Jump to content
Local
Sign in to follow this  
Full

Новый вирус или работа хацкеров ?

Recommended Posts

Проблема в том что уже 5 день у меня в сети случаются казусы...

 

Всё началось с того что стал меняться пинг от основного шлюза, <1мс до 500мс, что самое интересное загрузка проца на серваке нах. в пределах 20% , канал был пригружен на 30Мбит...

 

Вот только после этого я стал проверять коммутаторы на на кол переданной инфы..

И что самое странное я увидел что на один порт приходит и уходит траффик превышающий или равный ВСЕМУ траффик коммутатора......

Пробив по портам я нашел клиента куда он весь шел и отключил клиента, при этом пинг на сервер ПРОПАЛ и только через секунд 5 опять появился ... равный <1мс .

 

Я думал что всё , что нашел злоумышленника.... но торжество было не долго...

Опять таже самая фигня но уже с другим клиентом... потом с другим... Вот теперь сижу в недоумении...

 

Ситуация какая ... зараженная тачка клиента рассылает всем машинам пакеты с айпишиником шлюза но с со соим маком, весь трафик, от всех машин перенаправляется на эту машину, а дальше эта машина перенаправляет на основной шлюз (на основном шлюзы все айпи видны с одним маком зараженной машины).... При этом все клиенты сети стали жаловаться что антивирус кричит что все сайты заражены вирусом Win32-Tojan ...

 

Мне понятен принцип... но я не могу придумать как с этой проблемой разобраться... Подскажите ...

Share this post


Link to post
Share on other sites

вирус

видел уже такое

люди до сих пор бегают в поисках энного вируса

Share this post


Link to post
Share on other sites

Было в сети. Парило с месяц пока не вывели заразу... надёжно лечицца только format'ом всех винтов зараженной машины. Предварительно для устранения и профилакти - временное отключение юзера чей MAC напрягает.

Share this post


Link to post
Share on other sites

Все сказали верно - вирус. Лечение одно - формат С.

Share this post


Link to post
Share on other sites

как показала практика - если пофильтровать виндовс-нетворк на свитчах то эта зараза не размножается. Т.е. Есть шанс что человек схватит её в инете, но по сети оно не расползется. на дес-3526 нормально все порезали и живем почти спокойно.

Видел на наг.ру или хаб.ру народ анализировал трафик зараженной машины и пришел к выводу что эта зараза управляется с инета. Т.е. она получает команды на спуфинг и размножение от злоумышленника. Так там люди писали адреса на которые оно стучится в инет за командами и обновлениями для себя. Если перекрыть трафик на эти адреса то типа эта гадость живет просто на компе. Щас ссылку не могу найти.

 

Ещё замечено что никогда не спуфит одновременно более одного компа. Т.е. эта гадость постоянно слушает сетевушку на предмет такого же спуфинга. Только отключаешь одного абика в сегменте - сразу начинает второй.

Share this post


Link to post
Share on other sites

Да именно так как ты описал... если бы нашел сылку на айпи, было бы очень хорошо

Share this post


Link to post
Share on other sites

поснифайте зараженный комп

он тоже постоянно обновляет свои базы и наверняка обновляет забаненые адреса

Share this post


Link to post
Share on other sites

Собрал программу, которая защищает от атак по сети.

http://forum.elizovo.ru/index.php?showtopic=10881

Если нужны виндовые шары, то ставится версия 1.6.

Если не нужны, то можно ставить 1.5 (там 445 порт закрывается).

Программа представляет собой wipfw с уже написанными правилам.

Пользователю не нужно вообще ничего настраивать.

Только установить 1 раз.

И она работает тихо и незаметно.

 

За год работы на мой комп (на котором только эта программа и стоит от сетевых атак) ни одной атаки.

Могу посоветовать ставить что-нибудь подобное пользователям)

Share this post


Link to post
Share on other sites
Собрал программу, которая защищает от атак по сети.

http://forum.elizovo.ru/index.php?showtopic=10881

по ссылке ничего не нашел, вернее скачивание недоступно... можешь как-то скинуть на обменник, или мне на почту??? chupyc@rambler.ru

Share this post


Link to post
Share on other sites

А еще бы исходники такой проги, чтоб вкомпилить в авторизатор СТГ.

Мы так уже пытаемся реализовать антиспуф http://www.killprog.com/etcr.html

 

AntiSpoof v1.1 (Win 98 and higher)

Это программа призвана бороться с ARP спуфингом в локальной сети. Она умеет через заданный интервал времени обновлять сведения в ARP таблице локальной системы для заданных IP адресов на заданные MAC адреса. По умолчанию обновление проводится каждые 100мсек.

Share this post


Link to post
Share on other sites
А еще бы исходники такой проги, чтоб вкомпилить в авторизатор СТГ.

Мы так уже пытаемся реализовать антиспуф http://www.killprog.com/etcr.html

 

AntiSpoof v1.1 (Win 98 and higher)

Это программа призвана бороться с ARP спуфингом в локальной сети. Она умеет через заданный интервал времени обновлять сведения в ARP таблице локальной системы для заданных IP адресов на заданные MAC адреса. По умолчанию обновление проводится каждые 100мсек.

возможно http://www.opennet.ru/prog/info/2582.shtml поможет

Share this post


Link to post
Share on other sites

Тоже боремся с этой проблемой. Какие антивирусы это нормально ловят и какое офф название вируса, кто знает?

Share this post


Link to post
Share on other sites

1. Фильтрация на шлюзе арп пакетов с проверкой на правильность связки мака айпи (и логирования анормальных случаев), а бы шлюз не отправлял трафик с инета через комп с вирусом. А если в авторизатор (если есть) вбить функции прописывания мака шлюза как статического, то не прорвется такая гадость :).

2. Фильтрация трафика в инет по связки мак айпи на шлюзе сразу выявляет вирус у всех в сегменте пропадает инет :)

Есть и прочие "операторские" решения борьбы с заразой.

3. Привязку на портах абонента через ацл или арп режим абы не кидал левых арпов, но тут загвостка в случай смены мака надо прописываться только через телефон супорта.

4. VLAN над дом сильно спасает от такой напасти, ибо ложится один дом только, круче только VLAN на юзера тогда только он сам и пострадает :)

5. Внутри дома абы не заморачиваться с VLAN на юзера можно ограничение на трафик между портами включить и юзать арп проксю хитрую на шлюзе и получится гибрид VLAN на юзера.

 

Каждый может выбрать уровни защиты по карману и тех. знаниям технологий.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×