#  > Servidores >  > Sistemas Operacionais >  >  Novo virus atormentando a vida dos provedores

## ROBERTO123

Olá Pessoal,

Já fiquei dois dias tentando resolver este problema e até agora nada. Já fiz bloqueios de tudo que é jeito e nao consigo bloquear este virus. Ele usa exatamente este range de ips 68.142.1.1-68.142.100.254 (seu site: cdsxxx.atl.llnw.net). Ele fica consumindo toda sua banda sem parar as vezes (raramente) ele usa outra range de ips 208.111.185.141 (cds249.atl.llnw.net). Não sei mais o que faço.



Pedimos encarecidamente a ajuda do pessoal do forum para que possa resolver este problemao. O virus parece ser novo e poucas pessoas perceberam sua ação. Me parece que o maldito virus instalou em minha maquina mo dia 18/04/2009.
Obs. Já rodei o anti-virus e nao detecta nada.

O nosso amigo Saquasurf está com o mesmo problema que eu:

*Citação:* 
_ " 




 Postado originalmente por saquasurf


boa tarde amigos
estou com um grande problema aqui em minha lan uso mk 2,9,27 crack
e o seguinte tem um virus na minha rede que esta operando nesta range 68.142.1.1-68.142.100.254 o problema maior e que nao consigo bloquear por portas por que ele tambem muda aleatoriamene as src ports porem sempre usa a dst ports 80 .
fiz uma regra no firewal filter bloqueando esta range so que acho que tem algo errado pois ele continua conectando as minhas estaçoes fui tambem no web proxy e coloquei essa range onde bloqueamos sites e nada. esta maneira de bloquear range esta correta? caso nao por favor podem me ensinar a fazer.

obs uso webproxy com cache meu controle de banda e feito na queue simple com burst, uso hotspot so que com ipbrindge para nao precisar autenticar sempre ja que e uma lan house. .

desde ja sou grato a todos que poderem me ajudar forte abraço e .fiquem com DEUS


"_

----------


## debeijer

bloqueia a entrada e saída dele via iptables!

Podes fazer isso via windows tbm, diz que tua máquina responde por esse domínio.. hehehehe

o dieal mesmo é identificar onde ele está!!!

----------


## AndrioPJ

cara, se vc achar alguma solucao, posta ai...
tou com os mesmos problemas...

de vez em qdo aparece uns IPs desses ai...
a banda desse a praticamente 20% dela.. fica ruin mesmo...


mas me diz.. vc ai usa um servidor so para o controle/gerenciamento do seu provedor???
ou eh a sua propria maquina em windows?

----------


## andersoneduardo

se tiver instalado em poucas maquinas
ranca a maquina da rede e formata..! ; )

fora isso... terá que bloquear de algum modo.. firewall,etc.. 

se ele usa esse range ' 68.142.1.1-68.142.100.254 ' bloqueia a porta de conexão dele! se for porta 80 tenta filtrar! and denied!

você não tem controle de banda nos clientes?
por que se o cliente tiver com esse vírus irá consumir toda sua banda.. não do seu link!

se identificar o vírus (binário) me envia por favor!

[email protected]

----------


## ROBERTO123

> se tiver instalado em poucas maquinas
> ranca a maquina da rede e formata..! ; )
> 
> fora isso... terá que bloquear de algum modo.. firewall,etc.. 
> 
> se ele usa esse range ' 68.142.1.1-68.142.100.254 ' bloqueia a porta de conexão dele! se for porta 80 tenta filtrar! and denied!
> 
> você não tem controle de banda nos clientes?
> por que se o cliente tiver com esse vírus irá consumir toda sua banda.. não do seu link!
> ...


Cara, 
Não dá para bloquear a porta pois ela muda a cada 1 minuto. Muda tanto as portas como os ips do site. Ele trabalha com esse range de ips 68.142.xxx.xxx (ex: cds248.atl.llnw.net; cds54.atl.llnw.net; cds134.atl.llnw.net). Já fiz o bloqueio pelo web proxy bloqueando sites com estas palavras cds; atl; llnw; atl.llnw; atl.llnw.net e tambem nao deu jeito.
Uso controle de banda sim, o problema é que a net do cliente fica ruim pois navega o tempo todo mesmo sem ele está navegando.
Estou tentano resolver mas tá dificil. Vamos apelar pela a ajuda de alguem que consiga resolver o problema.

----------


## herlon2008

Este range ' 68.142.1.1-68.142.100.254' é um range muito grande de IP validos, tem que estudar melhor este problema.

----------


## maracke

Caros Amigos,

Vcs já tentaram instalar um Mikrotik atualizado e original?

O grande problema dessa versão 2.9.27 (Crack) é a falta de atualização, o MK já está na versão 4.0, e em se tratando de atualizações, lembrem-se que não são apenas coisas novas, mais sim várias correções.

Isso pode fazer muita diferença.

 :Y:

----------


## andersoneduardo

tem como postar um tcpdump dele...

tcpdump -ln ou -lnA


por que se conseguir pegar uma assinatura dele.. pode bloquear via Layer7

----------


## alexandrecorrea

```
/ip firewall address-list
add address=62.149.2.7 comment="" disabled=no list=conficker-hosts
add address=74.208.64.145 comment="" disabled=no list=conficker-hosts
add address=83.68.16.6 comment="" disabled=no list=conficker-hosts
add address=143.215.143.11 comment="" disabled=no list=conficker-hosts
add address=149.20.56.32 comment="" disabled=no list=conficker-hosts
add address=199.2.137.252 comment="" disabled=no list=conficker-hosts
add address=205.188.161.4 comment="" disabled=no list=conficker-hosts
add address=174.129.221.183 comment="" disabled=no list=conficker-hosts
 
/ip firewall filter
add action=reject chain=forward comment="" disabled=yes reject-with=icmp-host-unreachable dst-address-list=conficker-hosts
```

 
uma lista de hosts que o conficker usa..

----------


## Pirigoso

Isso nao é virus nao , é um range de sites compartilhadores tipo 4share! e a porta de destino como sempre 80

----------


## andersoneduardo

se for conficker
esses são alguns dos meios de descoberta


Informatik IV: Containing Conficker

Nmap 4.85BETA5 lançado para escanear Conficker - ISTF

----------


## orionstation

Caso não resolver e continuar puxando banda, DROPA as conexões para este range ! 
O fato do range estar associado a algum site de compartilhamento pode ser valido, ma a afirmação do nosso amigo que tem algum aplicativo malicioso usando algum tipo de bRUTEFORCE este range deve ser considerada!
Caso houver algum ipo de reclamação de seus clientes você explica que estes IPs estão mandado virus para rede ou, simplesmente, coloque um Queue Tree com marcação de pacotes para o range de IP mencionado e limita o trafego.

Esero ter ajudado!

Qualquer coisa estamos ai!

----------


## debeijer

amigo, 

esse vírus vem de dentro da sua rede ou vem de fora!
Qual tipo de equipamento você usa para fazer o QOS?

POsta ae que a gente ajuda com os comandos pra dropar esse vírus!

----------


## Shturbo Internet

[QUOTE=ROBERTO123;396808]Olá Pessoal,

Já fiquei dois dias tentando resolver este problema e até agora nada. Já fiz bloqueios de tudo que é jeito e nao consigo bloquear este virus. Ele usa exatamente este range de ips 68.142.1.1-68.142.100.254 (seu site: cdsxxx.atl.llnw.net). Ele fica consumindo toda sua banda sem parar as vezes (raramente) ele usa outra range de ips 208.111.185.141 (cds249.atl.llnw.net). Não sei mais o que faço.


Brow faz o seguinte.... 
vai em IP Web-proxy / access e cria essa regra 
*add url=".atl.llnw.net" action=deny comment="Drop do Virus que mata a NET por SHTURBO Internet" disabled=no* 
isso matara todo acesso ao dominio e subdomnios do "atl.llnw.net" fazendo com que o virus pare de trafegar...
Funciona em qualquer VS da MK desde que vc esteja fazendo proxy na MK...

----------


## orionstation

[quote=Shturbo Internet;397198]


> Olá Pessoal,
> 
> Já fiquei dois dias tentando resolver este problema e até agora nada. Já fiz bloqueios de tudo que é jeito e nao consigo bloquear este virus. Ele usa exatamente este range de ips 68.142.1.1-68.142.100.254 (seu site: cdsxxx.atl.llnw.net). Ele fica consumindo toda sua banda sem parar as vezes (raramente) ele usa outra range de ips 208.111.185.141 (cds249.atl.llnw.net). Não sei mais o que faço.
> 
> 
> Brow faz o seguinte.... 
> vai em IP Web-proxy / access e cria essa regra 
> *add url=".atl.llnw.net" action=deny comment="Drop do Virus que mata a NET por SHTURBO Internet" disabled=no*
> isso matara todo acesso ao dominio e subdomnios do "atl.llnw.net" fazendo com que o virus pare de trafegar...
> Funciona em qualquer VS da MK desde que vc esteja fazendo proxy na MK...


 
O nosso amigo comentou que o virus vive trocando de portas! ou seja travar pelo webproxy so iria loquear a porta 80 !

----------


## Shturbo Internet

[quote=orionstation;397205]


> O nosso amigo comentou que o virus vive trocando de portas! ou seja travar pelo webproxy so iria loquear a porta 80 !


*não por que vc estaria bloqueado apenas o dns citado...* o qual aparentemente foi criado apenas para o fim de comunicar com o bendito virus...

----------


## orionstation

[quote=Shturbo Internet;397210]


> *não por que vc estaria bloqueado apenas o dns citado...* o qual aparentemente foi criado apenas para o fim de comunicar com o bendito virus...


 
WEBPOXY bloquear DNS ?????????????

Webproxy serve somente para comunicações de navegação (HTTP, HTTPS e Gopher)
Para as outras coisas se utiliza o firewall !!!!

 :Withstupid:

----------


## AndrioPJ

como disse anteriormente...
de vez em qdo tenho o mesmo problema

a estrutura aqui ta assim

internet(moden ou roteador) -(eth1) servidor (eth0) - rede interna

a internet fica super lenta... dou um arp -a
e vejo outro ip conectado na porta eth1 (q seria a porta que faz comunicacao com a internet).
porem, a internet so chega a ficar lenta, nao chega a cair...

mas agora que vi isso aqui, vou ficar de olho nos ips...

----------


## Shturbo Internet

[quote=orionstation;397213]


> WEBPOXY bloquear DNS ?????????????
> 
> Webproxy serve somente para comunicações de navegação (HTTP, HTTPS e Gopher)
> Para as outras coisas se utiliza o firewall !!!!


 
brow qualquer nome.. de site.. como por ex. www.shturbo.com.br é um dynamic name server o dns nada mais é que a resolução de determinados IP´S para nomes.. ja imaginou se todo site que vc fosse acessar vc tive que lembrar o ip/pasta... com por ex terra.com.br " 200.176.3.142 "
então quando vc blq o dns do sites ele ira blq o ip central e os ips dos sub dominios...
Agora se vc prefere usar o firewall e sair bloqueando ip por ip... paciencia.. tambem funciona...

----------


## orionstation

[quote=Shturbo Internet;397232]


> brow qualquer nome.. de site.. como por ex. www.shturbo.com.br é um dynamic name server o dns nada mais é que a resolução de determinados IP´S para nomes.. ja imaginou se todo site que vc fosse acessar vc tive que lembrar o ip/pasta... com por ex terra.com.br " 200.176.3.142 "
> então quando vc blq o dns do sites ele ira blq o ip central e os ips dos sub dominios...
> Agora se vc prefere usar o firewall e sair bloqueando ip por ip... paciencia.. tambem funciona...


CARAMBA !!! O QUE EU TO TENTANDO DIZER É QUE NÃ TEM NADA HAVER FAZER ISTO PELO WEBPROXY !!!! ENTENDEU ??????

WEBPROXY SÓ TRABALHA COM ACONEXÕES HTTP, HTTPS, FTP E GOPHER !!!!

POR ISSO QUE DEVE-SE USAR O FIREWALL E DROPAR O RANGE OU MINIMIZAR O USO D BANDA PELO QUEUE TREE PARA EST RANGE ATRAVES DA MARCAÇÃO DE PACOTES !!!

 :Party:

----------


## lucianogf

por gentileza, use letras minúsculas na próxima postagem.

----------


## lucianogf

Shturbo,

Sobre o que você postou, com dito, o webproxy irá tratar apenas de requisições http e afins, ele não é um filtro DNS. Se a requisição se der na porta 9765 não vai adiantar nada.

----------


## debeijer

[quote=orionstation;397241]


> CARAMBA !!! O QUE EU TO TENTANDO DIZER É QUE NÃ TEM NADA HAVER FAZER ISTO PELO WEBPROXY !!!! ENTENDEU ??????
> 
> WEBPROXY SÓ TRABALHA COM ACONEXÕES HTTP, HTTPS, FTP E GOPHER !!!!
> 
> POR ISSO QUE DEVE-SE USAR O FIREWALL E DROPAR O RANGE OU MINIMIZAR O USO D BANDA PELO QUEUE TREE PARA EST RANGE ATRAVES DA MARCAÇÃO DE PACOTES !!!


Justamente por se tratar de conexões http e https o webproxy pode sim bloquear tais requisições, sendo aconselhável tais requisições nem chegarem no webproxy, pois podem comprometer a ação. O ideal é bloquear via netfilter logo de cara!

E na verdade o webproxy trabalha com o que o admin desejar, pois pode ser integrado com iptables, include vpn!


Repito que o linux não é um livro com receitas de bolo, e sim um joguinho de lego que nós construímos o que desejamos da forma que melhor nos convém, inclusive deixar a porta ssh de bunda pra lua!

----------


## orionstation

> por gentileza, use letras minúsculas na próxima postagem.


Fica meio complicado tentar explicar com letras minusculas( ja que você me entende) a mesma coisa 3 vezes para a mesma pessoa!

 :Party:

----------


## orionstation

[quote=debeijer;397269]


> Justamente por se tratar de conexões http e https o webproxy pode sim bloquear tais requisições, sendo aconselhável tais requisições nem chegarem no webproxy, pois podem comprometer a ação. O ideal é bloquear via netfilter logo de cara!
> 
> E na verdade o webproxy trabalha com o que o admin desejar, pois pode ser integrado com iptables, include vpn!
> 
> 
> Repito que o linux não é um livro com receitas de bolo, e sim um joguinho de lego que nós construímos o que desejamos da forma que melhor nos convém, inclusive deixar a porta ssh de bunda pra lua!


??????
Essa e nova para mim !
Como o webpoxy pode trabalhar com o VPN ?

Gostaria muito de saber!!!
Ja agradescnd a resposta!

Atenciosamente

----------


## debeijer

[quote=orionstation;397276]


> ??????
> Essa e nova para mim !
> Como o webpoxy pode trabalhar com o VPN ?
> 
> Gostaria muito de saber!!!
> Ja agradescnd a resposta!
> 
> Atenciosamente


"E na verdade o webproxy trabalha com o que o admin desejar, pois pode ser integrado com iptables, include vpn!"

Há um bom material sobre iptables disponível em: Linux: IPTables - Desvendando o mistério [Artigo]

Logo depois disso, você insere umas regras no webproxy para ler um script firewall.sh por exemplo e lá você inclui as regras! Sendo o webproxy o teu gw, pode fazer a festa!

Espero ter ajudado!

----------


## alexandrecorrea

santo deus...

proxy fazendo trafego de vpn ? uhauhauha negative houston ..

proxy trabalha com HTTP/SOCKS .. se tu desviar vpn para ele.. nao funciona..

----------


## debeijer

correto meu amigo alexandrecorrea!!!!

O que disse foi que o iptables pode fazer isso, sendo o controle dentro do proxy!

At.

----------


## Shturbo Internet

[quote=orionstation;397241]


> CARAMBA !!! O QUE EU TO TENTANDO DIZER É QUE NÃ TEM NADA HAVER FAZER ISTO PELO WEBPROXY !!!! ENTENDEU ??????
> 
> WEBPROXY SÓ TRABALHA COM ACONEXÕES HTTP, HTTPS, FTP E GOPHER !!!!
> 
> POR ISSO QUE DEVE-SE USAR O FIREWALL E DROPAR O RANGE OU MINIMIZAR O USO D BANDA PELO QUEUE TREE PARA EST RANGE ATRAVES DA MARCAÇÃO DE PACOTES !!!


 
Sim meu brow.. agora me liguei que ele realmente falou que alem dos ips se alternarem, tambem o virus alterna as portas... correto..

----------


## orionstation

Beleza então !, quanto ao que o alexandre confirmou sobre o webproxy eu ja desconfiava ja não tenha certeza!

----------


## Shturbo Internet

> Shturbo,
> 
> Sobre o que você postou, com dito, o webproxy irá tratar apenas de requisições http e afins, ele não é um filtro DNS. Se a requisição se der na porta 9765 não vai adiantar nada.


E ai luciano, de boa..
A questão das portas e um porem mesmo.. não tinha me atentado para as portas..
Porem no nosso sistema bloqueamos tudo e deixamos passar so o necessario.... atravez do firewal ... inclusive portas altas são bloqueados...
Então so resta no caso desse virus, bloquear o dominio e seus subsdominios (porque é mais pratico que ficar localizando os ips dele sempre que ele mudar) atravez da porta 80, 443 e etc.. que seria a unica por onde ele poderia trafegar..
e isso fazermos direto no proxy... e com pagina de aviso.. caso o o usuario tente acessar...
Como por ex.. esses link de virus "clic e veja minha fotos na praia" sempre acrecentamos na lista de bloqueios sempre que sai um desses novo.. com isso aumentamos a segurança do cliente e da rede..

----------


## FabricioViana

alguém já tentou encontrar o virus na maquina do cliente? 

entrar no modo de segurança, ir desabilitando coisas no msconfig até ver o que é exatamente que causa isso? Tou achando estranho pq tenho 400 clientes aqui e não estou com esse problema..

outra coisa importante: mk crackeado?? Po! 45 dolares compra a licenca!! Sem contar que, pelo que já vi, o crack dá uns paus muito estranhos mesmo, vc nunca vai ter certeza se o problema está no cliente ou no servidor...

Coloca o MK numa CF, compra a licença para esse MK que vc fica tranquilo. Pode rodar em qq máquina!

abraço
Fabricio

----------


## saquasurf

alguem consegui resolver o problema principal deste topico? pergunto pq tenho o memso.

----------


## Pirigoso

Ae Galera raciocina!

o Problema esta acontecendo com todos que usa proxy

O problema esta no destino porta 80 e nenhum outro

o cliente nao tem como burlar o controle de banda , portanto nao tem como ele consumir todo link

qual o unico aplicativo que pode consumir toda banda de um provedor (proxy)

o que o proxy faz? (cache)

se vc fizer um download o controle de banda controla quem? (a saida da interface e nao o Proxy)

quem recebe os pacotinho e reencaminha? (proxy) portanto o proxy termina o download antes do cliente da interface (correto)

ja penssaram num novo site de compartilhamento eu ja descobri e to freando ele

inclusive um dos ranges é o msnvideo! 68.142.101.x

traceroute to msnvideobr.vo.llnwd.net (68.142.101.7)

----------


## JHONNE

> Ae Galera raciocina!
> 
> o Problema esta acontecendo com todos que usa proxy
> 
> O problema esta no destino porta 80 e nenhum outro
> 
> o cliente nao tem como burlar o controle de banda , portanto nao tem como ele consumir todo link
> 
> qual o unico aplicativo que pode consumir toda banda de um provedor (proxy)
> ...


 
bem piri,


se és o que tu estás dizendo, seria melhor entaum controlar o tráfego de entrada no webproxy por conexão utilizando pcq;


mas não acredito que seja disso que o pessoal ta falando, de forma que talvez seria melhor investigar se os pedidos de conexões para esses ips não estão acima da média etc e dropá-los a partir de um certo limite por usuário, pode ser que não resolva, mas amenizaria o problema.

----------


## saquasurf

pirigiso 

como esta consegundo frear esta range de ips passa a dica ai

----------


## superxandaoce

Alguém já descobriu como resolver.. tbm já tive o mesmo problema em duas cidades diferentes.. na ultima cidade no mesmo dia foram 3 clientes distintos... amanhã vou ver se descubro que vírus é esse vou pegar a máquina do cliente.. mais se alguém já tiver alguma coisa.. please, me socorre

----------


## saquasurf

alguem consegui deter essa praga??? como??

----------


## FabricioViana

Aqui estou tendo o seguinte problema:

Eu atendo somente prédios, que possuem rádios em bridge.

Algumas máquinas pegam uns cavalos de tróia que simplesmente acabam com a rede interna! Algumas vezes acabam somente com o prédio, mas outras conseguem travar toda a rede, inclusive as que estão em painéis diferentes!

O ping para a rede interna vai pra 3000ms ora para o rádio do prédio da máquina infectada ora para qualquer rádio da rede!

Em alguns casos bloqueando a pessoa (tirando ela da tabela ARP) resolve. Mas tem casos que não adianta, só desconectando o cabo da máquina mesmo!

Temos notado isso +- de um mês para cá.

O que notamos: que todas as máquinas que tem pego esse tipo de virus/trojan estão com as atualizações automáticas desativadas e com antivirus vencido (ou mesmo sem nada de antivirus!!)! Aí vamos no local verificar e quando fazemos um scan na máquina detecta quilos de trojan e virus!

Tou pensando em instalar o snort para ver que ele acha na rede...

Abraços!
Fabrício

----------


## saquasurf

anigo caso tenha sucesso com o snort posta ai o resultado para ajudar a galera . forte abraço fique com DEUS

----------


## saquasurf

bom amigos analisando aqui em meu firewall as conexoes agora sao para esta range 72.246.1.1-72.246.1.254 e tambem com portas aleatorias so que percebi uma coisa que aqui e nova antes ele usava o ip interno como src adress e agora usa o ip que eu ganho de minha operadora estou achando que minha rede esta se tornando uma rede zumbi o que acham? sera que e uma falha na versao crack ou alguem om mk original tambem esta tendo esse problema?

versão 2,9,27 crack

----------


## EdilsonLSouza

Alguem resoveu o problema?

Estou bloqueando desse forma:

add chain=forward action=drop protocol=tcp content=.atl.llnw.net comment=""

----------


## Mr_Dom

> Alguem resoveu o problema?
> 
> Estou bloqueando desse forma:
> 
> add chain=forward action=drop protocol=tcp content=.atl.llnw.net comment=""


 
olá amigo, obrigado pela dica, mas pra vc tem funcionado bem, tipo muitos pacotes/hora bloqueados ?

minha contribuição: com essa regra pode-se descubrir se a pessoa ta com o bendido vírus ou nao, ao inves de usar o drop, usa o add src to address list, ae se o cliente liga raclamando de lentidão, vc ve se o ip do cliente em questão tá nessa lista ...  :Smile: 

abraçossssssssss

----------


## EdilsonLSouza

Para quem usa a versão 3.** esta é a solução!
Bloqueando Virus Conficker

Lembrando, versões menores que a 3.** não funciona.

----------

