была сеть с IP 172.18.80.х которые раздавал DHCP сервер Windows 2003, перешли на 10.105.8.x которые раздает pfsense. В пятницу вроде все работало, но на некоторых компьютерах не обновлялись адреса, забили вручную. Сегодня с утра не работает практически полностью.
GRE на сервере разрешено и все остальные пользователи подключаются без проблем. Пинги нет, т.к. ICMP не разрешено. Но порт и сервер доступен. Проверял telnet.
maxtar: компьютеры проверены касперским централизованно. Плюс к этому у компьютеров нет прямого выхода в Интернет: только через squid. Ip адрес удалял неоднократно. Опять попадает в их блек лист.
maxtar:С недавних пор почта перестала уходить из локальной сети. При попытке отправки приходит сообщение, что ip адрес блокирован на сайте www.abuseat.org. На самом сайте по этому поводу пишут:
his IP is infected with, or is NATting for a machine infected with Win32/Dorkbot
This was detected by observing this IP attempting to make contact to a Win32/Dorkbot Command and Control server, with contents unique to Win32/Dorkbot C&C command protocols.
Win32/Dorkbot is a worm, and can travel to infect other computers via Instant Messaging, Twitter, Facebook and even USB drives.
Once installed, it gets involved with clickfraud, and can act as "ransomware" - locking the user out of their computer or encrypting the contents until the user pays a "ransom".
This was detected by a TCP/IP connection from MY_IP on port 20389 going to IP address 192.42.116.41 (the sinkhole) on port 3720.
The botnet command and control domain for this connection was "n.hmiblgoja.ru".
