kvirtu 315 Опубликовано: 2010-12-26 20:35:48 Share Опубликовано: 2010-12-26 20:35:48 Всем привет ! В сетке начал гулять вирусняк Win32/Conficker.AА - Эта хрень засЕрает сетку исходящими пакетами. Так как ходить по всем клиентам - дело неблагодарное , а уповать на их сознательность не приходиться , может есть серверное решение ??? На данный момент использую: tcpdump -i vlan1 -n src net xx.xx.хх.0/24 and dst port 445 Пару машин поймал, но это не выход ... Нашел пару скриптов в инете: net view /DOMAIN:тут пишем свой домен > comps.txt for /f "eol=K skip=4 tokens=1" %%i in (comps.txt) do ( if exist %%i\c$\windows\tasks\ del %%i\c$\windows\tasks\At*.job if exist %%i\c$\winnt\tasks\ del %%i\c$\winnt\tasks\At*.job ) До кучи еще один полезный скрипт, которым я пользуюсь, чтобы найти подозрительные системные скрытые файлы (таким образом обнаруживаются и файлы Конфикера): net view /DOMAIN:тут пишем свой домен > comps.txt for /f "eol=K skip=4 tokens=1" %%i in (comps.txt) do ( if exist %%i\c$\windows\system32 dir /A:H %%i\c$\windows\system32 >> C:\SysReport01.txt if exist %%i\c$\winnt\system32 dir /A:H %%i\c$\winnt\system32 >> C:\SysReport01.txt ) В файлике SysReport01.txt сваливается список содержимого директорий \system32\ машин в домене состоящих из скрытых защищенных системных файлов (обычная тактика вирусов). С его помощью можно быстро проанализировать степень заражения сети. В процессе работы также создается вспомогательный файлик comps.txt, который можно также прибивать в конце (я оставляю в целях диагностики). Если домена нет, то похожий скрипт можно написать для перебора некоего диапазона ip-адресов. Как переделать их для сканирования по сетке айпишников Ссылка на сообщение Поделиться на других сайтах
Setevoy 127 Опубліковано: 2010-12-27 00:23:58 Share Опубліковано: 2010-12-27 00:23:58 засЕрает сетку исходящими пакетами. Какими именно пакетами? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2010-12-27 06:33:54 Автор Share Опубліковано: 2010-12-27 06:33:54 11:16:06.603105 xx.xx.xx.52.2365 > 111.40.61.127.445: S 3008960994:3008960994(0) win 65535 <mss 1460,nop,nop,sackOK> 11:16:06.606043 xx.xx.xx.52.2525 > 123.52.148.63.445: S 3015819484:3015819484(0) win 65535 <mss 1460,nop,nop,sackOK> 11:16:06.703364 xx.xx.xx.52.2366 > 179.91.137.67.445: S 3009026758:3009026758(0) win 65535 <mss 1460,nop,nop,sackOK> 11:16:06.703370 xx.xx.xx.52.2367 > 15.113.236.112.445: S 3009073249:3009073249(0) win 65535 <mss 1460,nop,nop,sackOK> Ссылка на сообщение Поделиться на других сайтах
DarkSpider 36 Опубліковано: 2010-12-27 06:43:31 Share Опубліковано: 2010-12-27 06:43:31 Когда-то описывал : http://spider.bsyteam.net/59 Там есть и варианты сетевых утилит. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2010-12-27 06:57:31 Автор Share Опубліковано: 2010-12-27 06:57:31 Когда-то описывал : http://spider.bsyteam.net/59 Там есть и варианты сетевых утилит. Спасибо), щас буду разбираться Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2010-12-27 11:15:01 Автор Share Опубліковано: 2010-12-27 11:15:01 Погуглив нашел Dr.Web CureNet - c демо-ключем, но она даже не смогла подключиться к зараженной машине Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас