Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Bloqueando Virus Conficker

    ola estava vendo no site Mikrotik Expert
    tem um script para Bloquear o Virus Conficker.
    tentei coloca aki na versão 2.9.27 mais nao consegui faze rodar .
    alguem ja fez e esta funcionando se sim posta ai pra gente ver .
    vou colocar aki do jeito qu eu fiz se alguem souber o que esta de errado me ajuda por favor
    grato.

    so lembrando que foi retirado do site Mikrotik Expert
    caso o proprietario do script nao autoriaze a colocar entre em contato que a gente apaga ..

    script name: daily-conficker-list
    Código :
    :local date [/system clock get date]
    :local month [:pick $date 0 3]
    :local day [:pick $date 4 6]
    :local year [:pick $date 7 11]
     
    #set month to numerical value
    :if ([$month] = "jan") do={ :set month "01" }
    :if ([$month] = "feb") do={ :set month "02" }
    :if ([$month] = "mar") do={ :set month "03" }
    :if ([$month] = "apr") do={ :set month "04" }
    :if ([$month] = "may") do={ :set month "05" }
    :if ([$month] = "jun") do={ :set month "06" }
    :if ([$month] = "jul") do={ :set month "07" }
    :if ([$month] = "aug") do={ :set month "08" }
    :if ([$month] = "sep") do={ :set month "09" }
    :if ([$month] = "oct") do={ :set month "10" }
    :if ([$month] = "nov") do={ :set month "11" }
    :if ([$month] = "dec") do={ :set month "12" }
     
    #download current days domain list
    /tool fetch address=www.epicwinrar.com host=www.epicwinrar.com mode=http src-path="conficker/$month-$day-$year.txt"
    :log info "Download Complete"
    :delay 2
     
    #check to ensure todays file exists before deleting yesterdays list
    :log info "Begining Address List Modification"
    :if ( [/file get [/file find name="$month-$day-$year.txt"] size] > 0 ) do={
     
      /ip firewall address-list remove [/ip firewall address-list find list=daily-conficker]
     
      :local content [/file get [/file find name="$month-$day-$year.txt"] contents] ;
      :local contentLen [ :len $content ] ;
     
      :local lineEnd 0;
      :local line "";
      :local lastEnd 0;
     
      :do {
         :set lineEnd [:find $content "\n" $lastEnd ] ;
         :set line [:pick $content $lastEnd $lineEnd] ;
         :set lastEnd ( $lineEnd + 1 ) ;
     
    #resolve each new line and add to the address list daily-conficker. updated to list domain as comment
         :if ( [:pick $line 0 1] != "\n" ) do={
             :local entry [:pick $line 0 ($lineEnd ) ]
             :if ( [:len $entry ] > 0 ) do={
           :local listip [:resolve "$entry"]
               :if ($listip != "failure" ) do={
                 /ip firewall address-list add list=daily-conficker address=$listip comment=$entry
                 :log info "$listip"
               }
           }
         }
       } while ($lineEnd < $contentLen)
    }
    :log info "Address List Modification Complete"
    #cleaning up
    /file remove "$month-$day-$year.txt"
    /system scheduler

    Código :
    add comment=”" disabled=no interval=1d name=Conficker-daily on-event=”/system script run daily-conficker-list” start-date=jan/01/1970 start-time=00:00:01

    FONTE:
    http://mikrotikexpert.com/bloqueando...nficker-virus/
    Última edição por sergio; 23-04-2009 às 14:22. Razão: Inserir a fonte original

  2. #2

    Padrão

    alguem ja testou os males do conficker numa rede wireless?

    aqui desde o começo dele, não senti alteração alguma nem aumento de casos de virus (muitas conexões indesejadas nos clientes).

    vou testar o script depois e ver como que é esse trem e posto aqui.
    valew amigo, abraços.



  3. #3
    MODERADOR-CHEFE Avatar de osmano807
    Ingresso
    Aug 2008
    Localização
    Araguari - Minas Gerais
    Posts
    1.985
    Posts de Blog
    5

    Padrão

    Agora, o que esse Confincker faz, até agora não vi nada...

  4. #4

    Padrão

    Amigo, o virus é instalado por meio da Internet e se propaga também por dispositivos de memória, como pendrives , infectou quinze milhões de computadores em todo o globo. Considerado o pior vírus e worm ja conhecido , pela sua velocidade de proliferação, levou a Microsoft a recompensar com 250 mil dólares por informações que levassem aos criadores do programa. o Conficker já teve três mutações (A, B e C). O que indica que os responsáveis pelo seu código continuam a investir na sua alteração.

    Infectei uma maquina de proposito e estive monitorando ele, percebi que o Win32/Conficker utiliza as portas 139 e 445 que e porta de compartilhamento do Windows.

    Portanto o simples bloqueio dessas portas ja resolve em parte o problema.

    Abraços

    Jodrix



  5. #5

    Padrão

    isso mesmo jodrix
    mais o maior problema ainda esta por vim
    como muitos ja sabem ele he como uma bomba relogio preste a explodir
    e ninguem ainda sabe os danos que ele pode causar .
    outra coisa que deixou a microsoft com medo he que diferentemente de todos os virus conhecidos
    que precisa da aceitação do usuario para que ele possa ser instalado
    ou seja pra pega os outros virus precisa clica em algum link etc.
    esse nao precisa de absolutamente nenhuma interfenção.
    somente pelo simples fato de ter um PC conectado a internet ja esta um alvo do Conficker
    e muito provavel que ja o tenha e nem sabe .
    existe uma empresa que disponibilizou um site que posibilita saber se vc tem o Conficker em seu pc
    ou rede .
    basta entrar no site se todas as imagens aparecer Otimo vc nao tem nenhum dos 3 tipos de Conficker
    em seu pc ou rede .
    se alguma nao aparecer vc esta infectado pelo Conficker.
    o site para quem quizer fazer o teste é Conficker Eye Chart

  6. #6
    MODERADOR-CHEFE Avatar de osmano807
    Ingresso
    Aug 2008
    Localização
    Araguari - Minas Gerais
    Posts
    1.985
    Posts de Blog
    5

    Padrão

    Ah, legal! Meu servidor com Windows Server 2003 está com a variante B. Bem que eu percebi que ele não estava acessando os sites da microsoft (nenhum!). Que coisa, estou com falta de um firewall que suporte este nível de customização do mikrotik/linux para o Windows.



  7. #7

    Padrão

    to com a variant b em algumas maquinas aqui, alguem ja tem alguma forma de remove-lo?

    obrigaado

  8. #8

    Padrão

    Citação Postado originalmente por thenet Ver Post
    to com a variant b em algumas maquinas aqui, alguem ja tem alguma forma de remove-lo?

    obrigaado
    tem sim amigo
    para quem usa windows o site G1 disponibilizou um artigo ensinando passo a passo
    para a remoção d virus Conficker.
    esse he o link G1 > Tecnologia - NOTÍCIAS - Pacotão de segurança: remoção do vírus Conficker e cookies de rastreamento

    agora para remover do servidor no caso mikrotik esta na primeira pagina deste post as regras para a remoção.
    espero ter ajudado.



  9. #9
    Suporte em Mikrotik Avatar de Genis
    Ingresso
    Nov 2006
    Localização
    INTERIOR-SP
    Posts
    1.591

    Padrão

    Citação Postado originalmente por 14735 Ver Post
    ola estava vendo no site Mikrotik Expert
    tem um script para Bloquear o Virus Conficker.
    tentei coloca aki na versão 2.9.27 mais nao consegui faze rodar .
    alguem ja fez e esta funcionando se sim posta ai pra gente ver .
    vou colocar aki do jeito qu eu fiz se alguem souber o que esta de errado me ajuda por favor
    grato.

    so lembrando que foi retirado do site Mikrotik Expert
    caso o proprietario do script nao autoriaze a colocar entre em contato que a gente apaga ..

    script name: daily-conficker-list
    Código :
    :local date [/system clock get date]
    :local month [:pick $date 0 3]
    :local day [:pick $date 4 6]
    :local year [:pick $date 7 11]
     
    #set month to numerical value
    :if ([$month] = "jan") do={ :set month "01" }
    :if ([$month] = "feb") do={ :set month "02" }
    :if ([$month] = "mar") do={ :set month "03" }
    :if ([$month] = "apr") do={ :set month "04" }
    :if ([$month] = "may") do={ :set month "05" }
    :if ([$month] = "jun") do={ :set month "06" }
    :if ([$month] = "jul") do={ :set month "07" }
    :if ([$month] = "aug") do={ :set month "08" }
    :if ([$month] = "sep") do={ :set month "09" }
    :if ([$month] = "oct") do={ :set month "10" }
    :if ([$month] = "nov") do={ :set month "11" }
    :if ([$month] = "dec") do={ :set month "12" }
     
    #download current days domain list
    /tool fetch address=www.epicwinrar.com host=www.epicwinrar.com mode=http src-path="conficker/$month-$day-$year.txt"
    :log info "Download Complete"
    :delay 2
     
    #check to ensure todays file exists before deleting yesterdays list
    :log info "Begining Address List Modification"
    :if ( [/file get [/file find name="$month-$day-$year.txt"] size] > 0 ) do={
     
      /ip firewall address-list remove [/ip firewall address-list find list=daily-conficker]
     
      :local content [/file get [/file find name="$month-$day-$year.txt"] contents] ;
      :local contentLen [ :len $content ] ;
     
      :local lineEnd 0;
      :local line "";
      :local lastEnd 0;
     
      :do {
         :set lineEnd [:find $content "\n" $lastEnd ] ;
         :set line [:pick $content $lastEnd $lineEnd] ;
         :set lastEnd ( $lineEnd + 1 ) ;
     
    #resolve each new line and add to the address list daily-conficker. updated to list domain as comment
         :if ( [:pick $line 0 1] != "\n" ) do={
             :local entry [:pick $line 0 ($lineEnd ) ]
             :if ( [:len $entry ] > 0 ) do={
           :local listip [:resolve "$entry"]
               :if ($listip != "failure" ) do={
                 /ip firewall address-list add list=daily-conficker address=$listip comment=$entry
                 :log info "$listip"
               }
           }
         }
       } while ($lineEnd < $contentLen)
    }
    :log info "Address List Modification Complete"
    #cleaning up
    /file remove "$month-$day-$year.txt"
    /system scheduler

    Código :
    add comment=”" disabled=no interval=1d name=Conficker-daily on-event=”/system script run daily-conficker-list” start-date=jan/01/1970 start-time=00:00:01

    FONTE:
    Mikrotik Expert » Scripting » Bloqueando el Conficker Virus
    oque pude ver, nos testes "no interval=1d name" sem a letra "d" funciona muda para "no interval=1d 00:00:01 name"
    Última edição por Genis; 24-04-2009 às 10:16.

  10. #10

    Padrão

    Citação Postado originalmente por Genis Ver Post
    oque pude ver, nos testes "no interval=1d name" sem a letra "d" funciona muda para "no interval=1d 00:00:01 name"
    aano seu ta funcionando ?
    qual versão do mk vc esta usando ?
    no meu o que nao ta funcionando he o script mesmo clicando em run script manualmente nao roda.



  11. #11

    Padrão

    não entendi, este codigo funciona para quais versões, e o que mesmo que tem que ser mudado nas configs.

  12. #12

    Padrão

    Citação Postado originalmente por Genis Ver Post
    coloca conforme a foto em anexo
    o problema aki acho que he a versão do mk mesmo
    o Scheduler esta correto o script que nao funciona.
    la em Script ao clicar em Run Script ele tem que execultar
    mesmo sem o uso do Scheduler certo.
    entao nao esta executando olha a imagem a baixo.
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         conficker.jpg
Visualizações:	206
Tamanho: 	119,9 KB
ID:      	4077  



  13. #13

    Padrão Site Bloqueado

    O site referido no script esta bloqueado.

  14. #14
    MODERADOR-CHEFE Avatar de osmano807
    Ingresso
    Aug 2008
    Localização
    Araguari - Minas Gerais
    Posts
    1.985
    Posts de Blog
    5

    Padrão

    Citação Postado originalmente por int21 Ver Post
    O site referido no script esta bloqueado.
    Não, parece que aquilo é só para despistar, mas o script funciona normal, tente acessar:
    http://www.epicwinrar.com/conficker/04-24-2009.txt
    (que seria a lista de hoje)



  15. #15

    Exclamation

    O virus conficker afeta o linux tambem?????
    Se afeta em que pontos??
    Obrigado.....

  16. #16
    MODERADOR-CHEFE Avatar de osmano807
    Ingresso
    Aug 2008
    Localização
    Araguari - Minas Gerais
    Posts
    1.985
    Posts de Blog
    5

    Padrão

    Citação Postado originalmente por Kazanova Ver Post
    O virus conficker afeta o linux tambem?????
    Se afeta em que pontos??
    Obrigado.....
    Bom, só se você executar a DLL com o Wine, aí afeta a instalação do Wine.
    No mais, NADA!

    Eu removi o Conficker com a ferramenta da F-Secure, ela identifica o arquivo certo, não fica escaneando toda vida todos os arquivos do PC, removi o vírus em 15min.
    Se o virus estiver em mp3(4,5), é só você conectar no pc com o vírus e fazer o scan normalmente que remove.



  17. #17

    Padrão

    Citação Postado originalmente por Kazanova Ver Post
    O virus conficker afeta o linux tambem?????
    Se afeta em que pontos??
    Obrigado.....
    o script cerve no mk para se caso esteja por ex: no cache .
    no servidor nao tera efeito mais estando no cache todos da sua rede vai ser afetado por ele.
    e tbm bloqueia a passagem do mesmo assim toda a sua rede fica imune intendeu.
    mais he bom coloca o script e fazer a verificação nos pc que ja pode estar infectado .

  18. #18

    Padrão

    Citação Postado originalmente por osmano807 Ver Post
    Bom, só se você executar a DLL com o Wine, aí afeta a instalação do Wine.
    No mais, NADA!

    Eu removi o Conficker com a ferramenta da F-Secure, ela identifica o arquivo certo, não fica escaneando toda vida todos os arquivos do PC, removi o vírus em 15min.
    Se o virus estiver em mp3(4,5), é só você conectar no pc com o vírus e fazer o scan normalmente que remove.
    ola amigo
    olha no meu estava o classe B e C hehhee
    tbm removi com o F-Secure do meu pc.
    agora o script nao to conseguindo fazer roda na versão 2.9.xx so na 3.xx
    qual versão vc usa do mk ? vc esta rodando o script ou so usou no pc seu mesmo?



  19. #19

    Padrão

    Citação Postado originalmente por 14735 Ver Post
    ola estava vendo no site Mikrotik Expert
    tem um script para Bloquear o Virus Conficker.
    tentei coloca aki na versão 2.9.27 mais nao consegui faze rodar .
    alguem ja fez e esta funcionando se sim posta ai pra gente ver .
    vou colocar aki do jeito qu eu fiz se alguem souber o que esta de errado me ajuda por favor
    grato.

    so lembrando que foi retirado do site Mikrotik Expert
    caso o proprietario do script nao autoriaze a colocar entre em contato que a gente apaga ..

    script name: daily-conficker-list
    Código :
    :local date [/system clock get date]
    :local month [:pick $date 0 3]
    :local day [:pick $date 4 6]
    :local year [:pick $date 7 11]
     
    #set month to numerical value
    :if ([$month] = "jan") do={ :set month "01" }
    :if ([$month] = "feb") do={ :set month "02" }
    :if ([$month] = "mar") do={ :set month "03" }
    :if ([$month] = "apr") do={ :set month "04" }
    :if ([$month] = "may") do={ :set month "05" }
    :if ([$month] = "jun") do={ :set month "06" }
    :if ([$month] = "jul") do={ :set month "07" }
    :if ([$month] = "aug") do={ :set month "08" }
    :if ([$month] = "sep") do={ :set month "09" }
    :if ([$month] = "oct") do={ :set month "10" }
    :if ([$month] = "nov") do={ :set month "11" }
    :if ([$month] = "dec") do={ :set month "12" }
     
    #download current days domain list
    /tool fetch address=www.epicwinrar.com host=www.epicwinrar.com mode=http src-path="conficker/$month-$day-$year.txt"
    :log info "Download Complete"
    :delay 2
     
    #check to ensure todays file exists before deleting yesterdays list
    :log info "Begining Address List Modification"
    :if ( [/file get [/file find name="$month-$day-$year.txt"] size] > 0 ) do={
     
      /ip firewall address-list remove [/ip firewall address-list find list=daily-conficker]
     
      :local content [/file get [/file find name="$month-$day-$year.txt"] contents] ;
      :local contentLen [ :len $content ] ;
     
      :local lineEnd 0;
      :local line "";
      :local lastEnd 0;
     
      :do {
         :set lineEnd [:find $content "\n" $lastEnd ] ;
         :set line [:pick $content $lastEnd $lineEnd] ;
         :set lastEnd ( $lineEnd + 1 ) ;
     
    #resolve each new line and add to the address list daily-conficker. updated to list domain as comment
         :if ( [:pick $line 0 1] != "\n" ) do={
             :local entry [:pick $line 0 ($lineEnd ) ]
             :if ( [:len $entry ] > 0 ) do={
           :local listip [:resolve "$entry"]
               :if ($listip != "failure" ) do={
                 /ip firewall address-list add list=daily-conficker address=$listip comment=$entry
                 :log info "$listip"
               }
           }
         }
       } while ($lineEnd < $contentLen)
    }
    :log info "Address List Modification Complete"
    #cleaning up
    /file remove "$month-$day-$year.txt"
    /system scheduler

    Código :
    add comment=”" disabled=no interval=1d name=Conficker-daily on-event=”/system script run daily-conficker-list” start-date=jan/01/1970 start-time=00:00:01
    FONTE: Mikrotik Expert » Scripting » Bloqueando el Conficker Virus

    Uma pergunta bem

    Devo colocar esse script no server em baixo ou na rb em cima na torre???

  20. #20