Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Novo virus atormentando a vida dos provedores

    Olá Pessoal,

    Já fiquei dois dias tentando resolver este problema e até agora nada. Já fiz bloqueios de tudo que é jeito e nao consigo bloquear este virus. Ele usa exatamente este range de ips 68.142.1.1-68.142.100.254 (seu site: cdsxxx.atl.llnw.net). Ele fica consumindo toda sua banda sem parar as vezes (raramente) ele usa outra range de ips 208.111.185.141 (cds249.atl.llnw.net). Não sei mais o que faço.



    Pedimos encarecidamente a ajuda do pessoal do forum para que possa resolver este problemao. O virus parece ser novo e poucas pessoas perceberam sua ação. Me parece que o maldito virus instalou em minha maquina mo dia 18/04/2009.
    Obs. Já rodei o anti-virus e nao detecta nada.

    O nosso amigo Saquasurf está com o mesmo problema que eu:

    Citação:
    "
    Citação Postado originalmente por saquasurf Ver Post
    boa tarde amigos
    estou com um grande problema aqui em minha lan uso mk 2,9,27 crack
    e o seguinte tem um virus na minha rede que esta operando nesta range 68.142.1.1-68.142.100.254 o problema maior e que nao consigo bloquear por portas por que ele tambem muda aleatoriamene as src ports porem sempre usa a dst ports 80 .
    fiz uma regra no firewal filter bloqueando esta range so que acho que tem algo errado pois ele continua conectando as minhas estaçoes fui tambem no web proxy e coloquei essa range onde bloqueamos sites e nada. esta maneira de bloquear range esta correta? caso nao por favor podem me ensinar a fazer.

    obs uso webproxy com cache meu controle de banda e feito na queue simple com burst, uso hotspot so que com ipbrindge para nao precisar autenticar sempre ja que e uma lan house. .

    desde ja sou grato a todos que poderem me ajudar forte abraço e .fiquem com DEUS
    "

  2. #2

    Padrão

    bloqueia a entrada e saída dele via iptables!

    Podes fazer isso via windows tbm, diz que tua máquina responde por esse domínio.. hehehehe

    o dieal mesmo é identificar onde ele está!!!

  3. #3

    Padrão

    cara, se vc achar alguma solucao, posta ai...
    tou com os mesmos problemas...

    de vez em qdo aparece uns IPs desses ai...
    a banda desse a praticamente 20% dela.. fica ruin mesmo...


    mas me diz.. vc ai usa um servidor so para o controle/gerenciamento do seu provedor???
    ou eh a sua propria maquina em windows?
    Última edição por AndrioPJ; 22-04-2009 às 07:45.

  4. #4

    Padrão

    se tiver instalado em poucas maquinas
    ranca a maquina da rede e formata..! ; )

    fora isso... terá que bloquear de algum modo.. firewall,etc..

    se ele usa esse range ' 68.142.1.1-68.142.100.254 ' bloqueia a porta de conexão dele! se for porta 80 tenta filtrar! and denied!

    você não tem controle de banda nos clientes?
    por que se o cliente tiver com esse vírus irá consumir toda sua banda.. não do seu link!

    se identificar o vírus (binário) me envia por favor!

    [email protected]
    Última edição por andersoneduardo; 22-04-2009 às 08:20.

  5. #5

    Padrão

    Citação Postado originalmente por andersoneduardo Ver Post
    se tiver instalado em poucas maquinas
    ranca a maquina da rede e formata..! ; )

    fora isso... terá que bloquear de algum modo.. firewall,etc..

    se ele usa esse range ' 68.142.1.1-68.142.100.254 ' bloqueia a porta de conexão dele! se for porta 80 tenta filtrar! and denied!

    você não tem controle de banda nos clientes?
    por que se o cliente tiver com esse vírus irá consumir toda sua banda.. não do seu link!

    se identificar o vírus (binário) me envia por favor!

    [email protected]
    Cara,
    Não dá para bloquear a porta pois ela muda a cada 1 minuto. Muda tanto as portas como os ips do site. Ele trabalha com esse range de ips 68.142.xxx.xxx (ex: cds248.atl.llnw.net; cds54.atl.llnw.net; cds134.atl.llnw.net). Já fiz o bloqueio pelo web proxy bloqueando sites com estas palavras cds; atl; llnw; atl.llnw; atl.llnw.net e tambem nao deu jeito.
    Uso controle de banda sim, o problema é que a net do cliente fica ruim pois navega o tempo todo mesmo sem ele está navegando.
    Estou tentano resolver mas tá dificil. Vamos apelar pela a ajuda de alguem que consiga resolver o problema.

  6. #6

    Padrão

    Este range ' 68.142.1.1-68.142.100.254' é um range muito grande de IP validos, tem que estudar melhor este problema.

  7. #7

    Padrão Virus

    Caros Amigos,

    Vcs já tentaram instalar um Mikrotik atualizado e original?

    O grande problema dessa versão 2.9.27 (Crack) é a falta de atualização, o MK já está na versão 4.0, e em se tratando de atualizações, lembrem-se que não são apenas coisas novas, mais sim várias correções.

    Isso pode fazer muita diferença.


  8. #8

    Padrão

    tem como postar um tcpdump dele...

    tcpdump -ln ou -lnA


    por que se conseguir pegar uma assinatura dele.. pode bloquear via Layer7

  9. #9

    Padrão

    Código :
    /ip firewall address-list
    add address=62.149.2.7 comment="" disabled=no list=conficker-hosts
    add address=74.208.64.145 comment="" disabled=no list=conficker-hosts
    add address=83.68.16.6 comment="" disabled=no list=conficker-hosts
    add address=143.215.143.11 comment="" disabled=no list=conficker-hosts
    add address=149.20.56.32 comment="" disabled=no list=conficker-hosts
    add address=199.2.137.252 comment="" disabled=no list=conficker-hosts
    add address=205.188.161.4 comment="" disabled=no list=conficker-hosts
    add address=174.129.221.183 comment="" disabled=no list=conficker-hosts
     
    /ip firewall filter
    add action=reject chain=forward comment="" disabled=yes reject-with=icmp-host-unreachable dst-address-list=conficker-hosts

    uma lista de hosts que o conficker usa..

  10. #10

    Padrão

    Isso nao é virus nao , é um range de sites compartilhadores tipo 4share! e a porta de destino como sempre 80

  11. #11

  12. #12

    Cool !

    Caso não resolver e continuar puxando banda, DROPA as conexões para este range !
    O fato do range estar associado a algum site de compartilhamento pode ser valido, ma a afirmação do nosso amigo que tem algum aplicativo malicioso usando algum tipo de bRUTEFORCE este range deve ser considerada!
    Caso houver algum ipo de reclamação de seus clientes você explica que estes IPs estão mandado virus para rede ou, simplesmente, coloque um Queue Tree com marcação de pacotes para o range de IP mencionado e limita o trafego.

    Esero ter ajudado!

    Qualquer coisa estamos ai!

  13. #13

    Padrão

    amigo,

    esse vírus vem de dentro da sua rede ou vem de fora!
    Qual tipo de equipamento você usa para fazer o QOS?

    POsta ae que a gente ajuda com os comandos pra dropar esse vírus!

  14. #14

    Padrão

    [QUOTE=ROBERTO123;396808]Olá Pessoal,

    Já fiquei dois dias tentando resolver este problema e até agora nada. Já fiz bloqueios de tudo que é jeito e nao consigo bloquear este virus. Ele usa exatamente este range de ips 68.142.1.1-68.142.100.254 (seu site: cdsxxx.atl.llnw.net). Ele fica consumindo toda sua banda sem parar as vezes (raramente) ele usa outra range de ips 208.111.185.141 (cds249.atl.llnw.net). Não sei mais o que faço.


    Brow faz o seguinte....
    vai em IP Web-proxy / access e cria essa regra
    add url=".atl.llnw.net" action=deny comment="Drop do Virus que mata a NET por SHTURBO Internet" disabled=no
    isso matara todo
    acesso ao dominio e subdomnios do "atl.llnw.net" fazendo com que o virus pare de trafegar...
    Funciona em qualquer VS da MK desde que vc esteja fazendo proxy na MK...

  15. #15

    Padrão

    [quote=Shturbo Internet;397198]
    Citação Postado originalmente por ROBERTO123 Ver Post
    Olá Pessoal,

    Já fiquei dois dias tentando resolver este problema e até agora nada. Já fiz bloqueios de tudo que é jeito e nao consigo bloquear este virus. Ele usa exatamente este range de ips 68.142.1.1-68.142.100.254 (seu site: cdsxxx.atl.llnw.net). Ele fica consumindo toda sua banda sem parar as vezes (raramente) ele usa outra range de ips 208.111.185.141 (cds249.atl.llnw.net). Não sei mais o que faço.


    Brow faz o seguinte....
    vai em IP Web-proxy / access e cria essa regra
    add url=".atl.llnw.net" action=deny comment="Drop do Virus que mata a NET por SHTURBO Internet" disabled=no
    isso matara todo acesso ao dominio e subdomnios do "atl.llnw.net" fazendo com que o virus pare de trafegar...
    Funciona em qualquer VS da MK desde que vc esteja fazendo proxy na MK...

    O nosso amigo comentou que o virus vive trocando de portas! ou seja travar pelo webproxy so iria loquear a porta 80 !
    Última edição por orionstation; 22-04-2009 às 12:20.

  16. #16

    Padrão

    [quote=orionstation;397205]
    Citação Postado originalmente por Shturbo Internet Ver Post


    O nosso amigo comentou que o virus vive trocando de portas! ou seja travar pelo webproxy so iria loquear a porta 80 !
    não por que vc estaria bloqueado apenas o dns citado... o qual aparentemente foi criado apenas para o fim de comunicar com o bendito virus...

  17. #17

    Padrão !!!!

    [quote=Shturbo Internet;397210]
    Citação Postado originalmente por orionstation Ver Post

    não por que vc estaria bloqueado apenas o dns citado... o qual aparentemente foi criado apenas para o fim de comunicar com o bendito virus...

    WEBPOXY bloquear DNS ?????????????

    Webproxy serve somente para comunicações de navegação (HTTP, HTTPS e Gopher)
    Para as outras coisas se utiliza o firewall !!!!


  18. #18

    Padrão

    como disse anteriormente...
    de vez em qdo tenho o mesmo problema

    a estrutura aqui ta assim

    internet(moden ou roteador) -(eth1) servidor (eth0) - rede interna

    a internet fica super lenta... dou um arp -a
    e vejo outro ip conectado na porta eth1 (q seria a porta que faz comunicacao com a internet).
    porem, a internet so chega a ficar lenta, nao chega a cair...

    mas agora que vi isso aqui, vou ficar de olho nos ips...

  19. #19

    Padrão

    [quote=orionstation;397213]
    Citação Postado originalmente por Shturbo Internet Ver Post


    WEBPOXY bloquear DNS ?????????????

    Webproxy serve somente para comunicações de navegação (HTTP, HTTPS e Gopher)
    Para as outras coisas se utiliza o firewall !!!!


    brow qualquer nome.. de site.. como por ex. www.shturbo.com.br é um dynamic name server o dns nada mais é que a resolução de determinados IP´S para nomes.. ja imaginou se todo site que vc fosse acessar vc tive que lembrar o ip/pasta... com por ex terra.com.br " 200.176.3.142 "
    então quando vc blq o dns do sites ele ira blq o ip central e os ips dos sub dominios...
    Agora se vc prefere usar o firewall e sair bloqueando ip por ip... paciencia.. tambem funciona...
    Última edição por Shturbo Internet; 22-04-2009 às 12:56.

  20. #20

    Padrão !!!

    [quote=Shturbo Internet;397232]
    Citação Postado originalmente por orionstation Ver Post


    brow qualquer nome.. de site.. como por ex. www.shturbo.com.br é um dynamic name server o dns nada mais é que a resolução de determinados IP´S para nomes.. ja imaginou se todo site que vc fosse acessar vc tive que lembrar o ip/pasta... com por ex terra.com.br " 200.176.3.142 "
    então quando vc blq o dns do sites ele ira blq o ip central e os ips dos sub dominios...
    Agora se vc prefere usar o firewall e sair bloqueando ip por ip... paciencia.. tambem funciona...
    CARAMBA !!! O QUE EU TO TENTANDO DIZER É QUE NÃ TEM NADA HAVER FAZER ISTO PELO WEBPROXY !!!! ENTENDEU ??????

    WEBPROXY SÓ TRABALHA COM ACONEXÕES HTTP, HTTPS, FTP E GOPHER !!!!

    POR ISSO QUE DEVE-SE USAR O FIREWALL E DROPAR O RANGE OU MINIMIZAR O USO D BANDA PELO QUEUE TREE PARA EST RANGE ATRAVES DA MARCAÇÃO DE PACOTES !!!