форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"Раздел полезных советов: Обнаружение червя Conficker через п..."

Сообщение от auto_tips on 04-Апр-09, 02:03

С конца 2008 года червь Conficker, поражающий Windows-клиентов, заразил несколько миллионов машин в сети, занимая первые позиции в рейтингах антивирусных компаний. Для обнаружения активности червя на компьютерах локальной сети можно рекомендовать несколько простых приемов: 1. Сниффинг сигнатуры червя через утилиту ngrep (http://ngrep.sourceforge.net/):   ngrep -qd eth0 -W single -s 900 -X    0xe8ffffffffc25f8d4f108031c4416681394d5375f538aec69da04f85ea4f84c84f84d84fc44f9ccc497365c4c4c42cedc4    c4c494263c4f38923bd3574702c32cdcc4c4c4f71696964f08a203c5bcea953bb3c096969592963bf33b24699592514f8ff8    4f88cfbcc70ff73249d077c795e44fd6c717cbc404cb7b040504c3f6c68644fec4b131ff01b0c282ffb5dcb61f4f95e0c717    cb73d0b64f85d8c7074fc054c7079a9d07a4664eb2e244680cb1b6a8a9abaac45de7991dacb0b0b4feebeb     'tcp port 445 and dst net 192.168.0.0/16' конструкцию нужно переписать одной строкой 2. Сканирование компьютеров с использованием готовой маски из комплекта последней версии nmap ( nmap-4.85BETA6):    nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 192.168.1.0/24 или оптимизировав запрос для сканирования сети большого объема:    nmap -sC -PN -d -p445 -n -T4 --min-hostgroup 256 \    --min-parallelism 64 --script=smb-check-vulns \    --script-args=safe=1 192.168.0.0/16 3. Проверить зараженность отдельной машины можно через специально подготовленный Python скрипт.    wget http://iv.cs.uni-bonn.de/uploads/media/scs.zip    unzip scs.zip    ./scs.py 192.168.1.100 URL: http://www.linux-tip.net/cms/content/view/372/1/ Обсуждается: http://www.opennet.me/tips/info/2025.shtml

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Обнаружение червя Conficker через пассивный анализ трафика"

Сообщение от Руслан on 04-Апр-09, 02:03

Спасибо! Очень пригодилось :) Дополню. Последние RPM-сборки nmap и его исходный код доступны на http://nmap.org/download.html Для пользователей debian возможно быстро обновить имеющийся (старый!) на этот, сконвертировав rpm в deb: # apt-get install alien gdebi # wget http://nmap.org/dist/nmap-4.85BETA7-1.i386.rpm # alien nmap-4.85BETA7-1.i386.rpm # gdebi nmap_4.85BETA7-2_i386.deb P.S. данный путь правилен тем, что не засорит систему невесть откуда взявшимися файлами из rpm, не сломает пакетный менеджер, если чего-то в системе не хватает и не заставит нервничать админа.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Обнаружение червя Conficker через пассивный анализ трафика"

Сообщение от iZEN (ok) on 04-Апр-09, 08:22

В FreeBSD: порт security/nmap (пакет nmap 4.76); страницы руководства: security/nmap-i18n-man (пакет nmap-i18n-man 4.76.20081109).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Обнаружение червя Conficker через пассивный анализ трафика"

Сообщение от metallic on 04-Апр-09, 11:51

В active directory включаете аудит событий (отказ)на события авторизации и ловите засранца, он пытается пароли к учеткам перебирать и глядите с каких компов идет куча неудачных попыток авторизации, я таким способом у себя в сети всех вытравил.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Обнаружение червя Conficker через  активный анализ трафика"
	Сообщение от Аноним (??) on 04-Апр-09, 21:14
	Кстати, замечено, что active directory несколько глючит. Особенно, когда контроллер домена сам становится зараженным. :-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Обнаружение червя Conficker через  активный анализ трафика"
	Сообщение от metallic on 04-Апр-09, 22:50
	>Кстати, замечено, что active directory несколько глючит. Особенно, когда контроллер домена сам >становится зараженным. :-) Ну у него начинают падать службы клиент и сервер, он пингуется, но перестает выполнять свои функйии, я чуть не посиде, когда у меня разом оба ДЦ начали глючить, я тогда еще не знал почему, а бекапов свежих не оказалось, из-за ошибки в скрипте, который бекапы делать должен был :) Вылечилось установкой заплаток
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Обнаружение червя Conficker через  активный анализ трафика"
	Сообщение от User294 (??) on 06-Апр-09, 23:39
	>Кстати, замечено, что active directory несколько глючит. >Особенно, когда контроллер домена сам становится зараженным. :-) Мне кажется что микрософт бы вас с удовольствием расстрелял за такую антирекламу и такой администреж :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Обнаружение червя Conficker через пассивный анализ трафика"

Сообщение от chemtech on 04-Апр-09, 15:10

Засранца не засранца, а некторных людей заставил перевести некоторые свои windows машины на Linux/BSD

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "Обнаружение червя Conficker через пассивный анализ трафика"
	Сообщение от OneROFL on 08-Апр-09, 11:36
	А смысл? Заплатку поставил и все
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Обнаружение червя Conficker через пассивный анализ трафика"

Сообщение от Аноним (??) on 04-Апр-09, 16:54

спасибо, актуально... задолбался этого червя ловить ко всем радостям ещё и AD просто падал ненавижу продукты мелкософт... но приходится с ними работать из-за недальновидности начальства ;(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Обнаружение червя Conficker через пассивный анализ трафика"

Сообщение от SwitNJ (??) on 05-Апр-09, 00:02

эта паскуда заставила и меня понервничать в течение двух дней.. конфикер или нет, но называлось как штамм с припиской .MM в конце.. пришлось помучиться даже чтобы его антивирусник обнаружил! два дня его антивирусник самый свежий отказывался даже находить! потом таки нашел но лечить не стал.. пришлось руками подчищать а потом ставить заплатку. И в это время контроллер домена просто напросто после разового выполения любой команды из консоли стопорился - не отвечал по сети на запросы, не показывал запущенные процессы, нельзя даже было выключить компьютер! при этом все сетевые ресурсы с него были доступны. Вот такая вот беда.. а заметил я что тачка заражена таким нехитрым образом: скриптик который выдавал время и дату в определенный файлик вдруг застопорился на первом числе 22:40.. и все.. попробовал посмотреть дату - стопарь! Такие чудеса... ну благо что вылечил.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Обнаружение червя Conficker через пассивный анализ трафика"
	Сообщение от Юниксоид (??) on 07-Апр-09, 11:22
	ну и зачем такое щастье да ещё и за деньги ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Обнаружение червя Conficker через пассивный анализ трафика"

Сообщение от Аноним (??) on 05-Апр-09, 21:03

мы его тоже словили, зараза пришла через флешку. лечили 80 компов пару дней, веселуха была та еще. но DC остались нетронуты. ну а еслиб не было венды и вирусов жить было бы скучно :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Обнаружение червя Conficker через пассивный анализ трафика"

Сообщение от daevy on 06-Апр-09, 06:15

$ ./scs.py 192.168.100.16 [ERROR] Impacket package not found от рута тоже самое

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Обнаружение червя Conficker через пассивный анализ трафика"
	Сообщение от Хомо Имбицилло on 06-Апр-09, 10:28
	>whereis py-impacket py-impacket: /usr/ports/net/py-impacket
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "от рута руки прочь"

Сообщение от Хомо Имбицилло on 06-Апр-09, 10:30

whereis py-impacket py-impacket: /usr/ports/net/py-impacket

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Обнаружение червя Conficker через пассивный анализ трафика"

Сообщение от Аноним (??) on 06-Апр-09, 12:29

http://inguma.wiki.sourceforge.net/Installation+Guide

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Обнаружение червя Conficker через пассивный анализ трафика"

Сообщение от Alchemist (ok) on 07-Апр-09, 22:52

Сотню виндовых тачек этот вирь у меня помучал, в течении недели где-то, но контроллер был линуксовый Samba+LDAP т.ч. каких-то серьезных проблем не наблюдалось...=)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Обнаружение червя Conficker через пассивный анализ трафика"

Сообщение от Anonym on 08-Апр-09, 00:09

ipfw add deny log tcp from ${localnet} to any 445 via ${int_int} ipfw add deny log tcp from any to ${localnet} 445 via ${ext_int} tail -f /var/log/security | grep 445 у нас ихначально у всех 445 порт закрыт и все на нем погашено. так.. на всякий случай :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Обнаружение червя Conficker через пассивный анализ трафика"

Сообщение от zloi on 15-Апр-09, 12:23

Conficker: NT_STATUS_OBJECT_NAME_NOT_FOUND - не совсем понятно что это за ошибка?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]