Forum » Omrežja in internet » netsky virus
netsky virus
butnskala ::
Problem: imam lokalno omrežje, okoli 50 uporabnikov, z ip-ji 192.168.0.x, na koncu pa linux firewall (iptables) za dostop v svet. Eden (ali morda več) rač. z lokalnega omrežja je okužen z virusom netsky.
Vprašanje - kako naj ga najdem, ne da bi šel vsako mašino posebej preverjat (sami windozi).
Vprašanje - kako naj ga najdem, ne da bi šel vsako mašino posebej preverjat (sami windozi).
- spremenil: CaqKa ()
Bakunin ::
there are many ways to skin a cat:
z iptables ujames vse kar gre VEN na smtp port (tcp/25) in preusmeris na lokalni smtp ali pa enostavno zablokiras vse kar gre ven na smtp, ampak ni iz intranet smtp serverja.
redirect:
iptables -t nat -A PREROUTING -i ! Internet_interface -p tcp -s 192.168.0.0/24 -d ! 192.168.0.0/24 --dport 25 -j REDIRECT --to-ports 25
drop (recimo daje smtp hkrati na "routerju")
iptables -t nat -A PREROUTING -i ! Internet_interface -p tcp -s ! ip_intranet_smtp -d ! 192.168.0.0/24 --dport 25 -j DROP
z iptables ujames vse kar gre VEN na smtp port (tcp/25) in preusmeris na lokalni smtp ali pa enostavno zablokiras vse kar gre ven na smtp, ampak ni iz intranet smtp serverja.
redirect:
iptables -t nat -A PREROUTING -i ! Internet_interface -p tcp -s 192.168.0.0/24 -d ! 192.168.0.0/24 --dport 25 -j REDIRECT --to-ports 25
drop (recimo daje smtp hkrati na "routerju")
iptables -t nat -A PREROUTING -i ! Internet_interface -p tcp -s ! ip_intranet_smtp -d ! 192.168.0.0/24 --dport 25 -j DROP
butnskala ::
Hvala vsem - ga že lovim. Uporabil sem kar najširšo mrežo
iptables -i ! eth0 -p tcp -dport 25 -j LOG --log-prefix "hop cefizelj pa te imam "
iptables -i ! eth0 -p tcp -dport 25 -j LOG --log-prefix "hop cefizelj pa te imam "
Bakunin ::
ta "redirect" je dobro imeti kar vkljucen. Tako nisi izvor "zla" ob naslednji okuzbi in imas intranet pod kontrolo.
hint: isto se da narediti tudi za dns (tcp/53 + udp/53).
hint: isto se da narediti tudi za dns (tcp/53 + udp/53).
butnskala ::
Saj nameravam zgornji logging obdržat - upam, da me ne bo kdo tožil zaradi vdiranja v zasebnost, saj tako točno vem, kdaj in kdo kaj pošilja.
Še en Q - zakaj bi logiral (oz. dropal) DNS ?
Še en Q - zakaj bi logiral (oz. dropal) DNS ?
Bakunin ::
nisem mislil da bi onemogocil DNS, ampak da bi DNS poizvedbe, ki prihajajo iz intraneta preusmeril na svoj DNS "resolver/cache".
Pohitrilo bo "resolvanje" domen ter ti omogocilo da dolocene domene onemogocis oz. preuredis.
npr. ce imas bind ali nsd:
zone "kazaa.com" {
file "/dev/null";
type master; }
(dns is the root of all evil, bgp is the route of all evil)
Pohitrilo bo "resolvanje" domen ter ti omogocilo da dolocene domene onemogocis oz. preuredis.
npr. ce imas bind ali nsd:
zone "kazaa.com" {
file "/dev/null";
type master; }
(dns is the root of all evil, bgp is the route of all evil)
butnskala ::
Po mesecu dni in ujetih treh okužbah, pa mi tokrat kot kaže nekaj ne gre. Od zunaj me opozarjajo, da širim okužbo, glede na loge predvidevam, da gre za bagle.w ali bagle.z virus, vendar pa očitno ne gre nič preko smtp porta (25). Zdaj pa ne vem - vsega tudi ne morem lovit. Na kaj naj se osredotočim?
Bakunin ::
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | ProtFtp Passive mode in iptablesOddelek: Programska oprema | 2270 (2092) | SasoS |
» | IPTablesOddelek: Operacijski sistemi | 1975 (1604) | Brane2 |
» | pomoč pri iptablesOddelek: Omrežja in internet | 2622 (2451) | HellRaiseR |
» | Linux & port forwardingOddelek: Operacijski sistemi | 1209 (1064) | Gandalfar |
» | iptables + forwardOddelek: Operacijski sistemi | 2341 (1916) | tx-z |