| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| WIRUSY w sieci http://forum.freesco.pl/viewtopic.php?f=27&t=7285 |
Strona 1 z 1 |
| Autor: | hx [ sobota, 2 kwietnia 2005, 21:24 ] |
| Tytuł: | WIRUSY w sieci |
Widziałem kilka postów w których powodem problemów z pingami netem itd mogą być wirusy w sieci .Jak sprawdzić jaki Ip sieje viry ?? |
|
| Autor: | prg080 [ niedziela, 3 kwietnia 2005, 06:54 ] |
| Tytuł: | |
Jak masz logowanie "martians" to w syslogu bedzie ip siejacego kompa. U mnie regularnie zarazaja sie xpeki jakims sassero podobnym syfkiem. |
|
| Autor: | hx [ niedziela, 3 kwietnia 2005, 07:47 ] |
| Tytuł: | |
logowanie "martians" ?? |
|
| Autor: | prg080 [ niedziela, 3 kwietnia 2005, 18:16 ] |
| Tytuł: | |
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians Bedziesz mial w syslogu np: Apr 3 13:29:40 Router kernel: martian destination 0.116.207.103 from 10.10.10.21, dev eth1 10.10.10.21 zarazony, idziesz z bejsbolem do wlasciciela 
Zalecane tez blokowanie forward'u dla portow 135 137 138 139 445. |
|
| Autor: | Koriolan [ wtorek, 5 kwietnia 2005, 12:56 ] |
| Tytuł: | |
A jak masz firewall Zciecha to tam jest przykład sasara lub blastera jak robić a na forum w temacie blokowanie portów jest CO robić... |
|
| Autor: | hx [ wtorek, 19 kwietnia 2005, 15:12 ] |
| Tytuł: | |
coś mi to nie działa, bo w syslogu nic sie nie dzieje |
|
| Autor: | Koriolan [ środa, 20 kwietnia 2005, 12:42 ] |
| Tytuł: | |
A który masz firewall i co ustawiłeś w pliku /etc/rc.d/rc.firewall ?? |
|
| Autor: | hx [ środa, 20 kwietnia 2005, 21:45 ] |
| Tytuł: | |
zciecha |
|
| Autor: | Koriolan [ czwartek, 21 kwietnia 2005, 10:59 ] |
| Tytuł: | |
To przeczytaj mój post kilka odp. wyżej. ---EDIT---- Jak sie chcesz czegos nauczyć; jak nie to Ci podeślę bardziej gotowe rozwiązanie.
|
|
| Autor: | hx [ czwartek, 21 kwietnia 2005, 22:17 ] |
| Tytuł: | |
Nie wiem czy dobrze się rozumiemy chodzi mi o log_martians (jego uruchomienie)żeby w syslogu zobaczyć zainfekowane kompy, bo nie pokazuje żadnego a wiem że są zainfekowane |
|
| Autor: | Koriolan [ piątek, 22 kwietnia 2005, 11:32 ] |
| Tytuł: | |
Jeśli masz firewall Zciecha to wpisane w nim jest coś takiego : ---/etc/rc.d/rc.firewall-------------------- ... # Blaster wraz z logowaniem $i -A INPUT -p tcp --dst 0/0 --dport 135 -j LOG -m limit --limit 2/hour --log-prefix "INPUT Blaster: " $i -A INPUT -p tcp --dst 0/0 --dport 135 -j DROP $i -A FORWARD -p tcp --dst 0/0 --dport 135 -j LOG -m limit --limit 2/hour --log-prefix "FORWARD Blaster: " $i -A FORWARD -p tcp --dst 0/0 --dport 135 -j DROP # ... ----------------------------------------------------- Po czyms takim w logach pojawiają się mniej wiecej takie linijki : ---/var/log/syslog------------------- ... <data> nnd INPUT Blaster...SRC=192.168.0.10.... ..... ---------------------------------------------- Czyli jak komputer sieje po porcie 135 to w logach jest o tym info. Wystarczy teraz skopiować ten fragment i zmienic porty by zmienić wirusy. np. # Saser wraz z logowaniem $i -A INPUT -p tcp --dst 0/0 --dport 445 -j LOG -m limit --limit 2/hour --log-prefix "INPUT Saser: " $i -A INPUT -p tcp --dst 0/0 --dport 445 -j DROP $i -A FORWARD -p tcp --dst 0/0 --dport 445 -j LOG -m limit --limit 2/hour --log-prefix "FORWARD Saser: " $i -A FORWARD -p tcp --dst 0/0 --dport 445 -j DROP # Blokady inne $i -A INPUT -p tcp --dst 0/0 --dport 135 -j LOG -m limit --limit 2/hour --log-prefix "INPUT PortBlok1: " $i -A INPUT -p tcp --dst 0/0 --dport 135 -j DROP $i -A FORWARD -p tcp --dst 0/0 --dport 135 -j LOG -m limit --limit 2/hour --log-prefix "FORWARD PortBlok1: " $i -A FORWARD -p tcp --dst 0/0 --dport 135 -j DROP $i -A INPUT -p tcp --dst 0/0 --dport 136 -j LOG -m limit --limit 2/hour --log-prefix "INPUT PortBlok1: " $i -A INPUT -p tcp --dst 0/0 --dport 136 -j DROP $i -A FORWARD -p tcp --dst 0/0 --dport 136 -j LOG -m limit --limit 2/hour --log-prefix "FORWARD PortBlok1: " $i -A FORWARD -p tcp --dst 0/0 --dport 136 -j DROP # Trojan Wootbot $i -A INPUT -p tcp --dst 0/0 --dport 6667 -j LOG -m limit --limit 2/hour --log-prefix "INPUT Wootbot: " $i -A INPUT -p tcp --dst 0/0 --dport 6667 -j DROP $i -A FORWARD -p tcp --dst 0/0 --dport 6667 -j LOG -m limit --limit 2/hour --log-prefix "FORWARD Wootbot: " $i -A FORWARD -p tcp --dst 0/0 --dport 6667 -j DROP # eMule wraz z logowaniem $i -A INPUT -p tcp --dst 0/0 --dport 4662 -j LOG -m limit --limit 2/hour --log-prefix "INPUT eMule: " $i -A INPUT -p tcp --dst 0/0 --dport 4662 -j DROP $i -A FORWARD -p tcp --dst 0/0 --dport 4662 -j LOG -m limit --limit 2/hour --log-prefix "FORWARD eMule: " $i -A FORWARD -p tcp --dst 0/0 --dport 4662 -j DROP $i -A INPUT -p tcp --dst 0/0 --dport 4665 -j LOG -m limit --limit 2/hour --log-prefix "INPUT eMule: " $i -A INPUT -p tcp --dst 0/0 --dport 4665 -j DROP $i -A FORWARD -p tcp --dst 0/0 --dport 4665 -j LOG -m limit --limit 2/hour --log-prefix "FORWARD eMule: " $i -A FORWARD -p tcp --dst 0/0 --dport 4665 -j DROP $i -A INPUT -p tcp --dst 0/0 --dport 4672 -j LOG -m limit --limit 2/hour --log-prefix "INPUT eMule: " $i -A INPUT -p tcp --dst 0/0 --dport 4672 -j DROP $i -A FORWARD -p tcp --dst 0/0 --dport 4672 -j LOG -m limit --limit 2/hour --log-prefix "FORWARD eMule: " $i -A FORWARD -p tcp --dst 0/0 --dport 4672 -j DROP I po tym będą różne uwagi w logach. Kapujesz ?[/code] |
|
| Autor: | hx [ piątek, 22 kwietnia 2005, 12:36 ] |
| Tytuł: | |
kapuje dZięki 
w logach miałem tylko np: Apr 22 10:55:39 serwer kernel: INPUT Blaster: IN=eth0 OUT= MAC=00:e0:4c:b2:04:60:00:0b:23:2f:7c:3a:08:00 SRC=83.16.104.242 DST=83.16.***.*** LEN=48 TOS=0x00 |
|
| Autor: | Koriolan [ piątek, 22 kwietnia 2005, 15:53 ] |
| Tytuł: | |
To też Blaster ale zewnetrzny
Poszukaj w postach ogólnych coś o blokowaniu portów tam Albercik wypisał z 15 portów wartych blokowania; a jak je sobie będziesz rejestrował to będziesz wiedział kto co ma .... |
|
| Autor: | hx [ sobota, 23 kwietnia 2005, 16:49 ] |
| Tytuł: | |
No i pięknie lecą logi więc kolejny zestaw pytań : 1.)FORWARD Wootbot: IN=eth1 OUT=eth0 SRC=192.168.0.20 DST=195.112.128.222 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=44612 DF PROTO=TCP SPT=2658 DPT=6667 WINDOW=8192 RES=0x00 SYN URGP=0 rozumiem że gość ma trojana ?? 2.)dopisałem inne porty do logowania i mam : kernel: FORWARD wir1: IN=eth0 OUT=eth1 SRC=213.218.116.131 DST=192.168.0.31 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=3082 DF PROTO=TCP SPT=80 DPT=1136 WINDOW=17520 RES=0x00 ACK SYN URGP=0 i serwer kernel: FORWARD wir2: IN=eth1 OUT=eth0 SRC=192.168.0.15 DST=80.59.41.150 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=23525 DF PROTO=TCP SPT=4669 DPT=1214 WINDOW=65535 RES=0x00 ACK URGP=0 jaka jest różnica gdy ip mojego usera jest przy SRC a DST ? i czy to wszystko są viry bo tyle tego leci że ..... 
|
|
| Autor: | Koriolan [ poniedziałek, 25 kwietnia 2005, 11:06 ] |
| Tytuł: | |
To zawsze są POTENCJALNE wirusy. Ja daję znać userowi, że CHYBA ma wirusa niech sobie sprawdzi. W 90% przypadków był to wirus zwłaszcza na porcie Sasera i Blastera, reszta to jakieś nieporozumienia. |
|
| Autor: | hx [ poniedziałek, 25 kwietnia 2005, 11:24 ] |
| Tytuł: | |
ok a DST SRC ?? |
|
| Autor: | Koriolan [ wtorek, 26 kwietnia 2005, 17:57 ] |
| Tytuł: | |
Chłopie nie za bardzo się rozleniwiłeś ?? Myślenie NIE BOLI
SRC - source DST - destination lub jakoś tak.... |
|
| Autor: | hx [ środa, 27 kwietnia 2005, 06:06 ] |
| Tytuł: | |
wiem co znaczy z angielskiego chciałem tylko wiedzieć czy dst oznacza że Ip jest atakowane (jak wynika z nazwy ) czy też coś sieje |
|
| Autor: | Koriolan [ środa, 27 kwietnia 2005, 10:41 ] |
| Tytuł: | |
Jeszce raz : Myślenie nie boli !!! Jeśli coś leci do mnie to ja tego NIE sieję. Sorry ale zamykam temat. |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|