Conficker v síti, jde vyblokovat komunikace na Mikrotiku?
Hoj! Někde u zákazníka v naší síti je Conficker. cbl.abuseat.org hlásí, že se snaží kontaktovat nějaký svůj sinkhole server. Na Mikrotiku jsem dal logovat pokusy o připojení k tomu serveru, zjistil jsem i odkud to chodí, bohužel je to firma, která má svou vlastní síť za routerem a nevím, který z jejich PC je napadený, ani se tam k nim nedostanu. Než si to odvirujou, je nějaká možnost, jak vyblokovat na mikrotiku komunikaci Confickera a neodstřihnout přitom úplně celou jejich síť? Pokud bloknu konkrétní adresu sinkhole serveru, vzápětí se to kontaktuje na jinou. Z toho co jsem zjistil, tak těch adres je kolem 500 a to se mi do MT jaksi ručně dávat nechce.
win7 by to mohly přežít, záleží na verzi confickeru. xp podle záplat, čili v horším případě všechny. stejně tak win embedded, jestli je vedou.
lan: napadá okolí na všech náhodných portech od 1000 výš.
zábavný vir. pc jsem odvirovával na dálku přes vnc, na ty pc to chtělo nakopírovat záplaty a odvirovací batku.
Asi tak - odvirovávat jim to na dálku nebudu, na to mají svýho ajťáka. Já jsem jen jejich ISP a tudíž je asi bloknu do té doby, než si ten bordel ze sítě odstraní. Houkh!
nám to výrobě běhá 2 roky. máme tam idiota, který si zasral počítače verzí xp 64bit - a není schopný tam dát funkční záplatu. it se stará o kancelářské pc, výrobní pc neřeší.
když jsem v té síti updatnul sp2 na sp3, stačil se ten pc nakazit :)
jediná dobrá zpráva na confickeru je, že každá verze má furt stejnou velikost, podle které jde detekovat.
odřízni je, ať makaj.
ZKus se mrknout na tohle:
DOC-6628
Jinak nejaky aktualizovany seznam serveru je zde:
http://www.dailychanges.com/conficker-sinkhole.com /