сижу я значит горя нечая и решил в логах сквида покапаться
и вижу что довольно часто мелькают такие строчки
TCP_MISS/503 0 CONNECT 64.12.26.160:443 - DIRECT/- -
TCP_MISS/200 14573 CONNECT 64.12.26.161:443 - DIRECT/64.12.26.161 -
TCP_MISS/200 23137 CONNECT 64.12.30.88:443 - DIRECT/64.12.30.88 -
начал разбираться
прикрутил даже авторизацию
по auth_param basic program /usr/local/libexec/squid/ncsa_auth - ну все думаю тип топ ниодин троян непроскочет
но что самое интересное эти соединения только в момент загрузки винды
в автозагрузке квипа нету - (также нету ничего кроме самого необходимого)
может кто мне ответист сможет почему квип щемится самостоятельно по 443 на 64.12.0.0/24
то что это квип - проверенно
что самое интересное (сидел два дня тестил и дампил)
и вдействительности так и есть что идут запросы
1231324486.157 843 172.18.1.3 TCP_MISS/200 314 CONNECT login.icq.com:443 qwe DIRECT/205.188.153.121 -
1231324509.706 23546 172.18.1.3 TCP_MISS/200 14924 CONNECT 64.12.26.160:443 qwe DIRECT/64.12.26.160 -
1231324509.707 18837 172.18.1.3 TCP_MISS/200 26804 CONNECT 64.12.30.88:443 qwe DIRECT/64.12.30.88 -
квипа в автозагрузке нету - проверено на двадцать раз
в автозагрузке кроме цфмона вообще ничего нету
также нету никакого софта кроме драйверов и самого квипа
винду погулять в интернет ниразу невыпускал
тестил только на новой винде
Что самое интересное
Сменил пароль локального администратора и левый трафик ненаблюдается как только поставил прежний пароль то трафик при загрузке продолжает идти
и вижу что довольно часто мелькают такие строчки
TCP_MISS/503 0 CONNECT 64.12.26.160:443 - DIRECT/- -
TCP_MISS/200 14573 CONNECT 64.12.26.161:443 - DIRECT/64.12.26.161 -
TCP_MISS/200 23137 CONNECT 64.12.30.88:443 - DIRECT/64.12.30.88 -
начал разбираться
прикрутил даже авторизацию
по auth_param basic program /usr/local/libexec/squid/ncsa_auth - ну все думаю тип топ ниодин троян непроскочет
но что самое интересное эти соединения только в момент загрузки винды
в автозагрузке квипа нету - (также нету ничего кроме самого необходимого)
может кто мне ответист сможет почему квип щемится самостоятельно по 443 на 64.12.0.0/24
то что это квип - проверенно
что самое интересное (сидел два дня тестил и дампил)
и вдействительности так и есть что идут запросы
1231324486.157 843 172.18.1.3 TCP_MISS/200 314 CONNECT login.icq.com:443 qwe DIRECT/205.188.153.121 -
1231324509.706 23546 172.18.1.3 TCP_MISS/200 14924 CONNECT 64.12.26.160:443 qwe DIRECT/64.12.26.160 -
1231324509.707 18837 172.18.1.3 TCP_MISS/200 26804 CONNECT 64.12.30.88:443 qwe DIRECT/64.12.30.88 -
квипа в автозагрузке нету - проверено на двадцать раз
в автозагрузке кроме цфмона вообще ничего нету
также нету никакого софта кроме драйверов и самого квипа
винду погулять в интернет ниразу невыпускал
тестил только на новой винде
Что самое интересное
Сменил пароль локального администратора и левый трафик ненаблюдается как только поставил прежний пароль то трафик при загрузке продолжает идти