкам и высылают наложенным платежом, инет у них явно анлимный. (сслылку не привожу, чтоб в рекламе не обвинили, но если кому интересно - дам линк)
Кто нибуть что нибуть может посоветовать в данной ситуации?
Специально не привожу точных данных, чтоб не "спугнуть" гадов. На их форуме после "обрубки" связи некоторое шевеление было, жаловались админам на проблемы. Рядовые пользователи наверняка ни при чем, а модеры отмолчались в ответ на жалобы. Сообщения с жалобами сохранил, но какова их юр.сила? Ноль. Когда дело проясниться приведу здесь инфу полностью, если кто пожелает - даже вышлю логи ТМетра.

По самым скромным подсчетам сумма за трафик должна быть немалой, так что я скорее всего буду упирать на свою невиновность, да вина моя есть, но это халатность и неторопливость, траффик я не крал, чего мне стоило стать в позу и положить на стол директора заявление на увольнение (работу я всегда найти могу, в бух.софте разбираюсь), если не дадут полный контроль за инетом в мои руки. Промедлил, а теперь виноват сам.

Cпасибо всем откликнувшимся.

mayton
Карабас Барабас

В наблюдениях уверен. Глаза вроде есть. Цифры именно такие. Время необходимое подсчитал и понимаю что через инет-канал столько продавить нельзя. Но ТМетр показывает 50 Гиг. Проверял его закачкой крупных файлов в локальной сети, переписывал iso-образы дисков с компа на комп - объем показывает верно. Но суть не в этом, пинги возможно шли не только в инет, но и по локальной сети к другим компьютерерам, внутренняя сеть 100 мегабит. Через интернет-соединение за время работы компьютере (4 часа примерно) могло пройти
200*60*60*3=2160000 . Т.е. 2.16 гигабайта.
Но что это было? Зафиксирована интенсивная сетевая работа с одним сайтом, в момент отключения у них были проблемы, это сайт онлайновой игры, нашел на их форуме жалобу, примерно в то же время когда я сеть отключил, игроки жаловался что лагает, перейти не получается, у кого-то пропал только что накопленный опыт, правда они предполагали что на сервере технические работы, высказывали предположения что он расширяеся, как понял из их обсуждения. Я в онлайн-играх не силен, но это явно не уровня варкрафта или контры, что-то попроще, игровой процесс идет в браузере. Причем игровые предметы можно купить у дилеров за реальные деньги, и суммы там не 10-20 руб, а покрупней.
Я хочу узнать что это именно было, злой умысел, владельцы игры могли намеренно подключиться к компу для использования его вычислительных ресурсов через инет пользуясь прорехами в защите (винда старая)? Или чтоб такое провернуть надо на захватываемом компьютере руками сначала поработать, чтоб под свой удаленный контроль забирать когда удобно. Или такой захват ресурсов не имеет смысла, т.к. отключение захваченного компа создает проблемы? Или я возможно напрасно обвиняю владельцев игры, а на деле это был бот "игравший" в эту игру с целью прокачки скилла, какой-нибудь игрок может создавать таких "троянов"-ботов для распространения в инете, чтоб потом полученные ресурсы можно было продавать? Там торговля игровыми предметами за Web-Money идет. Т.е. можно не шарить по игре в поисках нужного меча, а сразу купить, но за реальные кацэ.

aleks2
Винда там старая, но только потому что я еще до нее не добрался, работаю с этой именно сеткой недавно, комп последний в ряду, вот и получился последним, на котором система не обновлена.
В инете Линукс я без особых настроек эксплуатирую. Не рутом естественно. За три года никаких проблем не наблюдалось. Я и на линукс подсел не из-за идейности, а из-за вирусов не позволявших виндой нормально в инете пользоваться. Плюс по модему у меня Линукс быстрей качает чем винда, 6-6,5 Килобит, против 4,5 - 5,5 у винды. Это цифры из мененджеров закачки, проверял качая и засекая время - так и выходит, Пингвин быстрее форточек качает.
Но вот поставить в этой сетке Линукс - проблема. Я не могу быть рядом все время, чтоб консультировать юзеров, а у некоторых бывает испуг даже если винда не загружается сразу, а просит выбрать пользователя. Что уж говорить о линуксе, у которого даже нет диска С:
Про то, что своевременное обновление безопасности в винде позволяет комфортно себя чувствовать в инете - знаю, но вот всегда сидел на модемных линиях, вдобавок у нас тарифы на инет на порядок больше чем в других регионах, так что постоянно обновлять было сложно, проще с линуксом жить оказалось. За три гогда только раз переставлял, когда вышел ASP Linux 9, до того был 7-й версии. Мог и не переходить, просто возможность появилась переписать дистрибутив.

Green2
Отключить-то отключил, но проверка антивирусами не дает результата. ДрВЭБ и Касперский не находят ничего. Нодом попробую еще, хоть у меня к нему неприязнь, но попробую. А службы проверять долго и сложно для меня. Лучшее средство от перхоти и кариеса - топор. Форматну винт и поставлю винду с вторым сервис паком и обнов.

wwqt
Можно подробнее про накрутку ICMP? Сколько реально "накрутить"? Тарифицируется ICMP как и простая закачка данных? И будет ли веским доводом указать на несоответствие времени, скорости и объема трафика? Или ICMP может идти "быстрее" чем просто данные? Вопросы наверное глупые, но все что я знаю об IP протоколе, это что есть адрес, каждый комп должен иметь свой адрес в сети, и по этому адресу к нему проще всего подключиться.

Firewoll я естественно поставлю, придется наверное поспорить по поводу "ограничений" в инете, но скорее всего разобравшись с ситуацией напишу заявление об увольнении. С этой сеткой ситуация осложнена тем, что в ней я не могу быть полных хозяином, так как не могу быть рядом неотрывно, а без меня нет гарантии что какой нибуть продвинутый пользователь не решит что все эти меры безопасности тормозят комп, и выключит их.

Про объем трафика понял, не понял только пока почему три часа комп с одним сайтом самостоятельно общался.

Sergey OrlovУ него TMETER похоже весь трафик в сети считает, т.е. все что есть в локалке. Я год назад с провайдером ругался, зачем он мне в канал запихивал Netbios, широковещательные пакеты, и пакеты от сеток с приватными адресами...

Да, это трафик внутренний. Но вот почему такой объем, и именно ICMP? Или тварь сидевшая в зараженном компе не только в инете работала, но и активно пинговала локалку? На других компах проблем нет. Возможно это потому, что система на них свежая, и не поддающаяся на "провокации"? В самой сети проблем не наблюдалось, на всех компах ставил Оперу и Доунлоад Мастера, плюс сетевое окружение настраивал, чтоб через него можно было по общим документаь ходить.