The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обнаружение червя Conficker через пассивный анализ трафика
С конца 2008 года червь Conficker, поражающий Windows-клиентов, заразил
несколько миллионов машин в сети,
занимая первые позиции в рейтингах антивирусных компаний.

Для обнаружения активности червя на компьютерах локальной сети можно
рекомендовать несколько простых приемов:

1. Сниффинг сигнатуры червя через утилиту ngrep (http://ngrep.sourceforge.net/):


  ngrep -qd eth0 -W single -s 900 -X
   0xe8ffffffffc25f8d4f108031c4416681394d5375f538aec69da04f85ea4f84c84f84d84fc44f9ccc497365c4c4c42cedc4
   c4c494263c4f38923bd3574702c32cdcc4c4c4f71696964f08a203c5bcea953bb3c096969592963bf33b24699592514f8ff8
   4f88cfbcc70ff73249d077c795e44fd6c717cbc404cb7b040504c3f6c68644fec4b131ff01b0c282ffb5dcb61f4f95e0c717
   cb73d0b64f85d8c7074fc054c7079a9d07a4664eb2e244680cb1b6a8a9abaac45de7991dacb0b0b4feebeb
    'tcp port 445 and dst net 192.168.0.0/16'

конструкцию нужно переписать одной строкой


2. Сканирование компьютеров с использованием готовой маски из комплекта
последней версии nmap ( nmap-4.85BETA6):

   nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 192.168.1.0/24

или оптимизировав запрос для сканирования сети большого объема:

   nmap -sC -PN -d -p445 -n -T4 --min-hostgroup 256 \
   --min-parallelism 64 --script=smb-check-vulns \
   --script-args=safe=1 192.168.0.0/16

3. Проверить зараженность отдельной машины можно через специально подготовленный Python скрипт.

   wget http://iv.cs.uni-bonn.de/uploads/media/scs.zip
   unzip scs.zip
   ./scs.py 192.168.1.100
 
03.04.2009 , Источник: http://www.linux-tip.net/cms/conten...
Ключи: nmap, tcpdump, pcap, sniffer, virus, security / Лицензия: CC-BY
Раздел:    Корень / Безопасность / Шифрование, PGP

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Руслан (?), 02:03, 04/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо! Очень пригодилось :)
    Дополню.
    Последние RPM-сборки nmap и его исходный код доступны на http://nmap.org/download.html
    Для пользователей debian возможно быстро обновить имеющийся (старый!) на этот, сконвертировав rpm в deb:
    # apt-get install alien gdebi
    # wget http://nmap.org/dist/nmap-4.85BETA7-1.i386.rpm
    # alien nmap-4.85BETA7-1.i386.rpm
    # gdebi nmap_4.85BETA7-2_i386.deb

    P.S. данный путь правилен тем, что не засорит систему невесть откуда взявшимися файлами из rpm, не сломает пакетный менеджер, если чего-то в системе не хватает и не заставит нервничать админа.

     
  • 1.2, iZEN (ok), 08:22, 04/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В FreeBSD:
    порт security/nmap (пакет nmap 4.76);
    страницы руководства: security/nmap-i18n-man (пакет nmap-i18n-man 4.76.20081109).
     
  • 1.3, metallic (?), 11:51, 04/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В active directory включаете аудит событий (отказ)на события авторизации и ловите засранца, он пытается пароли к учеткам перебирать и глядите с каких компов идет куча неудачных попыток авторизации, я таким способом у себя в сети всех вытравил.
     
     
  • 2.6, Аноним (-), 21:14, 04/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, замечено, что active directory несколько глючит. Особенно, когда контроллер домена сам становится зараженным. :-)
     
     
  • 3.7, metallic (?), 22:50, 04/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Кстати, замечено, что active directory несколько глючит. Особенно, когда контроллер домена сам
    >становится зараженным. :-)

    Ну у него начинают падать службы клиент и сервер, он пингуется, но перестает выполнять свои функйии, я чуть не посиде, когда у меня разом оба ДЦ начали глючить, я тогда еще не знал почему, а бекапов свежих не оказалось, из-за ошибки в скрипте, который бекапы делать должен был :) Вылечилось установкой заплаток

     
  • 3.18, User294 (??), 23:39, 06/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Кстати, замечено, что active directory несколько глючит.
    >Особенно, когда контроллер домена сам становится зараженным. :-)

    Мне кажется что микрософт бы вас с удовольствием расстрелял за такую антирекламу и такой администреж :)

     

  • 1.4, chemtech (?), 15:10, 04/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Засранца не засранца, а некторных людей заставил перевести некоторые свои windows машины на Linux/BSD
     
     
  • 2.22, OneROFL (?), 11:36, 08/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А смысл? Заплатку поставил и все
     

  • 1.5, Аноним (-), 16:54, 04/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    спасибо, актуально... задолбался этого червя ловить ко всем радостям ещё и AD просто падал
    ненавижу продукты мелкософт... но приходится с ними работать из-за недальновидности начальства ;(
     
  • 1.8, SwitNJ (??), 00:02, 05/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    эта паскуда заставила и меня понервничать в течение двух дней.. конфикер или нет, но называлось как штамм с припиской .MM в конце.. пришлось помучиться даже чтобы его антивирусник обнаружил! два дня его антивирусник самый свежий отказывался даже находить! потом таки нашел но лечить не стал.. пришлось руками подчищать а потом ставить заплатку. И в это время контроллер домена просто напросто после разового выполения любой команды из консоли стопорился - не отвечал по сети на запросы, не показывал запущенные процессы, нельзя даже было выключить компьютер! при этом все сетевые ресурсы с него были доступны. Вот такая вот беда.. а заметил я что тачка заражена таким нехитрым образом: скриптик который выдавал время и дату в определенный файлик вдруг застопорился на первом числе 22:40.. и все.. попробовал посмотреть дату - стопарь!
    Такие чудеса... ну благо что вылечил.
     
     
  • 2.19, Юниксоид (??), 11:22, 07/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    ну и зачем такое щастье да ещё и за деньги ?
     

  • 1.13, Аноним (-), 21:03, 05/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    мы его тоже словили, зараза пришла через флешку. лечили 80 компов пару дней, веселуха была та еще. но DC остались нетронуты.
    ну а еслиб не было венды и вирусов жить было бы скучно :)
     
  • 1.14, daevy (?), 06:15, 06/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    $ ./scs.py 192.168.100.16
    [ERROR] Impacket package not found

    от рута тоже самое

     
     
  • 2.15, Хомо Имбицилло (?), 10:28, 06/04/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >whereis py-impacket

    py-impacket: /usr/ports/net/py-impacket

     

  • 1.16, Хомо Имбицилло (?), 10:30, 06/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    whereis py-impacket
    py-impacket: /usr/ports/net/py-impacket
     
  • 1.17, Аноним (17), 12:29, 06/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://inguma.wiki.sourceforge.net/Installation+Guide
     
  • 1.20, Alchemist (ok), 22:52, 07/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сотню виндовых тачек этот вирь у меня помучал, в течении недели где-то, но контроллер был линуксовый Samba+LDAP т.ч. каких-то серьезных проблем не наблюдалось...=)
     
  • 1.21, Anonym (?), 00:09, 08/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ipfw add deny log tcp from ${localnet} to any 445 via ${int_int}
    ipfw add deny log tcp from any to ${localnet} 445 via ${ext_int}
    tail -f /var/log/security | grep 445

    у нас ихначально у всех 445 порт закрыт и все на нем погашено. так.. на всякий случай :)

     
  • 1.23, zloi (?), 12:23, 15/04/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Conficker: NT_STATUS_OBJECT_NAME_NOT_FOUND - не совсем понятно что это за ошибка?
     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру