Detectarea virusatilor

anunturi, tehnicals, info
User avatar
KeinEngel
senior
senior
Posts: 225
Joined: Sun Jan 09, 2005 1:50 am

Detectarea virusatilor

Postby KeinEngel » Tue Oct 21, 2008 11:07 pm

Salut,

Cum functioneaza sistemul care detecteaza virusatii?

Azi-noapte pe la 1 si 20 am sesizat ca nu mai am net, pe motiv ca as avea un virus. Bun, scos cablul de retea (deh, sa nu dau mai departe), conectat la net prin telefon (viva HSDPA-ul de la Vodafone), tras ultimul Kaspersky Internet Security si update-urile, scanare completa, totul curat.

Problema a aparut la mai multi useri din caminul meu (U2), tot azi-noapte, deci ma gandesc sa nu fie exploatabil sistemul de detectie si sa se fi "distrat" cineva incercand sa vada cati oameni poate lasa fara net.

Intre timp s-a rezolvat situatia (i-am scris pe usa coordonatorului din camin ca m-am devirusat) si merge iar netul, dar tot sunt curios ce s-a intamplat...

User avatar
Dan
Master of Disaster
Posts: 2869
Joined: Sun Jul 06, 2003 1:59 am
Location: ...on the highway to hell...
Contact:

Re: Detectarea virusatilor

Postby Dan » Thu Oct 23, 2008 2:41 am

Scriptul care detecteaza virusii care ne "intereseaza " - adica aia care fac spoofing fie pe mac fie pe ip , fie pe gateway fie pe alte pc-uri in retea se bazeaza pe arpwatch ( google it daca nu stii ce e ). Dupa ce serverul asculta reteaua cu arpwatch, verifica schimbarile de maci si de ip cu baza noastra de date, mai precis identifica corespondentul IP pentru macul care se asigneaza pentru mai multe ip-uri in retea. Dupa care face disconnect. Metoda are specificitate maxima si sensibiliate redusa ( adica nu tai userii daca nu sunt sigur ca au o problema ). Scriptul e facut sa acopere vreo 4 mutanti de virusi made in china care initial se instaleaza printr-un troian, ulterior fac in general spoofing pe gateway si efectueaza un MID attack. Scopul MID attackului nu e sa intercepteze "conversatia" cu amplasari remote ci sa insereze in pagina html un mic script java care downloadeaza troianul d care vorbeam. Asa ca daca astia viruasti n-au net nu pot functiona ca proxy, deci au toate motivele sa fie dati jos.
Regula e ca la recidivare de virusi ( motiv pentru care am introdus si un counter care identifica de cate ori un user se viruseaza) userul nostru ramane fara net minim 2 saptamani cu cablul scos. Pentru ca un user din asta da un camin jos complet.

Oricum va invit intr-o saptamana sa spargeti toate usile de pe holul vostru cand va pica netul pe motiv de spoofing, pentru ca voi completa chestia asta cu ceva hardware, iar orice spoofing va fi posibil DOAR pe etaj. :devil:
Eu din muntii mei...
http://www.imed.ro/forum

KatZ
newbie
newbie
Posts: 5
Joined: Mon Oct 27, 2008 11:41 pm

Re: Detectarea virusatilor

Postby KatZ » Mon Oct 27, 2008 11:52 pm

Salut. Am vazut un post mai vechi cu Symantec Endpoint Protection. L-am luat si eu ca sa il incerc comparativ cu multi alti antivirusi testati. Am atasat o poza cu un log care as vrea sa imi fie explicat putin de cineva care se pricepe. Daca se poate. Multumesc.
You do not have the required permissions to view the files attached to this post.

User avatar
Dan
Master of Disaster
Posts: 2869
Joined: Sun Jul 06, 2003 1:59 am
Location: ...on the highway to hell...
Contact:

Re: Detectarea virusatilor

Postby Dan » Wed Oct 29, 2008 1:44 am

Bun - seria corporate de la Symantec e una din cele mai serioase solutii de securitate de la versiunea 7 incoace. Ce vezi tu e unul din cazurile particalre vante de scripturile noastre. in cazul de fata pc cu macul real -cel pe care il vezi peste tot - face advertising in retea cu toate ip pe care le vede. Adica el Pc-ul infectat le zice tuturor ca el este oricine, inclusiv gateway-ul. Atacul asta se keama poisoning si are ca scop un atac man-in-the middle. Adica eu care vreau sa ma dau pe net trebuie sa aflu macul gateway-ului. Pc virusat spuen tot timpul ca ip gatewayului are macul lui. Odata ce pc meu a flat macul gateway-ului ( in acest caz un mac aiurea ) va trimite orice comunicatie in mod eronat spre acest pc infectat ( in LAN comunicarea are loc la nivel 2 OSI - adica pe MAC) Daca virusul e suficient de destept incat sa deschida un proxy, eu vad doar ca netul merge mai ciudat - ba merge ba pica samd. In plus una din versiuni face insert in orice pagina care o livreaza in acest fel catre un PC "inocent" a unui javascript care trimite browserul victimei sa descarce de pe o pagina din fundul chinei un troian, care mai departe are grija sa aduca pe pc respectiv virusul in sine.
Sper ca am fost cat de cat explicit.
Eu din muntii mei...
http://www.imed.ro/forum

KatZ
newbie
newbie
Posts: 5
Joined: Mon Oct 27, 2008 11:41 pm

Re: Detectarea virusatilor

Postby KatZ » Thu Oct 30, 2008 10:15 pm

Mda...am cam inteles in mare. Dar oricum am renuntat intre timp la Symantec Endpoint Protection pt ca probabil era prea bun in ce facea si probabil erau atatea atacuri pe netul nostru incat imi oprea traficul de tot...am stat 2 zile fara net si cum l-am dezinstalat merge netul super. Acum as vrea sa ne recomanzi daca se poate un antivirus care sa si ajute, sa nu interfereze cu actiunile de pe net (adica sa fie si sigur dar sa mearga si netul). Free sau cu licenta...tot ce conteaza e sa fie bun:). Multumesc.

User avatar
KeinEngel
senior
senior
Posts: 225
Joined: Sun Jan 09, 2005 1:50 am

Re: Detectarea virusatilor

Postby KeinEngel » Tue Nov 18, 2008 12:01 am

Am intrat acum cateva zile pe site-ul Vodafone sa ma uit de un abonament si vad in status bar la Opera ca se conecteaza la do.qwertyy.cn

Am pornit Ethereal si am intrat inapoi pe vodafone.ro. Aparent nu face asta la toate site-urile, vf.ro e primul la care am observat. In captura gasesc asta:
http://engel.misalpina.net/ethereal.png - vezi al 5lea rand albastru

Buun, trag fisierul do.js si tot ce-nteleg din el e ca deschide un iframe cu do.htm, asa ca trag si fisierul ala:
http://engel.misalpina.net/script.png

Si cam pe aici m-am pierdut. Am tras toate fisierele mentionate si le-am arhivat, sunt la http://engel.misalpina.net/qwertyy.zip

Situatia s-a repetat si azi, pe un calculator de-al unei prietene care ruleaza Ubuntu, cand incercam sa intru pe google.com

Ma gandesc ca e cineva din camin care face arp spoofing, dar momentan n-am firewall instalat ca sa vad cine.

Bonus, screenshot de pe calculatorul prietenei mele (stam amandoi in U2):
http://engel.misalpina.net/kav.jpg


P.S. mesaj editat la greu pt a evita eroarea "Method Not Implemented
POST to /forum/posting.php not supported."

User avatar
Dan
Master of Disaster
Posts: 2869
Joined: Sun Jul 06, 2003 1:59 am
Location: ...on the highway to hell...
Contact:

Re: Detectarea virusatilor

Postby Dan » Tue Nov 18, 2008 2:39 am

vezi mai sus ce explicam legat de detectia pe care o facem noi. Foarte curand filtrarile le vom face din switchuri - iar spooferul va fi strict pe etajul tau daca va fi.
Eu din muntii mei...
http://www.imed.ro/forum

User avatar
KeinEngel
senior
senior
Posts: 225
Joined: Sun Jan 09, 2005 1:50 am

Re: Detectarea virusatilor

Postby KeinEngel » Fri Nov 21, 2008 10:28 pm

Pana una-alta, ce protectie am putea sa folosim noi, utilizatorii finali? E suficienta o intrare statica in tabelul arp pentru gateway, pe care sa o schimbam cand vin switch-urile noi?

Pentru a detecta virusatii putem face si noi ceva mai simplu? Adica celui din U2 i-am batut in seara asta la usa si i-am zis, dar l-am descoperit absolut intamplator - a aparut si ip-ul lui la arp -a, cu acelasi mac ca al gateway-ului.
Singura idee care-mi vine acum in minte e un ping sweep pe tot subnetul, timp in care inregistrez mac-urile (vezi Angry IP Scan)... Dar sigur exista si o solutie mai eleganta, nu?

User avatar
Dan
Master of Disaster
Posts: 2869
Joined: Sun Jul 06, 2003 1:59 am
Location: ...on the highway to hell...
Contact:

Re: Detectarea virusatilor

Postby Dan » Wed Dec 03, 2008 12:23 am

un arp entry static cu switchurile noi rezolva complet situatia - apar si astea in cateva zile.
Eu din muntii mei...
http://www.imed.ro/forum

User avatar
Melania
addicted
addicted
Posts: 21859
Joined: Wed Apr 06, 2005 2:46 am

Re: Detectarea virusatilor

Postby Melania » Mon Oct 12, 2015 10:38 pm

Botii astia sunt si ironici.

User avatar
andy gavrilescu
cel mai imedist din 2013
cel mai imedist din 2013
Posts: 30295
Joined: Sun Feb 25, 2007 1:03 pm
Location: no location

Re: Detectarea virusatilor

Postby andy gavrilescu » Mon Oct 12, 2015 10:42 pm

cum scapam de ei?
We don't have to dance
https://www.youtube.com/watch?v=8fEoWA9Vz3A

De profesie optometrist
*nu exista lentile antiaburire!!!

User avatar
Janos
elder
elder
Posts: 1245
Joined: Wed Apr 08, 2015 10:15 pm

Re: Detectarea virusatilor

Postby Janos » Wed Oct 14, 2015 10:52 pm

Chiar nu exista optiunea de aprobare manuala obligatorie din partea unui moderator a noilor inregistrati?
Se poate folosi temporar pana la remedierea captchaului...

Astia sunt cateva exemple de spamboti cunoscuti (toti activand din plin pe aici):

188.126.91.58 Timothylymn leleokule@gmail.com (Sweden)
188.187.138.155 msatoloptt2015 msatoloptt2015@hotmail.com (Russia)
159.224.160.158 AndrewTax asam_mazin_1984@elpatevskiy.com (Ukraine)


E putin probabil sa fie eficient (proxy-related), dar macar se poate incerca un range IP ban pe astea.

User avatar
Phat Skidz
dɥɐʇ sʞıpz
Posts: 17766
Joined: Sun Jul 06, 2003 9:51 am

Re: Detectarea virusatilor

Postby Phat Skidz » Tue Oct 20, 2015 10:24 am

Mulțumim pt sfaturi. Până la urmă așa am făcut. Problema e că suntem doar 2 care putem aproba manual, și niciunul dintre noi nu se poate angaja la chestia asta zi de zi. Imaginează-ți nițel, ajung la serviciu, găsesc un moment liber, deschid imedul și trebuie să stau să revizuiesc treij de cereri noi de înscriere, ca nu cumva să șterg una legitimă din greșeală.
SUNT BOȘOROGUL IMEDULUI

Sergheiq
junior
junior
Posts: 72
Joined: Fri Jan 20, 2006 2:59 am
Location: Bucharest
Contact:

Re: Detectarea virusatilor

Postby Sergheiq » Tue Oct 20, 2015 2:41 pm

Dar poate se ofera cineva sa faca asta zilnic. :)

User avatar
andy gavrilescu
cel mai imedist din 2013
cel mai imedist din 2013
Posts: 30295
Joined: Sun Feb 25, 2007 1:03 pm
Location: no location

Re: Detectarea virusatilor

Postby andy gavrilescu » Tue Oct 20, 2015 3:12 pm

cine?
We don't have to dance
https://www.youtube.com/watch?v=8fEoWA9Vz3A

De profesie optometrist
*nu exista lentile antiaburire!!!

User avatar
Melania
addicted
addicted
Posts: 21859
Joined: Wed Apr 06, 2005 2:46 am

Re: Detectarea virusatilor

Postby Melania » Tue Oct 20, 2015 5:05 pm

Nu o puneti pe Muma, ar fi in stare sa baneze pe toti cei de sex masculin, sa impuna o taxa de solidaritate si sa ne promita ca nazuim spre un crez inalt, in care fiecare user va posta acelasi post conceput de Muma in care ea va fi laudata si ideile lui alimori Infierate. Avantajul e ca spre drumul spre acest deziderat diferenta intre useri si boti nu va fi sesizata.
Last edited by Melania on Tue Oct 20, 2015 5:09 pm, edited 1 time in total.

User avatar
andy gavrilescu
cel mai imedist din 2013
cel mai imedist din 2013
Posts: 30295
Joined: Sun Feb 25, 2007 1:03 pm
Location: no location

Re: Detectarea virusatilor

Postby andy gavrilescu » Tue Oct 20, 2015 5:08 pm

m-as autobana inainte sa se intample asta
We don't have to dance
https://www.youtube.com/watch?v=8fEoWA9Vz3A

De profesie optometrist
*nu exista lentile antiaburire!!!

User avatar
Calico
addicted
addicted
Posts: 42413
Joined: Tue Mar 16, 2004 12:27 pm

Re: Detectarea virusatilor

Postby Calico » Tue Oct 20, 2015 5:13 pm

Nu urmaream posturile botilor, nu observasem ca ma lauda.
Sa fi stiut asta, i-as fi citit mult mai atent.

User avatar
Melania
addicted
addicted
Posts: 21859
Joined: Wed Apr 06, 2005 2:46 am

Re: Detectarea virusatilor

Postby Melania » Wed Oct 21, 2015 2:00 am

Ce fel de socialista esti tu daca nu stii ruseste? Nu l-ai citit pe Lenin in original inca?

User avatar
andy gavrilescu
cel mai imedist din 2013
cel mai imedist din 2013
Posts: 30295
Joined: Sun Feb 25, 2007 1:03 pm
Location: no location

Re: Detectarea virusatilor

Postby andy gavrilescu » Wed Oct 21, 2015 7:57 am

stai sa apara pe torenti
We don't have to dance
https://www.youtube.com/watch?v=8fEoWA9Vz3A

De profesie optometrist
*nu exista lentile antiaburire!!!

User avatar
Janos
elder
elder
Posts: 1245
Joined: Wed Apr 08, 2015 10:15 pm

Re: Detectarea virusatilor

Postby Janos » Wed Oct 21, 2015 1:27 pm

Melania wrote:Nu o puneti pe Muma, ar fi in stare sa baneze pe toti cei de sex masculin, sa impuna o taxa de solidaritate si sa ne promita ca nazuim spre un crez inalt, in care fiecare user va posta acelasi post conceput de Muma in care ea va fi laudata si ideile lui alimori Infierate. Avantajul e ca spre drumul spre acest deziderat diferenta intre useri si boti nu va fi sesizata.

:D

Sergheiq
junior
junior
Posts: 72
Joined: Fri Jan 20, 2006 2:59 am
Location: Bucharest
Contact:

Re: Detectarea virusatilor

Postby Sergheiq » Wed Oct 21, 2015 2:53 pm

What's wrong with you? Parca nu aveati timp... Hai lasati asa ca va anunt eu cand mai sunt probleme. Juniorul :))

User avatar
andy gavrilescu
cel mai imedist din 2013
cel mai imedist din 2013
Posts: 30295
Joined: Sun Feb 25, 2007 1:03 pm
Location: no location

Re: Detectarea virusatilor

Postby andy gavrilescu » Wed Oct 21, 2015 2:58 pm

Serghei, prezinta-te!
We don't have to dance
https://www.youtube.com/watch?v=8fEoWA9Vz3A

De profesie optometrist
*nu exista lentile antiaburire!!!

Sergheiq
junior
junior
Posts: 72
Joined: Fri Jan 20, 2006 2:59 am
Location: Bucharest
Contact:

Re: Detectarea virusatilor

Postby Sergheiq » Wed Oct 21, 2015 3:11 pm

Salut! Eu sunt Serghei si intru pe forum din cand in cand.

User avatar
Calico
addicted
addicted
Posts: 42413
Joined: Tue Mar 16, 2004 12:27 pm

Re: Detectarea virusatilor

Postby Calico » Wed Oct 21, 2015 3:36 pm

Bine ai venit, Sergei!

User avatar
andy gavrilescu
cel mai imedist din 2013
cel mai imedist din 2013
Posts: 30295
Joined: Sun Feb 25, 2007 1:03 pm
Location: no location

Re: Detectarea virusatilor

Postby andy gavrilescu » Wed Oct 21, 2015 3:55 pm

Da-ne mai multe informatii despre tine. Noi aici ne cunoastem relativ bine intre noi.
We don't have to dance
https://www.youtube.com/watch?v=8fEoWA9Vz3A

De profesie optometrist
*nu exista lentile antiaburire!!!

User avatar
Chingachgook
addicted
addicted
Posts: 23561
Joined: Wed Nov 26, 2003 6:34 pm
Location: in hamac

Re: Detectarea virusatilor

Postby Chingachgook » Wed Oct 21, 2015 4:02 pm

andy gavrilescu wrote:Da-ne mai multe informatii despre tine. Noi aici ne cunoastem relativ bine intre noi.



mai mult decat ne-am dori

bine ai venit serghei
Sunt cel mai pașnic om din lume. Dorințele mele sunt: o căsuță modestă, un pat bun si o gradina cu pomi. Iar dacă Domnul Dumnezeu ar vrea să mă facă într-adevăr fericit, as vedea spânzurați în acești pomi șase sau șapte din dușmanii mei...

User avatar
Calico
addicted
addicted
Posts: 42413
Joined: Tue Mar 16, 2004 12:27 pm

Re: Detectarea virusatilor

Postby Calico » Wed Oct 21, 2015 4:33 pm

Ser Gay

User avatar
Melania
addicted
addicted
Posts: 21859
Joined: Wed Apr 06, 2005 2:46 am

Re: Detectarea virusatilor

Postby Melania » Wed Oct 21, 2015 4:40 pm

Serghei e de peste Prut ?

Sergheiq
junior
junior
Posts: 72
Joined: Fri Jan 20, 2006 2:59 am
Location: Bucharest
Contact:

Re: Detectarea virusatilor

Postby Sergheiq » Wed Oct 21, 2015 6:00 pm

Am vazut ca va cunoasteti asa bine de la filme, vise si religie. Cred ca va puteti intoarce acolo...

User avatar
alimori
elite
elite
Posts: 7706
Joined: Sat Jul 12, 2003 11:21 pm

Re: Detectarea virusatilor

Postby alimori » Wed Oct 21, 2015 6:38 pm

Sergheiq wrote:What's wrong with you? Parca nu aveati timp... Hai lasati asa ca va anunt eu cand mai sunt probleme. Juniorul :))

User avatar
andy gavrilescu
cel mai imedist din 2013
cel mai imedist din 2013
Posts: 30295
Joined: Sun Feb 25, 2007 1:03 pm
Location: no location

Re: Detectarea virusatilor

Postby andy gavrilescu » Wed Oct 21, 2015 6:43 pm

nu cred ma ca e juniorul master.
We don't have to dance
https://www.youtube.com/watch?v=8fEoWA9Vz3A

De profesie optometrist
*nu exista lentile antiaburire!!!


Return to “Reteaua”

Who is online

Users browsing this forum: No registered users and 6 guests