Conficker v síti, jde vyblokovat komunikace na Mikrotiku?
Hoj! Někde u zákazníka v naší síti je Conficker. cbl.abuseat.org hlásí, že se snaží kontaktovat nějaký svůj sinkhole server. Na Mikrotiku jsem dal logovat pokusy o připojení k tomu serveru, zjistil jsem i odkud to chodí, bohužel je to firma, která má svou vlastní síť za routerem a nevím, který z jejich PC je napadený, ani se tam k nim nedostanu. Než si to odvirujou, je nějaká možnost, jak vyblokovat na mikrotiku komunikaci Confickera a neodstřihnout přitom úplně celou jejich síť? Pokud bloknu konkrétní adresu sinkhole serveru, vzápětí se to kontaktuje na jinou. Z toho co jsem zjistil, tak těch adres je kolem 500 a to se mi do MT jaksi ručně dávat nechce.
Nevím, jestli ti to nějak pomůže, tady na to mají skriptík: http://wiki.mikrotik.com/wiki/Conficker-Virus-Bloc king
dík, zkusím to
Tak nechodí, ten server, ze kterého to stahuje ten list, je asi mrtvej, Mikrotik si vůbec nevytvoří ten adreslist
win7 by to mohly přežít, záleží na verzi confickeru. xp podle záplat, čili v horším případě všechny. stejně tak win embedded, jestli je vedou.
lan: napadá okolí na všech náhodných portech od 1000 výš.
zábavný vir. pc jsem odvirovával na dálku přes vnc, na ty pc to chtělo nakopírovat záplaty a odvirovací batku.
Asi tak - odvirovávat jim to na dálku nebudu, na to mají svýho ajťáka. Já jsem jen jejich ISP a tudíž je asi bloknu do té doby, než si ten bordel ze sítě odstraní. Houkh!
nám to výrobě běhá 2 roky. máme tam idiota, který si zasral počítače verzí xp 64bit - a není schopný tam dát funkční záplatu. it se stará o kancelářské pc, výrobní pc neřeší.
když jsem v té síti updatnul sp2 na sp3, stačil se ten pc nakazit :)
jediná dobrá zpráva na confickeru je, že každá verze má furt stejnou velikost, podle které jde detekovat.
odřízni je, ať makaj.
ZKus se mrknout na tohle:
DOC-6628
Jinak nejaky aktualizovany seznam serveru je zde:
http://www.dailychanges.com/conficker-sinkhole.com /