Jak v síti detekovat infikovaná Windows

[sd]

dalsi variantou je proste blokovat znama c&c botnetu - malwaredomains.com. pozor je treba resit i na urovni dns, vetsina z nich ma fast-flux.

[Reklama]

[keporkak]

Neda mi, abych se neozval s jednou veci ohledne smtp. Jsem tolerantni clovek, ale dle meho skromneho nazoru kazdy, kdo by chtel odesilat postu ze sveho stroje za mym firewallem pres port 25 na svuj smtp server, by mel dostat 25 na zadek vga kabelem s plnym rozebehem a nasledne by mu mela byt nastrizena kuze mezi vsemi prsty na rukou i nohou. Uz vice nez 10 (!!!) let existuje rfc definujici postup i port pro message submission. Neni jediny duvod odesilat postu pres port 25, pokud nejste postovnim serverem. Dale bych rekonstruoval nekolik gulagu na Sibiri a nahnal bych tam vsechny zamestnance seznamu, upc, atlasu a podobnych idiotskych firem, kteri meli u nich neco spolecneho s navrhem a implementaci elektronicke posty. Kazdy si stezuje na spam, ale nikdo se ani nenamaha si precit upne zaklady. Ale co cekat od firem, kde se nedodrzuji ani 25 let stare rfc, ze (seznam odesila postu ze serveru, kde nesedi reverzni dns, coz podle rfc _MUSI_)

[David Strejc]

Nebijte chudinku adminka po hlave ;o)))

Jak rikam - smtp mam zakazane - pouze na svuj smtp server.

Pokud musi sedet to, ze se server hlasi svym jmenem, ktere ma jako reverse, tak to dokonce i nejakym zazrakem mam.

Cetl jsem pulku jednoho RFC v zivote ;o))) (nebijte admina po hlave ;o))), ale nektere veci mi prijdou docela jednoduche.

Pokud je v konfiguraci napsano my_hostname, tak nevim, proc bych tam psal nebijte.admina.po.hlave.cz a server ma PTR zbili.jsme.admina.vga.kabelem.cz

Jsem admin na baterky (vezmu Baterku, posvitim na Google, verim tomu, ze BSD nepouzivaji uplne nejuhrovitejsi mladici {vid Radovane ;o} a pak to i podle toho nastavim).

Jinak co se ntopu tyce jeste jsem to poradne nedozkoumal - misto toho jsem si pridal novou hracku do racku.

Taky si myslim, ze je to docela otazka "viry" (vir, nadeje a laska ;o) - virit kolem stolu a tak.

Kdyz spusta chytrych hlav, ktere tu radi je schopna prijit na spoustu chyb, jak to nedelat, je spousta zlych chytrych hlav schopna napsat virus, ktery proste antiviry nezdetekujou, maskuje se pres HTTP, fejkuje se jako google.it.tw (nebo vim ja jak), posle si kdo vi co jako magic type png a ja na to neprijdu ani kdybych si to png prohlizel ;o)))

Skype - ano - zvracim tu z nej tajne chlapcum s windows a svemu bohuzel windows boxu (nekdo ty weby v tech standardnich prohlizecich otevirat taky musi ne? - aaale jen v praci - doma uz mam Operu 10.60 na BSD a skoro to i funguje ;o))) do boxu.

Jeste vetsi poblitek je pravdepodobne yoogoo - to si otevrelo 2 zahadne HTTP servery hned po spusteni. Lahoda.

Muzu je tu mlatit devitiocasou kockou, nechavat je se projit po starsich typech procesoru obracenych vzhuru nohama naboso a tak dale.

Ale kluci jsou to hodni, snazi se prodavat, snazi se lidem delat dobry reseni jejich "chci web a chci ho hezkej a nemam vkus a nerozumim tomu a nevim co delam, ale chci ten web" problemu, takze jim to chci spis ulehcovat nez naopak ;o)

Budu jeste hledat a bojovat se vzdusnymi Windows ;o)

Less Air more BSD.

[David Strejc]

Jinak schvalne uplne OT - treba to nekdo dokonce zamkne (myslim diskuzi ;o)) - nasel jsem v jedne man page faaaak krasnou hlasku:

man tunefs(
 
BUGS

     This program should work on mounted and active filesystems.  Because the
     super-block is not kept in the buffer cache, the changes will only take
     effect if the program is run on dismounted filesystems.  To change the
     root filesystem, the system must be rebooted after the filesystem is
     tuned.

     You can tune a filesystem, but you can't tune a fish.

[Dragonn]

Zdravím,

rád bych se k tomuto tématu zeptal na váš názor. V případě, že používám počítač s OS linux jako bránu do sítě (nat) a zároveň na něm běží některé služby (například HTTP). Na kterou síťovku bych měl ntop posadit? Na vnitřní, nebo vnější? ... když ho posadim ven, tak u odchozích spojení asi už nezjistím, kdo z vnitřní sítě ho navázal (protože bude už změněná zdrojová adresa odchozích paketů). Když ho posadím na vnitřní síťové rozhraní, tak zase nebudu vědět o paketech putujícíh z internetu na můj server. Pokud nasadím obě rozhraní, tak se mi traffic z vnitřní sítě do internetu bude započítávat dvakrát, ne?

Budu rád, když mi napíšete, co si o tom myslíte a případně jak byste to řešili. Jako ideální řešení bych viděl oddělit od sebe router a server, ale to bohužel není aktuálně technicky možné.

[Reklama]

[David Strejc]

Ntop jde nakonfigurovat tak, ze posloucha na kazdem rozhrani zvlast. Jde to tam hned "nakliknout".

Konfiguraky jsou mi zahadou - kde se jen toulaj ;o)))

[David Strejc]

Tak ntop sel prave do lesa.

Tusil jsem, ze to tak dopadne.

Protahuju na siti cca 100GB denne a nechal jsem to bezet mozna tyden v kuse.

A pak prisel ten okamzik ;o) Zral 100% procesoru a umiral opravdu dlouho, cili na necem intenzivne pracoval.

Cili - nepotesil me ;o)

[JardaP .]

No, vsak take neni nutne, aby bezel v jednom kuse, ne? Stejne na nej porad nekoukate a kdyz si ho pustite jenom obcas, mate za den na koukani docela dost dat.

[sd]

Tak ntop sel prave do lesa.

davide, ty trdelko, k cemu ten ntop znasilnujes?
pokud jde jenom o smirovani na po kolika ruznych *:{25|135|139}/casovy usek kazda windozi stanice slinta u nas v hobitine preferujem ipt_haslimit a -j LOG.

[Jiri Horky]

Hm, pokud nevyhovuje ntop, tak bych mohl zkusit oprasit svou bakalarskou praci, ktera se prave zabirala monitoringem site na normalnim hw pres IP, port ci MAC adresu na sitich, kde tece hodne dat (1Gbps). Predesilam, ze jsem ji od bakalarky nepustil, ale v te dobe se tim zkousela i monitorovat site MFF koleji v Troje (2000hostu). Potrebujete ke svemu behu MySQL, kam uklada data. Ntop je ale daleko mocnejsi reseni. Neumi vsak ukladat historicka data - nepodivate se, jak vypadal traffic pred tydnem v 10:00. (anebo jen s daleko vetsim agregacnim intervalem, jako napr. RRD). Dale ntop take zere daleko vice prostredku. Ozvete se kdyztak na jiri . horky at gmail . com a ja bych to oprasil (potesilo by me, kdyby se to nekomu hodilo :-) Pak by se to dalo i zverejnit.

[helikaon]

http://code.google.com/p/ipt-account/

Iptables modul ipt_account tez dela statistiky provozu na siti a to i dle IP.

je to popsany i v manu, ale ta stranka je lepsi, venuje se primo tomu ...

[Jerry]

Zdar lidi, koukam, kolik lidi toto tema zajima . Pokud najdu dost casu a hvezdy budou milostivy, tak hodim par clanku o tom, jak se daji detekovat ruzne infekce na siti. Prosim vydrzte tak mesic/mesic a pul.