Перейти до

Новый вирус или работа хацкеров ?


Рекомендованные сообщения

Проблема в том что уже 5 день у меня в сети случаются казусы...

 

Всё началось с того что стал меняться пинг от основного шлюза, <1мс до 500мс, что самое интересное загрузка проца на серваке нах. в пределах 20% , канал был пригружен на 30Мбит...

 

Вот только после этого я стал проверять коммутаторы на на кол переданной инфы..

И что самое странное я увидел что на один порт приходит и уходит траффик превышающий или равный ВСЕМУ траффик коммутатора......

Пробив по портам я нашел клиента куда он весь шел и отключил клиента, при этом пинг на сервер ПРОПАЛ и только через секунд 5 опять появился ... равный <1мс .

 

Я думал что всё , что нашел злоумышленника.... но торжество было не долго...

Опять таже самая фигня но уже с другим клиентом... потом с другим... Вот теперь сижу в недоумении...

 

Ситуация какая ... зараженная тачка клиента рассылает всем машинам пакеты с айпишиником шлюза но с со соим маком, весь трафик, от всех машин перенаправляется на эту машину, а дальше эта машина перенаправляет на основной шлюз (на основном шлюзы все айпи видны с одним маком зараженной машины).... При этом все клиенты сети стали жаловаться что антивирус кричит что все сайты заражены вирусом Win32-Tojan ...

 

Мне понятен принцип... но я не могу придумать как с этой проблемой разобраться... Подскажите ...

Ссылка на сообщение
Поделиться на других сайтах

Было в сети. Парило с месяц пока не вывели заразу... надёжно лечицца только format'ом всех винтов зараженной машины. Предварительно для устранения и профилакти - временное отключение юзера чей MAC напрягает.

Ссылка на сообщение
Поделиться на других сайтах

как показала практика - если пофильтровать виндовс-нетворк на свитчах то эта зараза не размножается. Т.е. Есть шанс что человек схватит её в инете, но по сети оно не расползется. на дес-3526 нормально все порезали и живем почти спокойно.

Видел на наг.ру или хаб.ру народ анализировал трафик зараженной машины и пришел к выводу что эта зараза управляется с инета. Т.е. она получает команды на спуфинг и размножение от злоумышленника. Так там люди писали адреса на которые оно стучится в инет за командами и обновлениями для себя. Если перекрыть трафик на эти адреса то типа эта гадость живет просто на компе. Щас ссылку не могу найти.

 

Ещё замечено что никогда не спуфит одновременно более одного компа. Т.е. эта гадость постоянно слушает сетевушку на предмет такого же спуфинга. Только отключаешь одного абика в сегменте - сразу начинает второй.

Ссылка на сообщение
Поделиться на других сайтах

поснифайте зараженный комп

он тоже постоянно обновляет свои базы и наверняка обновляет забаненые адреса

Ссылка на сообщение
Поделиться на других сайтах

Собрал программу, которая защищает от атак по сети.

http://forum.elizovo.ru/index.php?showtopic=10881

Если нужны виндовые шары, то ставится версия 1.6.

Если не нужны, то можно ставить 1.5 (там 445 порт закрывается).

Программа представляет собой wipfw с уже написанными правилам.

Пользователю не нужно вообще ничего настраивать.

Только установить 1 раз.

И она работает тихо и незаметно.

 

За год работы на мой комп (на котором только эта программа и стоит от сетевых атак) ни одной атаки.

Могу посоветовать ставить что-нибудь подобное пользователям)

Ссылка на сообщение
Поделиться на других сайтах
  • 6 months later...
Собрал программу, которая защищает от атак по сети.

http://forum.elizovo.ru/index.php?showtopic=10881

по ссылке ничего не нашел, вернее скачивание недоступно... можешь как-то скинуть на обменник, или мне на почту??? chupyc@rambler.ru

Ссылка на сообщение
Поделиться на других сайтах

А еще бы исходники такой проги, чтоб вкомпилить в авторизатор СТГ.

Мы так уже пытаемся реализовать антиспуф http://www.killprog.com/etcr.html

 

AntiSpoof v1.1 (Win 98 and higher)

Это программа призвана бороться с ARP спуфингом в локальной сети. Она умеет через заданный интервал времени обновлять сведения в ARP таблице локальной системы для заданных IP адресов на заданные MAC адреса. По умолчанию обновление проводится каждые 100мсек.

Ссылка на сообщение
Поделиться на других сайтах
А еще бы исходники такой проги, чтоб вкомпилить в авторизатор СТГ.

Мы так уже пытаемся реализовать антиспуф http://www.killprog.com/etcr.html

 

AntiSpoof v1.1 (Win 98 and higher)

Это программа призвана бороться с ARP спуфингом в локальной сети. Она умеет через заданный интервал времени обновлять сведения в ARP таблице локальной системы для заданных IP адресов на заданные MAC адреса. По умолчанию обновление проводится каждые 100мсек.

возможно http://www.opennet.ru/prog/info/2582.shtml поможет

Ссылка на сообщение
Поделиться на других сайтах

1. Фильтрация на шлюзе арп пакетов с проверкой на правильность связки мака айпи (и логирования анормальных случаев), а бы шлюз не отправлял трафик с инета через комп с вирусом. А если в авторизатор (если есть) вбить функции прописывания мака шлюза как статического, то не прорвется такая гадость :).

2. Фильтрация трафика в инет по связки мак айпи на шлюзе сразу выявляет вирус у всех в сегменте пропадает инет :)

Есть и прочие "операторские" решения борьбы с заразой.

3. Привязку на портах абонента через ацл или арп режим абы не кидал левых арпов, но тут загвостка в случай смены мака надо прописываться только через телефон супорта.

4. VLAN над дом сильно спасает от такой напасти, ибо ложится один дом только, круче только VLAN на юзера тогда только он сам и пострадает :)

5. Внутри дома абы не заморачиваться с VLAN на юзера можно ограничение на трафик между портами включить и юзать арп проксю хитрую на шлюзе и получится гибрид VLAN на юзера.

 

Каждый может выбрать уровни защиты по карману и тех. знаниям технологий.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...