Virus saindo pela rede. como descobrir?
alquem sabe qual o metodo que virus como Netsky/MyDoom/Novarg/Bagle/Beagle/Sober/Yaha usam para atacar redes ou outros hosts?
to com esse tipo de virus saindo pela minha rede, mas nao tenho acesso aos pcs clientes, entao teria que travar o trafego deles no firewall...
alguma ideia?
valeu
8-)
Re: Virus saindo pela rede. como descobrir?
#tcpdump -i ethx -n
Fique de olho em tráfego anormal nas portas 137:139 e 445. Estas são as principais entradas de vírus em S.O. Windows (netbios (ns, dgm e ssn) & microsoft-ds).
mtec
Re: Virus saindo pela rede. como descobrir?
mas eu ja dropo essas portas e essas tb:
31337, 12345, 36659, 10000, 17300, 23232, 32121, 12065, 28253.
passando por elas nao pode ser. =/
Re: Virus saindo pela rede. como descobrir?
Use o tcpdump... independente de DROPAR ou não, vai acusar tentativas de conexões nestas portas!!!
mtec :-)
Re: Virus saindo pela rede. como descobrir?
sim, mas o problema é que esse trafego esta saindo para a internet, eu sei que nao sai nessas portas pq sao dropadas...