Virus saindo pela rede. como descobrir?

**Patrick** · 08-05-2006, 15:44

alquem sabe qual o metodo que virus como Netsky/MyDoom/Novarg/Bagle/Beagle/Sober/Yaha usam para atacar redes ou outros hosts?

to com esse tipo de virus saindo pela minha rede, mas nao tenho acesso aos pcs clientes, entao teria que travar o trafego deles no firewall...
alguma ideia?

valeu
8-)

**mtec** · 08-05-2006, 16:26

#tcpdump -i ethx -n

Fique de olho em tráfego anormal nas portas 137:139 e 445. Estas são as principais entradas de vírus em S.O. Windows (netbios (ns, dgm e ssn) & microsoft-ds).

mtec

**Patrick** · 08-05-2006, 16:33

mas eu ja dropo essas portas e essas tb:
31337, 12345, 36659, 10000, 17300, 23232, 32121, 12065, 28253.

passando por elas nao pode ser. =/

**mtec** · 08-05-2006, 16:36

Use o tcpdump... independente de DROPAR ou não, vai acusar tentativas de conexões nestas portas!!!

mtec :-)

**Patrick** · 08-05-2006, 16:51

sim, mas o problema é que esse trafego esta saindo para a internet, eu sei que nao sai nessas portas pq sao dropadas...

**mtec** · 08-05-2006, 17:07

Tudo bem :x... deixa pra lá!! Monitore com tcpdump e dê uma olhada no trafego geral passante!!

mtec

**Patrick** · 08-05-2006, 18:18

cara, acho que isso nao adiantaria, pq sao 4mbps passando direto, com varias maquinas acessando, varias sub-redes, seria praticamente impossivel eu achar alguma coisa olhando o trafego geral, por isso queria saber como esses virus atuam pra diminuir a base da procura...

**mtec** · 09-05-2006, 08:14

Vc pelo menos suspeita de algum cliente?? Poruqe tmb monitora constantemente um link de 4Mbps de um provedor e geralmente quando surgia um problema do tipo, localizava atraves das portas que te falei!! Mesmo bloqueadas, o tcpdump informa em tempo real tentativas de conexão nestas. Além de que um cliente com este problema, reclamava mudanças em seu link com lentidão ou perda de pacotes.

Boa Sorte!!

mtec

**Patrick** · 09-05-2006, 09:22

nao tenho suspeitas de nenhum cliente...
sei que o tcpdump mostra o trafego nas portas mesmo que ele esteja sendo dropado, mas o problema é que se ele esta sendo dropado nao é esse tipo de trafego que esta gerando o problema =/

**xstefanox** · 09-05-2006, 12:53

Use PERL ou AWK para filtrar a saída do tcpdump.

felco · 09-05-2006, 15:37

Cara, sao essa portas que saem esses virus, pricipalmente a 445, se vc tem certeza que e realmente um virus, entao seu firewall esta com buraco, mas com certeza a melhor coisa que voce faz eh usar o tcpdump, como os amigos disseram, e olhar oque esta acontecendo...
Tente buscar as portas alvo de virus e escutar somente elas tipo...

# tcpdump -i eth0 net 10.10.10.0/8 and port 445
ou
# tcpdump -i eth0 port 445
ou
# tcpdump -i eth0 host 192.168.0.10 and port 445 and not port 22

enfim... alem disso, se vc pegar a dica do Stefano fica ainda melhor, voce pode filtrar varias portas de uma so vez... talvez voce tenha alguma regra que esta deixando passar trafego no FORWARD, tipo um RELATED,ESTABLISHED no lugar errado ou -j ACCEPT em uma rede ou uma regra errada... se voce tem um ponto de acesso para rede sem fio, te recomendo dropar qualquer trafego nas porta 137, 138, 139 e 445 em qualquer protocolo e entre qualquer maquina/rede

**Patrick** · 09-05-2006, 18:14

as unicas regras no FORWARD sao essas:

iptables -A FORWARD -p tcp --dport 135:139 -j DROP
iptables -A FORWARD -p tcp --sport 135:139 -j DROP

iptables -A FORWARD -p udp --dport 135:139 -j DROP
iptables -A FORWARD -p udp --sport 135:139 -j DROP

iptables -A FORWARD -p tcp -m multiport --dport 31337,12345,36659,10000,17300,23232,32121,12065,28253,445 -j DROP
iptables -A FORWARD -p tcp -m multiport --sport 31337,12345,36659,10000,17300,23232,32121,12065,28253,445 -j DROP

iptables -A FORWARD -p udp -m multiport --dport 31337,12345,36659,10000,17300,23232,32121,12065,28253,445 -j DROP
iptables -A FORWARD -p udp -m multiport --sport 31337,12345,36659,10000,17300,23232,32121,12065,28253,445 -j DROP

a politica padrao é ACCEPT
nao sei qq ta acontecendo.
minha maquina ta bloqueada na spamhaus.org na XBL (http://www.spamhaus.org/xbl/index.lasso), que trata de virus, open proxies e etc...

acho que só pode ser virus mesmo =/

Super_Diaulas · 26-05-2006, 08:40

então não usa o tcpdump e fica com o problema.........oras..........

vou ganhar um ponto negativo no karma....huauhahua

felco · 07-07-2006, 10:32

Acho q todo mundo aqui vai concordar comigo que voce deve usar a policy padrao no FORWARD em DROP nao ACCEPT.

Virus saindo pela rede. como descobrir?

Ferramentas de Tópicos

Virus saindo pela rede. como descobrir?

Re: Virus saindo pela rede. como descobrir?

Re: Virus saindo pela rede. como descobrir?

Re: Virus saindo pela rede. como descobrir?

Re: Virus saindo pela rede. como descobrir?

Re: Virus saindo pela rede. como descobrir?

Re: Virus saindo pela rede. como descobrir?

Re: Virus saindo pela rede. como descobrir?

Re: Virus saindo pela rede. como descobrir?

Re: Virus saindo pela rede. como descobrir?

Re: Virus saindo pela rede. como descobrir?

Re: Virus saindo pela rede. como descobrir?

Re: Virus saindo pela rede. como descobrir?

Re: Virus saindo pela rede. como descobrir?