Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: David Strejc 23. 06. 2010, 10:04:18

Název: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 23. 06. 2010, 10:04:18
Potreboval bych poradit (fyozoficky i nastrojove) - jak resite IDS na gateway?
Existuje nejaka cesta, jak detekovat infikovane Windowsy uvnitr site?
Googlil jsem hodne dlouho propojeni snortu s clamav (a zda se mi divne, ze tyhle dva produkty moc nespolupracuji, i kdyz majitel je jedna firma) - nebo neco podobne - potrebuju aspon vzdalene tusit, jestli ti mi spolupracovnici tady maji zavirovane windows (na konkretni viry jsou nmapy {ale jen na nektere}).

Docela by me zajimalo, jestli je to nejak resitelne (nemusi to byt uplne realtime).

Diky za odpoved.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: ubuntak 23. 06. 2010, 11:40:36
Hm tak se mi zda ze v tomto smeru se bez komercniho reseni nepujde obejit. Bud to nejaky antivirus pracujici /client/server linux/windows a nebo nejake reseni treba od foritnetu.  Jinak by se dalo udelat scripty spoustenen z cronu, ktere by v danem intervalu dumply sit a pak z toho delali log. Ten by se mohl treba davat na web. Ale jak sam pises nejsou vsechny viry zmapovane a nikdy zrejme nebudou.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: _r3450n_ 23. 06. 2010, 12:03:41
Vim ze Nod32 dokazal tohle detekovat. To bylo ale pred 9ti lety. Bylo zapotrebi ho nainstalovat na vsechny pocitace v siti a konfigurovat uzivatelske stanice, aby posilali reporty na tvuj adminovskej comp kde je instalovan nod32 pro adminy.
To jsem pak sedel jako admin v internetove kavarne a vedel hned o tom, kdyz treba nekdo dal do cd-romy zavirovane cd, nebo ztahnul zavirovany soubor.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 23. 06. 2010, 15:52:23
Super diky. Ja to hledam docela dlouho - sedi tu 20 lidi, kteri maji windows a ... "obcas" se jim chovaji podezrele.
Jejich antiviry hlasi nesmyslne veci, nekdo tu tvrdi, ze antivir nepotrebuje, protoze na "nebezpecny obsah" nechodi, ze mu staci windows defence a tak dale.
Nechci to tu mit jako v HVB Bank nebo tak, ale jen monitorovat podezrely traffic.
Takze pravdepodobne udelam to, ze budu z packet filteru tahat traffic jednotlivych IP adres a kdyz to prekroci "rozumnou" mez, tak je budu sledovat vic.
Nevim.
Mel jsem tu snort, ale ten mi prisel podivny - ma sice sety pravidel, ale abych pravdu rekl vypadal dost slozite a "podezrely" traffic mi detekoval dost casto.
Diky.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: Fantomas 23. 06. 2010, 16:03:22
Kazdy av s centralni spravou umi generovat reporty, nekdy se to hodi. Pokud to nemas, pak sleduj trafic na gatewayi nebo zakaz vsechny porty a povol jen ty nutne k chodu firmy. I kdyz valna vetsina dat se stejne vali pres 80. Tem co tvrdi ze zadny av nepotrebuji (a jedou pres windows), v zadnem pripade never. To jsou chytraci, kteri maji plno kecu a zaroven jim z kompu odchazi tisice spamu pres smtp, aniž by to tušili, grrrrrrr!!!
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 23. 06. 2010, 16:13:44
Neverim nikomu ;o))
Trochu verim tem BSD strojum (tam rekl bych viry nebudou - podle muninu je sleduju uz delsi dobu a nerekl bych, ze se chovaji nestandardne).
Jak jsem rikal - muzu jim to tu pozakazovat, ale za chvili budou behat, at pustim radio, at pustim ICQ, at pustim WoW, at pustim kdo vi co.
To jsem nejak moc nechtel.
Traffic in mam zakazany komplet.
Traffic out je naopak cely povoleny, protoze tu hrajou ruzne hry, poslouchaji radia a tak dale.
Muzu je "omezit", ale je to asi jako kdyz jsem pustil mod_security2 ... Jak to ze mi nejde nahravat soubor pres skvely php webovy nahravadlo? Jak to, ze ...
Musel bych pravidla neustale orezavat a orezavat a nakonec by to stejne dopadlo tak, ze bych mel deravou ohnivou zed.
Pokud skutecne neexistuje nic, co umi analyzovat traffic a podle nejakych updatovanych patternu hledat mozne ohrozeni, tak nic jineho nez obycejny monitoring IP adres nezbyva.
Dik.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: faha 23. 06. 2010, 21:45:44
Mrknete na tohle
http://en.wikipedia.org/wiki/Honeypot_(computing)

Dole je seznam projektu

Projects
The Honeynet Project
Mwcollect Project
Nepenthes Project
Honeywall Project
PenTBox Project (includes a Honeypot)
Developments of the Honeyd Virtual Honeypot
Open source client honeypot
Open source low interaction client honeypot
Canadian Honeynet Project | Canadian Honeypot Security Research
Incident Analysis of OpenBSD Honeypot
European Network of Affined Honeypots
Mexican Honeynet Project
Honeypots Information (Shadowserver Foundation)
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: JardaP . 24. 06. 2010, 19:46:44
Jen tak mimochodem Wireshark umi vygenerovat statistiky provozu podle zdrojove a cilove ip. Zjistite pak treba, ze stroj XY odeslal za nekolik hodin nepochopitelnych 10GB na ip patrici nejakemu serveru veteranu polske armady a dalsi 4GB nekam do Ruska, coz je podezrele, protoze proc by tam kdo lezl dobrovolne a proc tolik dat? Cili na obcasne nahodne loveni podezrelych aktivit se to da celkem jednoduse pouzit. Mel by tam snad jit i naimportovat vystup z tcpdump, ktery si zase celkem snadno nainstalujete vsude, i kdyz tam neni WM a prez treba ssh a screen si to spustite kdy chcete.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 25. 06. 2010, 09:54:21
Ja to mel porad pred nosem a nez mi to nekdo neukazal, tak jsem to nevidel ;o)
Jednoduse je spravne.
Proste a jednoduse tcpdump a pak nejaky analyzator.
Super.
S temahle znalostma uz budu schopen nejak nasmrdlat "protekcni system" pro sit windowsaku ;o)

Diky.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: bull 25. 06. 2010, 09:55:17
my máme v síti viroměr:
cituji:
"Jak viroměr funguje?
Viroměr má dvě sledovací části:
1. V síti existují virtuální počítače (návnady) a viroměr sleduje, kdo se návnadu pokusí kontaktovat a zavirovat. No a pokud jste na tomto seznamu, tak to znamená, že Váš počítač jeví o návnady zájem. Za běžné situace počítač o návnadách vůbec neví - ke kontaktu dojde až ve chvíli, když zavirovaný počátač náhodně útočí na prostor kolem sebe a trefí adresní rozsah návnad.
2. [cenzurováno] sledují kolik pošty se přes ně snažíte odeslat, respektive kolik poštovních serverů kontatujete. Běžně Vás počítač kontaktuje pouze jeden poštovní server (případně několik málo, používáte-li více poštovních účtů). Viry obvykle odesílají velké množství mailů (spamu). Kontaktují přitom přímo mailservery adresátů, aby obešli kontrolu na mailserveru sítě, a podle toho se jejich přítomnost dá snadno poznat.

Pokud viroměr zaznamená neobvyklou aktivitu počítače, pošle ... atd."

snad jsem nevyzradil nic tajného  ;)
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: JardaP . 25. 06. 2010, 13:55:44
my máme v síti viroměr:


A kde ten Viromer roste?
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: faha 25. 06. 2010, 16:51:07
viromer maji v pilsfree, asi to nebude free kdyztak se ptejte na muki-ho, muki.cz
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: Franta Kučera 26. 06. 2010, 11:52:01
Co se týče zakazování odchozího provozu – je celkem na nic. Porty 80/443 stejně nezakážeš a většina malwaru se bude dorozumívat právě přes ně – protože vědí, že ostatní porty se často zakazují. Pamatuji si i případ trojského koně, který byl řízen přes zprávy na Twitteru - z pohledu správce sítě to vypadá, že si uživatel jen čte Twitter a přitom má zavšivený počítač.

Jedinou výjimkou je zákaz portu 25 (SMTP). Je to sice ošklivé, ale jeho zákaz dokážu pochopit. Hodně lidí ho nepotřebuje (lamy používají webmaily) a těm, kdo ho potřebují, ho na požádání povolíš (ale těch bude málo, protože často se používá SMTPS).

A s tím tcpdumpem taky opatrně – pozor na telekomunikační tajemství.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: JardaP . 26. 06. 2010, 17:23:13
A s tím tcpdumpem taky opatrně – pozor na telekomunikační tajemství.

Zneni zakona neznam, ale kdyz budu sledovat objemy a koncove body provozu, tak se snad jeste nejedna o telekomunikacni tajemstvi. To snad az tehdy, kdyz zacnu cist cizi liebesbrify a podobne. Pokud to tak neni, tak se dnes snad uz site nedaji spravovat a zabezpecovat, protoze kazdy monitoring by byl proti zakonu. Pokud zakon zni v tomto smyslu, tak ho snad protlacilo loby spameru a tvurcu viru a trojskych koni.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: Franta Kučera 27. 06. 2010, 09:45:16
Odkud, kam a kolik se sledovat dá. Ale zachytávání přenášených dat a jejich ukládání na disk je dost na hraně nebo spíš za hranou – a rozhodně by se mi to jako uživateli nelíbilo. Jak chceš dokázat, že ten soubor někam neunikl, nebo že si v tom Wiresharku nekoukal dovnitř přenášených dat? IMHO tohle není nezbytně nutné pro provoz sítě a bral bych to jako šmírování, ne jako oprávněnou snahu správce sítě.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: JardaP . 27. 06. 2010, 10:12:36
IMHO tohle není nezbytně nutné pro provoz sítě a bral bych to jako šmírování, ne jako oprávněnou snahu správce sítě.

Jak jinak chcete zjistit, ze nejaky pocitac vam v siti kazdou hodinu nakomunikuje X gigabajtu kazdou hodinu nekam do Ciny nebo do jineho mista, kam komunikovat nema? Budete instalovat X-Server na gateway, abyste si mohl Wireshark pustit rovnou tam a ta data potom neulozit?

Nebo proste nechate viry na vasi siti radit po libosti, az vas ISP ustrihne za zasilani spamu a budete na vsech moznych blacklistech? Antivirus vas casto nevytrhne. Videl jsem na usenetu viry, vzdycky jsem si je stahnul a zkusil, co na ne antivirus. Byly pripady, kdy to trvalo nekolik mesicu, nez zacaly byt detekovany. V takovych pripadech vam pomuze jen Wireshark, nasledne odpojeni pocitace a asi reinstalace a nakopani uzivatele do zakonceni zaziaciho traktu.

Monitorovani provozu site neni potreba? Proc se tedy nekdo s temi monitorovacimi nastroji pise? Site neni treba monitorovat v idealnim svete, kde neni malware a vsechno funguje, jak ma. To by ale ani nebylo treba spravcu siti, protoze by v praci nemeli do ceho pichnout a mohli by tak akorat strykovat fusekle, aby se nenudili.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: Mirek Prýmek 28. 06. 2010, 08:20:03
Obávám se, že tady je potřeba začít od "manažerských keců" a oblíbených bonmotů :)

Bonmot 1: bezpečnost není otázka technologie, ale procesů

Kdo má právo definovat, co uživatele můžou a co ne? Kdo má právo definovat povinnou konfiguraci stanic?

Pokud nikdo ("Já na svém PC antivir nechci, protože na nebezpečné stránky nelezu"), tak bych od takové sítě raději dal ruce pryč, protože taková síť se prostě bezpečně spravovat nedá a až dojde k incidentu (jakože k němu v takovém prostředí dřív nebo později dojde), tak si všechno vyžere admin - nejen v podobě toho, že je za vola, ale i v podobě zbytečně vynaložené práce...

Člověk by se měl vyvarovat situací, kdy je činěn zodpovědným za něco, o čem nerozhoduje...

Možná víc než přemýšlet o honeypotu by pomohlo dát si kafe s člověkem, který má v daném prostředí autoritu (ředitel, majitel, manažer, místní demiurg :) a vysvětlit mu, že bez explicitní bezpečnostní politiky to nepůjde. Pokud se mu dají správné argumenty ("Za takovou síť neumím převzít odpovědnost. Až přijdete o ta data, na kterých se pracovalo poslední půlrok, nechoďte za mnou, já jsem vás varoval") a není úplně vymaštěnej, tak to pochopí a podpoří. Až je politika na světě, můžeš se už tvářit jenom jako její realizátor, což Ti značně usnadní pozici ("sorry, Franto, z vyšších míst bylo rozhodnuto, že antivir bude na každém počítači. Pokud máš námitky, mám Ti domluvit schůzku s panem ředitelem?")

Bonmot 2: standardní bezpečenostní postup je "allow, deny" - tj. co není povoleno, to je zakázáno

Sice Ti přidá práci definovat povolovací pravidla (Franta chce rádio, Pepa ICQ), ale budeš přesně vědět, co je povolená komunikace, a tu nepovolenou bude daleko snadnější detekovat. (tím netvrdím, že nepovolená nemůže používat povolený kanál...)

Míra aplikace tohodle pravidla záleží samozřejmě na tom, o jakou síť jde. ISP by třeba komunikaci ve svém zájmu moc omezovat neměl :)
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 28. 06. 2010, 09:05:00
Bezpecnost jak tu nekdo napsal je o pomeru pohodli / zabezpeceni.
Pravidla jako - nenastavujte firewall dokud pocitac neni zamceny v trezoru a klice od nej ma jen reditel a tak dale, to je samozrejme pravda.

Jako ISP mame UPC. Tam jde vsechno, ale 2x nas urizli za rozesilani spamu. Protoze se virus proste dostane pres antiviry a "nevybydli" ho uz nikdy nikdo - reinstall jedine. Nic jineho neni.

Cili monitoring mi prijde jako docela rozumne a nenasilne reseni. Staci monitoring trafficu.
Hledal jsem, jestli neexistuje pro Munin nejaky plugin, ktery by pres pfctl umel rovnou monitorovat jednotlive IP, abych to nemusel rucne nastavovat (cim min rucni prace, tim je prace presnejsi a bezproblemovejsi ne?).

Pokud mate nejaka how-to nebo jakekoli dalsi informace, budu moc rad, kdyz poslete nejake linky.

Myslim, ze by to mohlo par adminum pomoct a omezovani Windows je prece dokonala zabava ne?

Jen se netesim, az mi tu zacnou behat, ze jim nejde hrat WoW a tak dale. Jsme mala firma s 25 - 30 Wydlous a mladi kluci chteji hrat online. Taky poslouchat radio a ICQ a tak dale.

Jinak s tim zakazanym trafficem na SMTP - mam to tak a je to jako pojistka, protoze se pak nehodlam zase dohadovat s UPC, ze uz nemame vira ;o)

S http a https bych tady mohl nasadit squida, ale jsme webari, takze jakakoli proxy je jen o jeden uzel vetsi zabava s debugovanim cehokoli (protoze weby vyvijime venku - je to tak pohodlnejsi).

Jinak super diskuze ;o)
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: Fantomas 28. 06. 2010, 09:55:05
Mirek Prymek, slusnej nazor, slusnej oddil. Jinak behani zamestnancu pro povoleni portu muzes omezit tim, ze si vyvesis na dvere cedulku, ze v kazde aplikaci pro sitovou komunikaci maji pouzit port 80, z 90% to urcite zabere :-) Mozna nejake hry budou potrebovat svuj specialni port, ale kdo ma cas v praci hrat hry (vyjma samotnych autoru her)? SMTP je bohuzel jeste stale problem, ale staci na nem zkazat relay a na gateway/firewall povolit jenom konkretni mail servery, ty nejvetsi problemy s rozesilanim se tim vyresi. Pokud ale potrebujes vseho schopny monitoring a kontrolu, pak muzes zakoupit nejake komercni reseni (Barracuda apod.), zalezi jak moc se s tim chces pachtit.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: JardaP . 28. 06. 2010, 11:51:26
"Za takovou síť neumím převzít odpovědnost. Až přijdete o ta data, na kterých se pracovalo poslední půlrok, nechoďte za mnou, já jsem vás varoval"

Tohle se radsi sdeluje minimalne e-mailem, ktery si pak vytisknete i shlavickami, tez pak pripadne odpovedi. Pokud bezpecnostni politiku zamitnou, tak az to praskne, stejne to treba radsi hodi na vas.

Ovsem, pokud mate povinny antivirus i na kavovaru, stejne jeste nejste za vodou. Sam jsem se presvedcil na vlastni oci, ze nektere breberky jsou antiviry detekovany se zpozdenim i nekolik tydnu az mesicu, coz je na dve veci. Zkuste si obcas neco poslat na http://www.virustotal.com/ a uvidite. Je tam nejakych 40 antiviraku a obcas nektere veci jsou detekovany treba jenom peti z nich, pricemz to nejsou vzdy ty same. A vsechny antiviraky nasadit nemuzete. Cili monitorovani neni zbytecne.

Citace
Sice Ti přidá práci definovat povolovací pravidla (Franta chce rádio, Pepa ICQ), ale budeš přesně vědět, co je povolená komunikace, a tu nepovolenou bude daleko snadnější detekovat. (tím netvrdím, že nepovolená nemůže používat povolený kanál...)

Nevim, jestli si firmy rochni v placeni pripojky na radio pro Frantu, ale Pepu s ICQ bych poslal do zakonceni zazivaciho traktu, pokud mi neprinese bumazku podepsanou nejakym dostatecne velkym zviretem. A jak sam pisete, malware muze s klidem komunikovat po povolenem kanalu. Kdyz pojede treba po portu 80, dozvite se o tom nejspis jenom tak, ze vam bude divne, proc vam uzivatel nejakeho pocitace nadela gigabajty provozu na server v Brazilii. Cili zase monitoring.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: Mirek Prýmek 28. 06. 2010, 11:57:56
Cili monitoring mi prijde jako docela rozumne a nenasilne reseni. Staci monitoring trafficu.
Hledal jsem, jestli neexistuje pro Munin nejaky plugin, ktery by pres pfctl umel rovnou monitorovat jednotlive IP, abych to nemusel rucne nastavovat (cim min rucni prace, tim je prace presnejsi a bezproblemovejsi ne?).

Je otázka, co se vlastně má monitoringem dosáhnout (a už jsme zase u té politiky :)

Pokud se má omezit riziko rozesílání spamu, můžou být jiná řešení daleko účinnější - např. mít vlastní SMTP server a politiku, která říká, že veškerá pošta chodí přes něj. Někdo bude možná brblat, že chce používat v práci i doma ten samý SMTP server, ale to je právě otázka toho, jestli existuje autorita, která řekne, že dostat se na blacklist je tak velká zhouba, že převýší i to, že Lojza bude muset přepínat SMTP server když přijde do práce...

Pokud autorita rozhodne, že takhle ne a že se bude dělat monitoring, tak pak bude (imho!)  potřeba řešit spoustu problémů, namátkou:
1. jak monitorovat všechna spojení (nebude to zpomalovat připojení?)
2. kam logy ukládat (nebude jich moc? budou se archivovat?)
3. čím logy analyzovat (jak se pozná "už nějak podezřele moc spojení"?)
4. jak reagovat, když "už je spojení nějak moc"? (odstřihnout konkrétní stroj od netu? Ručně nebo automaticky? Kdo to bude dělat?)
5. kdo, jak a jak často bude dělat testy, že všechno skutečně funguje jak má, abysme věděli, že se na blacklist skutečně nedostaneme?
atd. atd.

Nicméně bych se zaměřil hlavně na to, že se bere jako (vysoce?) pravděpodobný stav, že někdo z uživatelů má na stroji bota... To mi nepřijde jako úplně dobrá výchozí pozice pro vymýšlení bezpečnostní strategie :)

Myslim, ze by to mohlo par adminum pomoct a omezovani Windows je prece dokonala zabava ne?

Pro mě není žádný kontakt s Windows zábava, natož dokonalá ;)

Jen se netesim, az mi tu zacnou behat, ze jim nejde hrat WoW a tak dale. Jsme mala firma s 25 - 30 Wydlous a mladi kluci chteji hrat online. Taky poslouchat radio a ICQ a tak dale.

No jasně, bude to trochu bolet, ale zas na druhou stranu se to nebude zas až tak strašně měnit - jakmile se to odladí, není potřeba to řešit...

Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: Mirek Prýmek 28. 06. 2010, 12:06:13
Kdyz pojede treba po portu 80, dozvite se o tom nejspis jenom tak, ze vam bude divne, proc vam uzivatel nejakeho pocitace nadela gigabajty provozu na server v Brazilii. Cili zase monitoring.

Co znamená "pojede na portu 80"?

Pokud chce posílat spam (což je tady zdá se mi hlavní téma), tak se musí připojit na XYZ:25, což se dá zakázat poměrně snadno.

Pokud by mělo jít o to, zakázat řízení bota, tak to je víceméně neproveditelné, protože je-li povolena nějaká komunikace uživateli (např. čtení webu), malware velmi lehce použije stejný kanál. Jenže čtení webu zas může probíhat přes proxy a to už je "aplikační firewall", takže jsme na jiné úrovni detekce než s pouhým monitoringem IP adres a portů spojení...

Nicméně i tak komunikaci s botem může člověk v dané situaci třeba klidně hodit za hlavu a zaměřit se spíš na to, aby se 1) bot do počítače vůbec nedostal 2) aby byl na počítači včas detekován (whitlist běžících procesů apod.) 3) aby stejně nic moc nemohl i když se tam dostane
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 28. 06. 2010, 13:55:17
Jak rikam - a rikali to tu i jini - je to o politice.

A protoze si tu muzu na siti delat co chci ;o)) - hlavni slovo o tom mam nastesti ja - tak je tu trosku priskrtim.

Uvidime.

Uz jsem tu mel docela striktni politiku co se tyce komunikace ven.

Vsechno mi chodi pres muj SMTP server (a to jeste musim monitorovat ten, protoze taky odesila dalsi veci nez jen maily z kancelare a obcas "crack" nejkeho webu zpusobil masivni spamovani ...).

Proste a jednoduse to tu jen nasadim (mozna i se squidem) - monitorovat traffic zkusim pres pfctl a jako vysledek chci proste a jednoduse mit vetsi kontrolu nad trafficem.

Kontrolvanych botu se asi obavam nejvic - pres 80tku bez squida a i s nim to muze prochazet.

Jak jsem rikal - nejsme banka. Jsme webari - parkrat uz nas museli ustrihnout kvuli odesilani spamu z windows (2x) a parkrat mi "crackli" joomlu a ted i smarty (stilhli poslat 300k zprav - docela jim to slo od ruky - z localhostu to nemam na webserverech omezene).

Cili jsem se opet poucil - musim to udelat lepe. Omezit a omezit a omezit. A az si nekdo bude stezovat, tak mu to radsi povolim, nez aby se takovehle situace opakovaly.

S tema wydlema jsem to samozrejme myslel tak, ze bych je nejradsi zapichnul vsechny do hnoje a tam je nechal vonet. Od tech dob, co pouzivam BSD mi wydle fakt nevoni. A to uz je 6 let.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: _r3450n_ 28. 06. 2010, 14:38:53
Co ti proboha udelal ten hnuj, ze ho chces takhle mucit?  ;D
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 28. 06. 2010, 14:48:33
No obcas to na vesnici pachne skoro stejne jako registry windows.
Takze chapu, ze se pak wydlema prehazuje hnuj.

Ale je pravda, ze hnuj je uzitecny - rostou po nem kyticky. Po windows tak maximalne vstavaji vlasy hruzou.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: JardaP . 28. 06. 2010, 16:54:20
Kdyz pojede treba po portu 80, dozvite se o tom nejspis jenom tak, ze vam bude divne, proc vam uzivatel nejakeho pocitace nadela gigabajty provozu na server v Brazilii. Cili zase monitoring.

Co znamená "pojede na portu 80"?

Pokud chce posílat spam (což je tady zdá se mi hlavní téma), tak se musí připojit na XYZ:25, což se dá zakázat poměrně snadno.

Pokud by mělo jít o to, zakázat řízení bota, .....

Tak asi SMTP provoz ne, ale malware muze delat kdeco. Ostatne zakazat provoz na SMTP ven je to nejjednodussii, co se da udelat.

Jiz jsem rikal, ze jsem videl takle na jedne domaci siti, jak pocitac s Widlemi nakomunikoval tusim 8GB za par hodin na nejaky server veteranu polske armady. Majitel tvrdil, ze o tom serveu v zivote neslysel. Co to bylo za provoz, to nevim. Ukazal jsem majiteli, ze zaplacene Gigabajty od ISP mu nekrade soused pres WiFi, ale nejaky previt v jeho stroji. On to pak nejak vypucoval a bylo. Treba mu ten previt vynasel data nebo na tom mel sdileni detske pornografie. V obou pripadech je lepsi na to prijit co nejdrive. A nikdo nerika, ze musite monitorovat furt a vsechno. Muzete se obcas, namatkove, podivat na situaci.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 28. 06. 2010, 17:49:13
Ja si to proste predstavuju jako grafy Muninu (nebo Cacti).

Kdy kazda IP ma vlastni graf a na tom jsou rozdelene trafficy podle portu. A jedou tam normalni ploty (grafy).

Kdyz se na to jednou za tri dny podivam a uvidim, ze tam narostl traffic na portu a jede porad a nikdy tam nebyl a nema tam co delat - tak tusim a cucham, ze tam je nejaky zaskodnik.

Tak si predstavuju, ze to tady naimplementuju.

Nepocitam s tim, ze bych chytal viry "on-the-virus-fly" ;o)

Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: ubuntak 28. 06. 2010, 20:26:56
pokud grafy tak doporucuju cacti jak pises. Zavest do iptable MANGLE pravidla pro pocitani prenesenych bytu z kazde IP. A to na povolene porty. Treba port 25 na spam(i kdyz zastavam nazor ze ti co sou u me na lokalni siti odesilaji prez muj smtp a tudiz mam odesilani zablokovane jen na muj smtp server a tim se eliminuje 99.9% spam robotu, dale na posfixu omezit pocet odeslane posty za sekundu) dale 445 a 135 na MS shit a pak jedno pravidlo na porty 1024-65535 v tomto rozsahu nema nic co delat pripadne port 80 atd.. Pak z techto dat generovat bud sam grafy pomoci rrdtool a nebo to naprat do cacti. Ale na toto se da napsat v phpku na par radek script.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 29. 06. 2010, 08:17:32
:o)))

Bohuzel iptables nevedu ;o)) Vedu pf (packet filter). Iptables mi moc nevyhovujou, maji fakt brutalni konfiguracni syntaxi ;o)

Cacti jsem nepouzival - pouzivam Munin, ktery mi vyhovuje a fungoval out of the box. A nepotrebuje MySQL a tak dale ;o)

Mmmmm cucham velkou praci - ale ... kdyz se zadari, tak napisu nejake how to - bohuzel to bude na FBSD, protoze linux nepouzivam. Ale principy budou stejne. Pokusim se tady z toho threadu udelat co nejlepsi implementaci odvsiveni site jednou pro vzdy ;o)))

Windows dokoran 4 ever ;o)
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: JardaP . 29. 06. 2010, 08:58:55
Mimochodem, spoustu peknych grafu umi udelat i ntop. Ma vlastni web server, kam se lze pripojit na dalku z browseru a brouzdat se grafy. Akorat, ze ntop byl povazovan za bezpecnostni cunarnu. Duvody presne neznam, cili by bylo nutno trochu zagooglovat. Co treba neni moc dobre je to, ze k prihlaseni na ntop se posila heslo a uzivatel nezabezpecene pres http (i kdyz s tim mozna uz neco udelali). Takze, pokud to neni dost koser, muselo by se to trochu protunelovat. Vyhoda ntopu je, ze je dost jednoduche ho rozbehnout. Nejvetsi problem bylo najit nejakou hashovaci funkci, ktera vygeneruje hash, ktery se do konfiguraku musel napchat rucne.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: anonymous 29. 06. 2010, 10:03:59
kolego, mrknete na OSSIM - AlienVault

AlienVault Open Source SIM (OSSIM) is a complete Security Management solution that detects and profiles attacks,
and provides a comprehensive, intelligent Security Management platform and toolset.

http://www.alienvault.com/opensourcesim.php?section=Screenshots

ja si s tim v praci hral, ciste jenom z profesniho zajmu a musim rict,ze je to opravdu vynikajici reseni [naklady jsou pouze za HW na kterem to provozujete].



Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 29. 06. 2010, 10:41:04
Vypada to na nejake upravene distro linuxu se snortem a Ntope a tak dale.
Ou kej - zkoumam a prozkoumavam.
Diky za upozorneni.
Jen nevim, jak se to bude chovat v kombinaci s BSDckama, ktere tu mam.

Taky prozkoumam poradne ten Ntop - nejak se mi do nej driv nechtelo, ani nevim proc.

Diky ;o)
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: JardaP . 29. 06. 2010, 11:08:14
Taky prozkoumam poradne ten Ntop - nejak se mi do nej driv nechtelo, ani nevim proc.

Nejak jsem zapomnel napsat, ze ntop umi nejen grafy, ale i tabulky. Jestli se dobre pamatuji, dela veci jako tabulky a grafy podle portu, podle ip, podle portu pro dane ip.... A v tabulkach zobrazuje vlajecky podle toho, v ktere zemi se nachazi koncovy bod, coz je ze vseho nejdulezitejsi. :-)
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 29. 06. 2010, 11:13:06
4JardaP:

THX a LOT!!!!

Abych se priznal - ono mi to pri buildu kdysi zfejlovalo ;o) tak jsem si rekl - na co nejaky ntop (myslel jsem, ze to bude ciste konzolova zalezitos) potrebuje Xka? (nebo nejaky baliky z Xek) ...
Tak jsem se na to kalasicky ... vyignoroval.

A ted diky tobe zjistuju, ze je to naprosto presne to, co jsem tu celou dobu hledal a chtel si to psat v shellu (nesnasim neco psat, kdyz uz to je hotove ... ja maximalne napisu 50ti radkovy script - vsechno ostatni si myslim, ze uz nekdo napsal a je to lepsi, nez tu budu smrdlat ja).

S tou bezpecnosti ;o) - jestli mi nekdo bydli za gatewayi, tak mam smulu - snad ho pomoci tohohle najdu. Jestli nebydli, tak by se nikam dostat nemel, protoze mam deny all na inbound traffic.

Ntop uz se byldi ;o)

Super ... ted mi to chcipne na tom, ze v png je dira ;o)))
Nevadi - pujde tam derave png ;o)
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: JardaP . 29. 06. 2010, 12:35:13
Hm, tak sem pak napis, jestli to je opravdu to prave orechove. Ja ntop uz par let nevidel a uz se presne nepamatuji, jake tabulky a grafy to dela. Mel jsem ho na routeru, pak jsem zapomnel heslo a nez bych znovu zjistoval, jak a cim vygenerovat novy hash, tak jsem ho vyhodil z rc.d a vykaslal se na to, protoze jsem ho tam mel stejne jenom ze zvedavosti.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 29. 06. 2010, 13:15:16
Po brutalnim hackovani (nas...ni se a tak dale, kdy mi nefungovalo -DDISABLE_VULNERABILITIES ... jsem z Makefilu vyhodil FORBIDEN {kouzlo}) a uz se zkompilovalo png a tim padem vsechno.

Cili mam rozjety ntop, ktery mi fungoval out of the box, zatim to "proklikavam" (commandline prijde na radu pak).

Vypada to celkem inteligentne.

Az projdu konfiguraci, tak napisu, jestli to je orech ;o)

Zatim to vypada docela slibne - monitorovat a monitorovat ... to je prace admina. Jako na parniku koukat na ty budiky, jestli nejsou v cervenem ;o)) (nekde ve strojovne ;o)

Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 30. 06. 2010, 07:58:20
Takze pro ty, kteri si chteji udelat poradek v siti vrele doporucuju ntop.

Funguje out of the box a je docela zajimave sledovat, co se v siti deje.

Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: anonymous 30. 06. 2010, 09:41:41
kolego, otazka:
v jake konfiguraci jste ntop nahodil?
mate zvlast nprobe,napichlou do SPAN portu na hlavnim switchi a zvlast ntop collector ?
anebo all-in-one [jeden komp, se dvema sitovkama,jednu na odchytavani sitoveho provozu a druhou na management] ?

diky

Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 30. 06. 2010, 10:07:10
Mam to na jednom FBSD compu. Teprve se s tim ucim. Ten NetFlow a tak dale od Cisca je fajn, ale asi to tady nevyuziju.

Mam to na debug site a kdyz to vidim, tak brouku je tu spousta.

Od toho, ze se tu flakaji smesne pojmenovane compy az po to, ze jsem zjistil jak krasne funguje yoogoo (nebo jak se to pise - sdielni plochy ... vytvari si to vlastni server na HTTP a dalsich dvou portech). Proste dokud jsem to realne nevidel, tak jsem to ani netusil, ze tu muze byt takovy bordel.

SPAN port tu nemam - vsechno tece pres gateway na ktere bydli ten ntop.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: anonymous 30. 06. 2010, 10:21:17
jasne,dik za upresneni.
v mem pripade to bude kapku komplikovanejsi, staram se o pomerne komplexni sit [aplikacni a sitove [WAN] akceleratory od Juniperu,nekolik Juniper SSL VPN boxu, Juniper VPN/FW boxy, lokalni sit je vystavena na 3Com technologiich,vsude gigabit + pater 10GB po optice atp...] a premyslim,jak a kam nejlepe umistit ntop,abych ziskal  co mozna nejpresnejsi obrazek o sitovem provozu....

zatim louskam ntop docs,uvidime.
hodne zdaru :]

Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 30. 06. 2010, 10:49:23
Primo na tohle maji na webu nejake studie ne?

Toz hodne zdaru - na velke siti to bude asi opravdova zabava.

Na par tydnu ;o) - analyzovat co to vlastne rika ;o)
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: JardaP . 30. 06. 2010, 16:47:20
Tak jak se dari lov? Co jste pochytal? A telesne tresty provinilcum jste udelil? Par nejhorsich pripadu ostatnim pro vystrahu na kul napichl?
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 01. 07. 2010, 10:20:01
Jak jsem psal - zajimave veci. My tu totiz jsme mala firma a podle meho nazoru cim mensi firma, tim vic toho lidi potrebujou.

Maji tu sdileni plochy pres yoogoo (tak nejak), ICQ, Skype a x dalsich sluzeb. Skype si treba otevira na 443 jakysi vlastni server ... proste parada.

Zjistil jsem to, ze tu mam ABSOLUTNI BORDEL ;o) Protoze jsem to poradne do ted neresil ;o)
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: hawran diskuse 03. 07. 2010, 19:52:11
Ad to otevírání portů Skajpem viz http://www.root.cz/clanky/10-duvodu-proc-nepouzivat-skype/ (http://www.root.cz/clanky/10-duvodu-proc-nepouzivat-skype/), bod 4. Funkce supernode ...
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: lb 03. 07. 2010, 22:47:43
zavirene (alebo inak napadnute) pc s windows uvnitr site lze identifikovat velice jednoduce:

nahodnim vyberem

:)
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: sd 05. 07. 2010, 21:17:07
dalsi variantou je proste blokovat znama c&c botnetu - malwaredomains.com. pozor je treba resit i na urovni dns, vetsina z nich ma fast-flux.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: keporkak 06. 07. 2010, 14:34:39
Neda mi, abych se neozval s jednou veci ohledne smtp. Jsem tolerantni clovek, ale dle meho skromneho nazoru kazdy, kdo by chtel odesilat postu ze sveho stroje za mym firewallem pres port 25 na svuj smtp server, by mel dostat 25 na zadek vga kabelem s plnym rozebehem a nasledne by mu mela byt nastrizena kuze mezi vsemi prsty na rukou i nohou. Uz vice nez 10 (!!!) let existuje rfc definujici postup i port pro message submission. Neni jediny duvod odesilat postu pres port 25, pokud nejste postovnim serverem. Dale bych rekonstruoval nekolik gulagu na Sibiri a nahnal bych tam vsechny zamestnance seznamu, upc, atlasu a podobnych idiotskych firem, kteri meli u nich neco spolecneho s navrhem a implementaci elektronicke posty. Kazdy si stezuje na spam, ale nikdo se ani nenamaha si precit upne zaklady. Ale co cekat od firem, kde se nedodrzuji ani 25 let stare rfc, ze (seznam odesila postu ze serveru, kde nesedi reverzni dns, coz podle rfc _MUSI_)
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 07. 07. 2010, 07:08:06
Nebijte chudinku adminka po hlave ;o)))

Jak rikam - smtp mam zakazane - pouze na svuj smtp server.

Pokud musi sedet to, ze se server hlasi svym jmenem, ktere ma jako reverse, tak to dokonce i nejakym zazrakem mam.

Cetl jsem pulku jednoho RFC v zivote ;o))) (nebijte admina po hlave ;o))), ale nektere veci mi prijdou docela jednoduche.

Pokud je v konfiguraci napsano my_hostname, tak nevim, proc bych tam psal nebijte.admina.po.hlave.cz a server ma PTR zbili.jsme.admina.vga.kabelem.cz

Jsem admin na baterky (vezmu Baterku, posvitim na Google, verim tomu, ze BSD nepouzivaji uplne nejuhrovitejsi mladici {vid Radovane ;o} a pak to i podle toho nastavim).

Jinak co se ntopu tyce jeste jsem to poradne nedozkoumal - misto toho jsem si pridal novou hracku do racku.

Taky si myslim, ze je to docela otazka "viry" (vir, nadeje a laska ;o) - virit kolem stolu a tak.

Kdyz spusta chytrych hlav, ktere tu radi je schopna prijit na spoustu chyb, jak to nedelat, je spousta zlych chytrych hlav schopna napsat virus, ktery proste antiviry nezdetekujou, maskuje se pres HTTP, fejkuje se jako google.it.tw (nebo vim ja jak), posle si kdo vi co jako magic type png a ja na to neprijdu ani kdybych si to png prohlizel ;o)))

Skype - ano - zvracim tu z nej tajne chlapcum s windows a svemu bohuzel windows boxu (nekdo ty weby v tech standardnich prohlizecich otevirat taky musi ne? - aaale jen v praci - doma uz mam Operu 10.60 na BSD a skoro to i funguje ;o))) do boxu.

Jeste vetsi poblitek je pravdepodobne yoogoo - to si otevrelo 2 zahadne HTTP servery hned po spusteni. Lahoda.

Muzu je tu mlatit devitiocasou kockou, nechavat je se projit po starsich typech procesoru obracenych vzhuru nohama naboso a tak dale.

Ale kluci jsou to hodni, snazi se prodavat, snazi se lidem delat dobry reseni jejich "chci web a chci ho hezkej a nemam vkus a nerozumim tomu a nevim co delam, ale chci ten web" problemu, takze jim to chci spis ulehcovat nez naopak ;o)

Budu jeste hledat a bojovat se vzdusnymi Windows ;o)

Less Air more BSD.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 07. 07. 2010, 07:12:25
Jinak schvalne uplne OT - treba to nekdo dokonce zamkne (myslim diskuzi ;o)) - nasel jsem v jedne man page faaaak krasnou hlasku:

man tunefs(8)
 
BUGS

     This program should work on mounted and active filesystems.  Because the
     super-block is not kept in the buffer cache, the changes will only take
     effect if the program is run on dismounted filesystems.  To change the
     root filesystem, the system must be rebooted after the filesystem is
     tuned.

     You can tune a filesystem, but you can't tune a fish.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: Dragonn 07. 07. 2010, 12:31:56
Zdravím,

rád bych se k tomuto tématu zeptal na váš názor. V případě, že používám počítač s OS linux jako bránu do sítě (nat) a zároveň na něm běží některé služby (například HTTP). Na kterou síťovku bych měl ntop posadit? Na vnitřní, nebo vnější? ... když ho posadim ven, tak u odchozích spojení asi už nezjistím, kdo z vnitřní sítě ho navázal (protože bude už změněná zdrojová adresa odchozích paketů). Když ho posadím na vnitřní síťové rozhraní, tak zase nebudu vědět o paketech putujícíh z internetu na můj server. Pokud nasadím obě rozhraní, tak se mi traffic z vnitřní sítě do internetu bude započítávat dvakrát, ne?

Budu rád, když mi napíšete, co si o tom myslíte a případně jak byste to řešili. Jako ideální řešení bych viděl oddělit od sebe router a server, ale to bohužel není aktuálně technicky možné.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 07. 07. 2010, 13:23:01
Ntop jde nakonfigurovat tak, ze posloucha na kazdem rozhrani zvlast. Jde to tam hned "nakliknout".

Konfiguraky jsou mi zahadou - kde se jen toulaj ;o)))

Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: David Strejc 07. 07. 2010, 14:18:38
Tak ntop sel prave do lesa.

Tusil jsem, ze to tak dopadne.

Protahuju na siti cca 100GB denne a nechal jsem to bezet mozna tyden v kuse.

A pak prisel ten okamzik ;o) Zral 100% procesoru a umiral opravdu dlouho, cili na necem intenzivne pracoval.

Cili - nepotesil me ;o)
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: JardaP . 07. 07. 2010, 16:01:40
No, vsak take neni nutne, aby bezel v jednom kuse, ne? Stejne na nej porad nekoukate a kdyz si ho pustite jenom obcas, mate za den na koukani docela dost dat.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: sd 10. 07. 2010, 11:06:56
Tak ntop sel prave do lesa.

davide, ty trdelko, k cemu ten ntop znasilnujes?
pokud jde jenom o smirovani na po kolika ruznych *:{25|135|139}/casovy usek kazda windozi stanice slinta u nas v hobitine preferujem ipt_haslimit a -j LOG.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: Jiri Horky 17. 08. 2010, 22:07:22
Hm, pokud nevyhovuje ntop, tak bych mohl zkusit oprasit svou bakalarskou praci, ktera se prave zabirala monitoringem site na normalnim hw pres IP, port ci MAC adresu na sitich, kde tece hodne dat (1Gbps). Predesilam, ze jsem ji od bakalarky nepustil, ale v te dobe se tim zkousela i monitorovat site MFF koleji v Troje (2000hostu). Potrebujete ke svemu behu MySQL, kam uklada data. Ntop je ale daleko mocnejsi reseni. Neumi vsak ukladat historicka data - nepodivate se, jak vypadal traffic pred tydnem v 10:00. (anebo jen s daleko vetsim agregacnim intervalem, jako napr. RRD). Dale ntop take zere daleko vice prostredku. Ozvete se kdyztak na jiri . horky at gmail . com a ja bych to oprasil (potesilo by me, kdyby se to nekomu hodilo :-) Pak by se to dalo i zverejnit.
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: helikaon 09. 11. 2010, 16:23:33
http://code.google.com/p/ipt-account/

Iptables modul ipt_account tez dela statistiky provozu na siti a to i dle IP.

je to popsany i v manu, ale ta stranka je lepsi, venuje se primo tomu ...
Název: Re: Jak v síti detekovat infikovaná Windows
Přispěvatel: Jerry 10. 11. 2010, 00:04:43
Zdar lidi, koukam, kolik lidi toto tema zajima :). Pokud najdu dost casu a hvezdy budou milostivy, tak hodim par clanku o tom, jak se daji detekovat ruzne infekce na siti. Prosim vydrzte tak mesic/mesic a pul.