+ Responder ao Tópico



  1. #1

    Padrão Virus perigoso na rede

    Então pessoal a três dias notei algo diferente em minha rede.

    Diversos usuários estavam fazendo um upload TOTAL para um site, começei a achar estranho e dropei os acessos a esse site.

    Depois de ter feito isso as velocidades com que o usuario infectado fazia as requisições para o tal site era extremamente absurdas, ao ponto de gerar um trafego de 2Mbps por usuário. Isso de requisições negadas.

    Façam um teste no de vcs e veja se existe alguma conexão destinada a esse ip 174.37.113.219. Depois achem ele no torch.

    A solução foi cortar o pppoe do cliente, e se for dhcp ou ip fixo, cortar o acesso do cliente na torre.
    Assim aviso o usuário sobre a minha atitude e peço para ele procurar um assitente técnico em informática para remover o virus.

    Q locura!

  2. #2

    Padrão

    tive este virus na rede também. foi dificil de descobrir. apara quem usa mikrotik aplica esta regra que dá certo.... (bloqueando o ip que nosso amigo falou)

    /ip firewall filter

    add action=drop chain=forward comment="BLOQUEIO DE VIRUS" disabled=no dst-address=174.37.113.219 dst-port=0-65535 protocol=tcp


    até mais...



  3. #3

    Padrão

    se fizer essa regra vai piorar, ele vai fazer tantas requisisões possiveis, o mikrotik vai ficar dropando, mas o trafego até o mikrotik vai continuar.

    um exemplo, dropei esse site, as requisisões para esse site mesmo que está sendo negado gera um trafego de quanto o micro do usuário conseguir processar. Veja a na regra do drop o traffic.

    tenho um cliente conectado via ethernet que os pedidos negados geravam 8Mbps.

  4. #4

    Padrão

    aqui na hora que bloquei o trafico ficou em menos de 2Kbits, porque so tinha um usuário na rede. mas vou continuar a monitorar....


    Citação Postado originalmente por mattana1875 Ver Post
    se fizer essa regra vai piorar, ele vai fazer tantas requisisões possiveis, o mikrotik vai ficar dropando, mas o trafego até o mikrotik vai continuar.

    um exemplo, dropei esse site, as requisisões para esse site mesmo que está sendo negado gera um trafego de quanto o micro do usuário conseguir processar. Veja a na regra do drop o traffic.

    tenho um cliente conectado via ethernet que os pedidos negados geravam 8Mbps.



  5. #5

    Padrão

    aki tb tive problemas com esse virus,ate agora so 1 cliente foi infectado.gerava um trafego de ate 3M mesmo o usuario nao estando logado no hotspot,ele nem conseguia se logar pq aki so uso planos de 150k.
    resolvi ir ate o cliente e formatar o pc!hehe ate agora resolvido por equanto...

  6. #6

    Padrão

    tivemos o problema aqui!

    a regra do firewall nao resolveu

    a solucao foi la e remover o virus



  7. #7

    Padrão

    Boa noite... Como vejo isso no mk? para saber se tem algum cliente nessa condição (com o virus) ou não...?

  8. #8

    Padrão

    Tb ja tive esse problema aqui e não encontrei outra solução senão ir no cliente e resolver o problema da maquina dele, não adianta bloqeuar, dropar pacotes, nada vai resolver, o pc infectado vai continuar disparando as requisições, como melhorar isso? Coloca um AP no cliente configurado para fazer NAT e controla a banda nele, aí a lentidão se dará apenas no cliente, ja que o controle será feito lá, e com certeza ele vira rapidinho pedir assistencia, pois muito provavelmente ele não vai conseguir navegar.



  9. #9

    Padrão

    Amigo, esse tipo de coisa já aconteceu comigo ! é uma variacao do virus confinker, a melhor maneira mesmo é baixar na internet a remocao do confinker e passar no cliente.
    Aqui no forum mesmo se procurarem pelo confinker, vao ver outras pessoas tentando arrumar um geito de barrar o desgracado, mais o bixo é ruim, saiu até uma matéria sobre ele na infor-exame e a microsoft da uma recompensa para quem der pistas sobre o pilantra que inventou, srsrsrs

  10. #10

    Padrão

    Para verificar se tem algum usuário:

    ip > firewall > connections
    habilita o filtro, coloca em Dst. Address : 174.37.113.219

    ou faz um torch.

    Bloquear a porta não é a melhor opção, controlar a velocidade a esse ip seria terrivel no queue teria milhoes de pacotes dropados. A Ideia mesmo é retirar o usuário da rede e avisa-lo.
    Última edição por mattana1875; 19-10-2009 às 15:41.



  11. #11

    Padrão

    Alguém mais descobriu alguma coisa sobre a praga ?