Blokovanie confickera na sieti

V poslednej dobe sa mi zacali zase mnozit hlasky o blokovani mojich ip na cbl.abuseat.org a ako dovod uvadzaju conficker. Da sa nejako spolahliovo zdetekovat tento virus na sieti?
Cital som uz o nom pomerne dost a informacie sa dost lisia a odporucana ochrana, cize blokovanie forwardu UDP a TCP (135, 137...atd) sa mi zda prinitivne a nie velmi ucelove, kedze len zabranuje dalsiemu sireniu.
Ja skor potrebujem uz najst a blokovat nakazene pc.
Skusal som skript na MT, ale kedze je starsieho data nestiahol mi ziadny zoznam serverov, kde sa virus pokusa(l) napajat.
Edit: Ako som zistil stranka s db virusovych serverov je uz out a inu som nevygooglil;o(.

Předmět	Autor	Datum
nenašel jsem novější verzi než z roku 2009: http://cipherdyne.org/blog/2009/07/disrupting-conf icker… touchwood 28.04.2015 09:21	touchwood	28.04.2015 09:21
Ja som nasiel z roku 2009 aj ten script pre Mikrotik, ale cele vlakno sa konci hlaskou uzivatela, ze… fleg 28.04.2015 09:29	fleg	28.04.2015 09:29
tak u těchto nákaz by šlo asi v iptables nastavit, že se mají logovat pouze násobné pokusy o spojení… touchwood 28.04.2015 09:53	touchwood	28.04.2015 09:53
Mam sice jeden Dell uz asi 10 rokov pod stolom nevyuzity, ale zerie 80W a nechce sa mi ho zapinat;o)… fleg 28.04.2015 10:02	fleg	28.04.2015 10:02
https://www.snort.org/search?query=conficker&submi t_search= https://www.snort.org/search?query=conf… poslední kmochna 28.04.2015 10:07	kmochna	28.04.2015 10:07

nenašel jsem novější verzi než z roku 2009: http://cipherdyne.org/blog/2009/07/disrupting-conf icker-worm-traffic-with-iptables-and-fwsnort.html

Možná by bylo vhodné všechny pokusy o spojení ven na porty 135-139 a 445 forwardovat na nějaký centrální honeypot se snortem. Tím by se snad dalo vystopovat zdroj.

Ja som nasiel z roku 2009 aj ten script pre Mikrotik, ale cele vlakno sa konci hlaskou uzivatela, ze server so zoznamom zakaznych serverov je uz out, ci nevedia, kde si to stiahne...zostal bez odpovede.
Takze vyzera to, ze zatial funkcne riesenie pre MT nemam, nasadil som aspon blokovanie vymenovanych portov.
Skusim este spravit nejake pravidlo, co mi bude posielat vsetky IP adresy, ktore sa pokusia o tieto porty posielat do zoznamu, ale zase to bude take divne riesenie, kedze NETBIOSovske porty pouziva kopec inych aplikacii...bojim sa, aby som ich tam nemal vsetky zachvilku.

tak u těchto nákaz by šlo asi v iptables nastavit, že se mají logovat pouze násobné pokusy o spojení za nějaký časový úsek.. Případně jak jsem u psal, někde postavit centrální snortík do kterého to budeš všechno posílat.

Mam sice jeden Dell uz asi 10 rokov pod stolom nevyuzity, ale zerie 80W a nechce sa mi ho zapinat;o). Tie blbe MT so svojou minimalistickou spotrebou ma uz celkom oblbli.
Spravil som pravidlo na 20 spojeni s maximom 5 spojeni/s a uvidime koho mi chyti. Dufam, ze MT cita pravidla ako linux zdola hore (hned nad nimi su dropy vsetkych portov).

https://www.snort.org/search?query=conficker&submi t_search=
https://www.snort.org/search?query=conficker+dtb&s ubmit_search=

zkus pokouknout na snort.org, ale to asi stejně znáš. //edit: vyhledávání je, no slovo tristní snad ne, hloupoučký. no kdys jsem to používal.

Zpět do poradny Odpovědět na původní otázku Nahoru