Página 8 de 9 PrimeiroPrimeiro ... 3456789 ÚltimoÚltimo
+ Responder ao Tópico



  1. #43

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    clovis, a segunda regra deve ser antes da primeira..., se ele fizer o DROP .. ele nao chega na outra regra..

  2. #44

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Verdade Alexandre, Vlw

    só alterem a ordem, aki eu usei a ordem certa,
    ms não atentei na hora de postar

    abraços



  3. #45

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Alguém aí tem outro link pra baixar o firmware 5.3.3ajcorra? Ou entao puder me mandar via email...

    Valeu!

  4. #46

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Vendo aqui depois de longo tempo nunca havia me preocupado com esse worm, resolvi colocar a regra no firewall do mikrotik pra criar uma lista de ips que tentem acessar o ip alvo do skynet! Encontrei uns poucos dispositivos com o worm, os ubiquit blz,fiz o procedimento e ficou ok! Mas me deparei com outro fabricante que usa aparentemente o airos 5.0 mais precisamente o dispositivo aquario de referencia PS-5817 uma cpezinha horrivel diga-se de passagem, mas que tenho na rede algumas delas e os ips dos clientes que usam ela apareceram na lista criada! O cruel que ela não deixa entrar por ssh! Dai não ter como fazer o procedimento de remoção do worm como também não tem firmware de atualização e o pior de tudo foi descontinuado! É o descaso dessas empresas que criam cpes pra atender o mercado nacional! Tomei uma decisão de não ariscar mais, tentei com esse aquário (ave maria) com os elsys (ave maria 3 vezes), não tento mais fiquei com os ubiquiti!



  5. #47

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    como eu faço bloqueiar o acesso IN-OUT do login e senha, eu nao sei como fazer, preciso da sua ajuda.

  6. #48

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Bom Galera, como alguns equipamentos nunca estao on-line quando estou ou por vezes eles mudam de Ip ao desligarem e religarem o equipamento, então resolvi ajustar este script para que me mostre no log o nome do usuario junto com IP e MAC para se o equipamento mudar o ip o pego pelo MAc

    /ip firewall filter
    add action=add-src-to-address-list address-list=virus_ubnt \
    address-list-timeout=1w3d chain=forward comment=\
    "LISTAR INFECTADOS SKYNET" disabled=no dst-address=178.216.144.75
    add action=drop chain=forward comment="BLOQUEIO INFECTADOS SKYNET" disabled=\
    no dst-address=178.216.144.75 src-address-list=virus_ubnt
    /system script
    add name=Captura_MAC policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
    source=":global ipusuario;\r\
    \n:global nomeusuario;\r\
    \n:global ip;\r\
    \n:if ([:len [/ip firewall address-list find list=virus_ubnt]]>0) do={\r\
    \n:log error \"---------- ANTENAS COM VIRUS SKYNET -------------\";\r\
    \n:foreach i in [/ip firewall address-list find list=virus_ubnt] do={:set \
    ipusuario [/ip firewall address-list get \$i address];\r\
    \n:foreach j in=[/ip hotspot active find address=\$ipusuario] do={:set ip \
    [/ip hotspot active get \$j mac];\r\
    \n:foreach k in=[/ip hotspot active find address=\$ipusuario] do={:set nom\
    eusuario [/ip hotspot active get \$k user];\r\
    \n:log error \$nomeusuario;\r\
    \n:log error \$ipusuario;\r\
    \n:log error \$ip;\r\
    \n:log error \"-----------------------------------------------------------\
    ---------------------\";\r\
    \n}};}\r\
    \n/tool e-mail send [email protected] server=XXX.XXX.XXX.XXX to=\
    emaildestino@skynetsemfio.com.br subject=\"IP's Antenas detectadas com Virus\" body=\"\$ip\
    \_\$ipusuario\"}\r\
    \n"
    /system scheduler
    add disabled=no interval=1m name=captura_mac on-event=Captura_MAC policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive \
    start-date=jul/01/2013 start-time=00:00:00