kvirtu 315 Posted 2010-12-26 20:35:48 Share Posted 2010-12-26 20:35:48 Всем привет ! В сетке начал гулять вирусняк Win32/Conficker.AА - Эта хрень засЕрает сетку исходящими пакетами. Так как ходить по всем клиентам - дело неблагодарное , а уповать на их сознательность не приходиться , может есть серверное решение ??? На данный момент использую: tcpdump -i vlan1 -n src net xx.xx.хх.0/24 and dst port 445 Пару машин поймал, но это не выход ... Нашел пару скриптов в инете: net view /DOMAIN:тут пишем свой домен > comps.txt for /f "eol=K skip=4 tokens=1" %%i in (comps.txt) do ( if exist %%i\c$\windows\tasks\ del %%i\c$\windows\tasks\At*.job if exist %%i\c$\winnt\tasks\ del %%i\c$\winnt\tasks\At*.job ) До кучи еще один полезный скрипт, которым я пользуюсь, чтобы найти подозрительные системные скрытые файлы (таким образом обнаруживаются и файлы Конфикера): net view /DOMAIN:тут пишем свой домен > comps.txt for /f "eol=K skip=4 tokens=1" %%i in (comps.txt) do ( if exist %%i\c$\windows\system32 dir /A:H %%i\c$\windows\system32 >> C:\SysReport01.txt if exist %%i\c$\winnt\system32 dir /A:H %%i\c$\winnt\system32 >> C:\SysReport01.txt ) В файлике SysReport01.txt сваливается список содержимого директорий \system32\ машин в домене состоящих из скрытых защищенных системных файлов (обычная тактика вирусов). С его помощью можно быстро проанализировать степень заражения сети. В процессе работы также создается вспомогательный файлик comps.txt, который можно также прибивать в конце (я оставляю в целях диагностики). Если домена нет, то похожий скрипт можно написать для перебора некоего диапазона ip-адресов. Как переделать их для сканирования по сетке айпишников Link to post Share on other sites
Setevoy 127 Posted 2010-12-27 00:23:58 Share Posted 2010-12-27 00:23:58 засЕрает сетку исходящими пакетами. Какими именно пакетами? Link to post Share on other sites
kvirtu 315 Posted 2010-12-27 06:33:54 Author Share Posted 2010-12-27 06:33:54 11:16:06.603105 xx.xx.xx.52.2365 > 111.40.61.127.445: S 3008960994:3008960994(0) win 65535 <mss 1460,nop,nop,sackOK> 11:16:06.606043 xx.xx.xx.52.2525 > 123.52.148.63.445: S 3015819484:3015819484(0) win 65535 <mss 1460,nop,nop,sackOK> 11:16:06.703364 xx.xx.xx.52.2366 > 179.91.137.67.445: S 3009026758:3009026758(0) win 65535 <mss 1460,nop,nop,sackOK> 11:16:06.703370 xx.xx.xx.52.2367 > 15.113.236.112.445: S 3009073249:3009073249(0) win 65535 <mss 1460,nop,nop,sackOK> Link to post Share on other sites
DarkSpider 36 Posted 2010-12-27 06:43:31 Share Posted 2010-12-27 06:43:31 Когда-то описывал : http://spider.bsyteam.net/59 Там есть и варианты сетевых утилит. Link to post Share on other sites
kvirtu 315 Posted 2010-12-27 06:57:31 Author Share Posted 2010-12-27 06:57:31 Когда-то описывал : http://spider.bsyteam.net/59 Там есть и варианты сетевых утилит. Спасибо), щас буду разбираться Link to post Share on other sites
kvirtu 315 Posted 2010-12-27 11:15:01 Author Share Posted 2010-12-27 11:15:01 Погуглив нашел Dr.Web CureNet - c демо-ключем, но она даже не смогла подключиться к зараженной машине Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now