+ Responder ao Tópico



  1. #1

    Padrão Virus saindo pela rede. como descobrir?

    alquem sabe qual o metodo que virus como Netsky/MyDoom/Novarg/Bagle/Beagle/Sober/Yaha usam para atacar redes ou outros hosts?

    to com esse tipo de virus saindo pela minha rede, mas nao tenho acesso aos pcs clientes, entao teria que travar o trafego deles no firewall...
    alguma ideia?

    valeu
    8-)

  2. #2

    Padrão Re: Virus saindo pela rede. como descobrir?

    #tcpdump -i ethx -n

    Fique de olho em tráfego anormal nas portas 137:139 e 445. Estas são as principais entradas de vírus em S.O. Windows (netbios (ns, dgm e ssn) & microsoft-ds).

    mtec




  3. #3

    Padrão Re: Virus saindo pela rede. como descobrir?

    mas eu ja dropo essas portas e essas tb:
    31337, 12345, 36659, 10000, 17300, 23232, 32121, 12065, 28253.

    passando por elas nao pode ser. =/

  4. #4

    Padrão Re: Virus saindo pela rede. como descobrir?

    Use o tcpdump... independente de DROPAR ou não, vai acusar tentativas de conexões nestas portas!!!

    mtec :-)



  5. #5

    Padrão Re: Virus saindo pela rede. como descobrir?

    sim, mas o problema é que esse trafego esta saindo para a internet, eu sei que nao sai nessas portas pq sao dropadas...


  6. #6

    Padrão Re: Virus saindo pela rede. como descobrir?

    Tudo bem :x... deixa pra lá!! Monitore com tcpdump e dê uma olhada no trafego geral passante!!

    mtec



  7. #7

    Padrão Re: Virus saindo pela rede. como descobrir?

    cara, acho que isso nao adiantaria, pq sao 4mbps passando direto, com varias maquinas acessando, varias sub-redes, seria praticamente impossivel eu achar alguma coisa olhando o trafego geral, por isso queria saber como esses virus atuam pra diminuir a base da procura...

  8. #8

    Padrão Re: Virus saindo pela rede. como descobrir?

    Vc pelo menos suspeita de algum cliente?? Poruqe tmb monitora constantemente um link de 4Mbps de um provedor e geralmente quando surgia um problema do tipo, localizava atraves das portas que te falei!! Mesmo bloqueadas, o tcpdump informa em tempo real tentativas de conexão nestas. Além de que um cliente com este problema, reclamava mudanças em seu link com lentidão ou perda de pacotes.

    Boa Sorte!!

    mtec



  9. #9

    Padrão Re: Virus saindo pela rede. como descobrir?

    nao tenho suspeitas de nenhum cliente...
    sei que o tcpdump mostra o trafego nas portas mesmo que ele esteja sendo dropado, mas o problema é que se ele esta sendo dropado nao é esse tipo de trafego que esta gerando o problema =/

  10. #10

    Padrão Re: Virus saindo pela rede. como descobrir?

    Use PERL ou AWK para filtrar a saída do tcpdump.



  11. #11
    felco
    Visitante

    Padrão Re: Virus saindo pela rede. como descobrir?

    Cara, sao essa portas que saem esses virus, pricipalmente a 445, se vc tem certeza que e realmente um virus, entao seu firewall esta com buraco, mas com certeza a melhor coisa que voce faz eh usar o tcpdump, como os amigos disseram, e olhar oque esta acontecendo...
    Tente buscar as portas alvo de virus e escutar somente elas tipo...

    # tcpdump -i eth0 net 10.10.10.0/8 and port 445
    ou
    # tcpdump -i eth0 port 445
    ou
    # tcpdump -i eth0 host 192.168.0.10 and port 445 and not port 22

    enfim... alem disso, se vc pegar a dica do Stefano fica ainda melhor, voce pode filtrar varias portas de uma so vez... talvez voce tenha alguma regra que esta deixando passar trafego no FORWARD, tipo um RELATED,ESTABLISHED no lugar errado ou -j ACCEPT em uma rede ou uma regra errada... se voce tem um ponto de acesso para rede sem fio, te recomendo dropar qualquer trafego nas porta 137, 138, 139 e 445 em qualquer protocolo e entre qualquer maquina/rede


  12. #12

    Padrão Re: Virus saindo pela rede. como descobrir?

    as unicas regras no FORWARD sao essas:

    iptables -A FORWARD -p tcp --dport 135:139 -j DROP
    iptables -A FORWARD -p tcp --sport 135:139 -j DROP

    iptables -A FORWARD -p udp --dport 135:139 -j DROP
    iptables -A FORWARD -p udp --sport 135:139 -j DROP

    iptables -A FORWARD -p tcp -m multiport --dport 31337,12345,36659,10000,17300,23232,32121,12065,28253,445 -j DROP
    iptables -A FORWARD -p tcp -m multiport --sport 31337,12345,36659,10000,17300,23232,32121,12065,28253,445 -j DROP

    iptables -A FORWARD -p udp -m multiport --dport 31337,12345,36659,10000,17300,23232,32121,12065,28253,445 -j DROP
    iptables -A FORWARD -p udp -m multiport --sport 31337,12345,36659,10000,17300,23232,32121,12065,28253,445 -j DROP


    a politica padrao é ACCEPT
    nao sei qq ta acontecendo.
    minha maquina ta bloqueada na spamhaus.org na XBL (http://www.spamhaus.org/xbl/index.lasso), que trata de virus, open proxies e etc...

    acho que só pode ser virus mesmo =/



  13. #13
    Super_Diaulas
    Visitante

    Padrão Re: Virus saindo pela rede. como descobrir?

    então não usa o tcpdump e fica com o problema.........oras..........

    vou ganhar um ponto negativo no karma....huauhahua

  14. #14
    felco
    Visitante

    Padrão Re: Virus saindo pela rede. como descobrir?

    Acho q todo mundo aqui vai concordar comigo que voce deve usar a policy padrao no FORWARD em DROP nao ACCEPT.