Detectarea virusatilor
- KeinEngel
- senior
- Posts: 225
- Joined: Sun Jan 09, 2005 1:50 am
Detectarea virusatilor
Salut,
Cum functioneaza sistemul care detecteaza virusatii?
Azi-noapte pe la 1 si 20 am sesizat ca nu mai am net, pe motiv ca as avea un virus. Bun, scos cablul de retea (deh, sa nu dau mai departe), conectat la net prin telefon (viva HSDPA-ul de la Vodafone), tras ultimul Kaspersky Internet Security si update-urile, scanare completa, totul curat.
Problema a aparut la mai multi useri din caminul meu (U2), tot azi-noapte, deci ma gandesc sa nu fie exploatabil sistemul de detectie si sa se fi "distrat" cineva incercand sa vada cati oameni poate lasa fara net.
Intre timp s-a rezolvat situatia (i-am scris pe usa coordonatorului din camin ca m-am devirusat) si merge iar netul, dar tot sunt curios ce s-a intamplat...
Cum functioneaza sistemul care detecteaza virusatii?
Azi-noapte pe la 1 si 20 am sesizat ca nu mai am net, pe motiv ca as avea un virus. Bun, scos cablul de retea (deh, sa nu dau mai departe), conectat la net prin telefon (viva HSDPA-ul de la Vodafone), tras ultimul Kaspersky Internet Security si update-urile, scanare completa, totul curat.
Problema a aparut la mai multi useri din caminul meu (U2), tot azi-noapte, deci ma gandesc sa nu fie exploatabil sistemul de detectie si sa se fi "distrat" cineva incercand sa vada cati oameni poate lasa fara net.
Intre timp s-a rezolvat situatia (i-am scris pe usa coordonatorului din camin ca m-am devirusat) si merge iar netul, dar tot sunt curios ce s-a intamplat...
- Dan
- Master of Disaster
- Posts: 2869
- Joined: Sun Jul 06, 2003 1:59 am
- Location: ...on the highway to hell...
- Contact:
Re: Detectarea virusatilor
Scriptul care detecteaza virusii care ne "intereseaza " - adica aia care fac spoofing fie pe mac fie pe ip , fie pe gateway fie pe alte pc-uri in retea se bazeaza pe arpwatch ( google it daca nu stii ce e ). Dupa ce serverul asculta reteaua cu arpwatch, verifica schimbarile de maci si de ip cu baza noastra de date, mai precis identifica corespondentul IP pentru macul care se asigneaza pentru mai multe ip-uri in retea. Dupa care face disconnect. Metoda are specificitate maxima si sensibiliate redusa ( adica nu tai userii daca nu sunt sigur ca au o problema ). Scriptul e facut sa acopere vreo 4 mutanti de virusi made in china care initial se instaleaza printr-un troian, ulterior fac in general spoofing pe gateway si efectueaza un MID attack. Scopul MID attackului nu e sa intercepteze "conversatia" cu amplasari remote ci sa insereze in pagina html un mic script java care downloadeaza troianul d care vorbeam. Asa ca daca astia viruasti n-au net nu pot functiona ca proxy, deci au toate motivele sa fie dati jos.
Regula e ca la recidivare de virusi ( motiv pentru care am introdus si un counter care identifica de cate ori un user se viruseaza) userul nostru ramane fara net minim 2 saptamani cu cablul scos. Pentru ca un user din asta da un camin jos complet.
Oricum va invit intr-o saptamana sa spargeti toate usile de pe holul vostru cand va pica netul pe motiv de spoofing, pentru ca voi completa chestia asta cu ceva hardware, iar orice spoofing va fi posibil DOAR pe etaj.
Regula e ca la recidivare de virusi ( motiv pentru care am introdus si un counter care identifica de cate ori un user se viruseaza) userul nostru ramane fara net minim 2 saptamani cu cablul scos. Pentru ca un user din asta da un camin jos complet.
Oricum va invit intr-o saptamana sa spargeti toate usile de pe holul vostru cand va pica netul pe motiv de spoofing, pentru ca voi completa chestia asta cu ceva hardware, iar orice spoofing va fi posibil DOAR pe etaj.
Eu din muntii mei...
http://www.imed.ro/forum
http://www.imed.ro/forum
-
- newbie
- Posts: 5
- Joined: Mon Oct 27, 2008 11:41 pm
Re: Detectarea virusatilor
Salut. Am vazut un post mai vechi cu Symantec Endpoint Protection. L-am luat si eu ca sa il incerc comparativ cu multi alti antivirusi testati. Am atasat o poza cu un log care as vrea sa imi fie explicat putin de cineva care se pricepe. Daca se poate. Multumesc.
You do not have the required permissions to view the files attached to this post.
- Dan
- Master of Disaster
- Posts: 2869
- Joined: Sun Jul 06, 2003 1:59 am
- Location: ...on the highway to hell...
- Contact:
Re: Detectarea virusatilor
Bun - seria corporate de la Symantec e una din cele mai serioase solutii de securitate de la versiunea 7 incoace. Ce vezi tu e unul din cazurile particalre vante de scripturile noastre. in cazul de fata pc cu macul real -cel pe care il vezi peste tot - face advertising in retea cu toate ip pe care le vede. Adica el Pc-ul infectat le zice tuturor ca el este oricine, inclusiv gateway-ul. Atacul asta se keama poisoning si are ca scop un atac man-in-the middle. Adica eu care vreau sa ma dau pe net trebuie sa aflu macul gateway-ului. Pc virusat spuen tot timpul ca ip gatewayului are macul lui. Odata ce pc meu a flat macul gateway-ului ( in acest caz un mac aiurea ) va trimite orice comunicatie in mod eronat spre acest pc infectat ( in LAN comunicarea are loc la nivel 2 OSI - adica pe MAC) Daca virusul e suficient de destept incat sa deschida un proxy, eu vad doar ca netul merge mai ciudat - ba merge ba pica samd. In plus una din versiuni face insert in orice pagina care o livreaza in acest fel catre un PC "inocent" a unui javascript care trimite browserul victimei sa descarce de pe o pagina din fundul chinei un troian, care mai departe are grija sa aduca pe pc respectiv virusul in sine.
Sper ca am fost cat de cat explicit.
Sper ca am fost cat de cat explicit.
Eu din muntii mei...
http://www.imed.ro/forum
http://www.imed.ro/forum
-
- newbie
- Posts: 5
- Joined: Mon Oct 27, 2008 11:41 pm
Re: Detectarea virusatilor
Mda...am cam inteles in mare. Dar oricum am renuntat intre timp la Symantec Endpoint Protection pt ca probabil era prea bun in ce facea si probabil erau atatea atacuri pe netul nostru incat imi oprea traficul de tot...am stat 2 zile fara net si cum l-am dezinstalat merge netul super. Acum as vrea sa ne recomanzi daca se poate un antivirus care sa si ajute, sa nu interfereze cu actiunile de pe net (adica sa fie si sigur dar sa mearga si netul). Free sau cu licenta...tot ce conteaza e sa fie bun:). Multumesc.
- KeinEngel
- senior
- Posts: 225
- Joined: Sun Jan 09, 2005 1:50 am
Re: Detectarea virusatilor
Am intrat acum cateva zile pe site-ul Vodafone sa ma uit de un abonament si vad in status bar la Opera ca se conecteaza la do.qwertyy.cn
Am pornit Ethereal si am intrat inapoi pe vodafone.ro. Aparent nu face asta la toate site-urile, vf.ro e primul la care am observat. In captura gasesc asta:
http://engel.misalpina.net/ethereal.png - vezi al 5lea rand albastru
Buun, trag fisierul do.js si tot ce-nteleg din el e ca deschide un iframe cu do.htm, asa ca trag si fisierul ala:
http://engel.misalpina.net/script.png
Si cam pe aici m-am pierdut. Am tras toate fisierele mentionate si le-am arhivat, sunt la http://engel.misalpina.net/qwertyy.zip
Situatia s-a repetat si azi, pe un calculator de-al unei prietene care ruleaza Ubuntu, cand incercam sa intru pe google.com
Ma gandesc ca e cineva din camin care face arp spoofing, dar momentan n-am firewall instalat ca sa vad cine.
Bonus, screenshot de pe calculatorul prietenei mele (stam amandoi in U2):
http://engel.misalpina.net/kav.jpg
P.S. mesaj editat la greu pt a evita eroarea "Method Not Implemented
POST to /forum/posting.php not supported."
Am pornit Ethereal si am intrat inapoi pe vodafone.ro. Aparent nu face asta la toate site-urile, vf.ro e primul la care am observat. In captura gasesc asta:
http://engel.misalpina.net/ethereal.png - vezi al 5lea rand albastru
Buun, trag fisierul do.js si tot ce-nteleg din el e ca deschide un iframe cu do.htm, asa ca trag si fisierul ala:
http://engel.misalpina.net/script.png
Si cam pe aici m-am pierdut. Am tras toate fisierele mentionate si le-am arhivat, sunt la http://engel.misalpina.net/qwertyy.zip
Situatia s-a repetat si azi, pe un calculator de-al unei prietene care ruleaza Ubuntu, cand incercam sa intru pe google.com
Ma gandesc ca e cineva din camin care face arp spoofing, dar momentan n-am firewall instalat ca sa vad cine.
Bonus, screenshot de pe calculatorul prietenei mele (stam amandoi in U2):
http://engel.misalpina.net/kav.jpg
P.S. mesaj editat la greu pt a evita eroarea "Method Not Implemented
POST to /forum/posting.php not supported."
- Dan
- Master of Disaster
- Posts: 2869
- Joined: Sun Jul 06, 2003 1:59 am
- Location: ...on the highway to hell...
- Contact:
Re: Detectarea virusatilor
vezi mai sus ce explicam legat de detectia pe care o facem noi. Foarte curand filtrarile le vom face din switchuri - iar spooferul va fi strict pe etajul tau daca va fi.
Eu din muntii mei...
http://www.imed.ro/forum
http://www.imed.ro/forum
- KeinEngel
- senior
- Posts: 225
- Joined: Sun Jan 09, 2005 1:50 am
Re: Detectarea virusatilor
Pana una-alta, ce protectie am putea sa folosim noi, utilizatorii finali? E suficienta o intrare statica in tabelul arp pentru gateway, pe care sa o schimbam cand vin switch-urile noi?
Pentru a detecta virusatii putem face si noi ceva mai simplu? Adica celui din U2 i-am batut in seara asta la usa si i-am zis, dar l-am descoperit absolut intamplator - a aparut si ip-ul lui la arp -a, cu acelasi mac ca al gateway-ului.
Singura idee care-mi vine acum in minte e un ping sweep pe tot subnetul, timp in care inregistrez mac-urile (vezi Angry IP Scan)... Dar sigur exista si o solutie mai eleganta, nu?
Pentru a detecta virusatii putem face si noi ceva mai simplu? Adica celui din U2 i-am batut in seara asta la usa si i-am zis, dar l-am descoperit absolut intamplator - a aparut si ip-ul lui la arp -a, cu acelasi mac ca al gateway-ului.
Singura idee care-mi vine acum in minte e un ping sweep pe tot subnetul, timp in care inregistrez mac-urile (vezi Angry IP Scan)... Dar sigur exista si o solutie mai eleganta, nu?
- Dan
- Master of Disaster
- Posts: 2869
- Joined: Sun Jul 06, 2003 1:59 am
- Location: ...on the highway to hell...
- Contact:
Re: Detectarea virusatilor
un arp entry static cu switchurile noi rezolva complet situatia - apar si astea in cateva zile.
Eu din muntii mei...
http://www.imed.ro/forum
http://www.imed.ro/forum
- Melania
- addicted
- Posts: 21994
- Joined: Wed Apr 06, 2005 2:46 am
Re: Detectarea virusatilor
Botii astia sunt si ironici.
- andy gavrilescu
- cel mai imedist din 2013
- Posts: 30404
- Joined: Sun Feb 25, 2007 1:03 pm
- Location: no location
Re: Detectarea virusatilor
cum scapam de ei?
We don't have to dance
https://www.youtube.com/watch?v=8fEoWA9Vz3A
De profesie optometrist
*nu exista lentile antiaburire!!!
https://www.youtube.com/watch?v=8fEoWA9Vz3A
De profesie optometrist
*nu exista lentile antiaburire!!!
- Janos
- elder
- Posts: 1245
- Joined: Wed Apr 08, 2015 10:15 pm
Re: Detectarea virusatilor
Chiar nu exista optiunea de aprobare manuala obligatorie din partea unui moderator a noilor inregistrati?
Se poate folosi temporar pana la remedierea captchaului...
Astia sunt cateva exemple de spamboti cunoscuti (toti activand din plin pe aici):
188.126.91.58 Timothylymn leleokule@gmail.com (Sweden)
188.187.138.155 msatoloptt2015 msatoloptt2015@hotmail.com (Russia)
159.224.160.158 AndrewTax asam_mazin_1984@elpatevskiy.com (Ukraine)
E putin probabil sa fie eficient (proxy-related), dar macar se poate incerca un range IP ban pe astea.
Se poate folosi temporar pana la remedierea captchaului...
Astia sunt cateva exemple de spamboti cunoscuti (toti activand din plin pe aici):
188.126.91.58 Timothylymn leleokule@gmail.com (Sweden)
188.187.138.155 msatoloptt2015 msatoloptt2015@hotmail.com (Russia)
159.224.160.158 AndrewTax asam_mazin_1984@elpatevskiy.com (Ukraine)
E putin probabil sa fie eficient (proxy-related), dar macar se poate incerca un range IP ban pe astea.
- Phat Skidz
- dɥɐʇ sʞıpz
- Posts: 17803
- Joined: Sun Jul 06, 2003 9:51 am
Re: Detectarea virusatilor
Mulțumim pt sfaturi. Până la urmă așa am făcut. Problema e că suntem doar 2 care putem aproba manual, și niciunul dintre noi nu se poate angaja la chestia asta zi de zi. Imaginează-ți nițel, ajung la serviciu, găsesc un moment liber, deschid imedul și trebuie să stau să revizuiesc treij de cereri noi de înscriere, ca nu cumva să șterg una legitimă din greșeală.
SUNT BOȘOROGUL IMEDULUI
-
- junior
- Posts: 72
- Joined: Fri Jan 20, 2006 2:59 am
- Location: Bucharest
- Contact:
Re: Detectarea virusatilor
Dar poate se ofera cineva sa faca asta zilnic.
- andy gavrilescu
- cel mai imedist din 2013
- Posts: 30404
- Joined: Sun Feb 25, 2007 1:03 pm
- Location: no location
Re: Detectarea virusatilor
cine?
We don't have to dance
https://www.youtube.com/watch?v=8fEoWA9Vz3A
De profesie optometrist
*nu exista lentile antiaburire!!!
https://www.youtube.com/watch?v=8fEoWA9Vz3A
De profesie optometrist
*nu exista lentile antiaburire!!!
- Melania
- addicted
- Posts: 21994
- Joined: Wed Apr 06, 2005 2:46 am
Re: Detectarea virusatilor
Nu o puneti pe Muma, ar fi in stare sa baneze pe toti cei de sex masculin, sa impuna o taxa de solidaritate si sa ne promita ca nazuim spre un crez inalt, in care fiecare user va posta acelasi post conceput de Muma in care ea va fi laudata si ideile lui alimori Infierate. Avantajul e ca spre drumul spre acest deziderat diferenta intre useri si boti nu va fi sesizata.
Last edited by Melania on Tue Oct 20, 2015 5:09 pm, edited 1 time in total.
- andy gavrilescu
- cel mai imedist din 2013
- Posts: 30404
- Joined: Sun Feb 25, 2007 1:03 pm
- Location: no location
Re: Detectarea virusatilor
m-as autobana inainte sa se intample asta
We don't have to dance
https://www.youtube.com/watch?v=8fEoWA9Vz3A
De profesie optometrist
*nu exista lentile antiaburire!!!
https://www.youtube.com/watch?v=8fEoWA9Vz3A
De profesie optometrist
*nu exista lentile antiaburire!!!
- Calico
- addicted
- Posts: 42646
- Joined: Tue Mar 16, 2004 12:27 pm
Re: Detectarea virusatilor
Nu urmaream posturile botilor, nu observasem ca ma lauda.
Sa fi stiut asta, i-as fi citit mult mai atent.
Sa fi stiut asta, i-as fi citit mult mai atent.
- Melania
- addicted
- Posts: 21994
- Joined: Wed Apr 06, 2005 2:46 am
Re: Detectarea virusatilor
Ce fel de socialista esti tu daca nu stii ruseste? Nu l-ai citit pe Lenin in original inca?
- andy gavrilescu
- cel mai imedist din 2013
- Posts: 30404
- Joined: Sun Feb 25, 2007 1:03 pm
- Location: no location
Re: Detectarea virusatilor
stai sa apara pe torenti
We don't have to dance
https://www.youtube.com/watch?v=8fEoWA9Vz3A
De profesie optometrist
*nu exista lentile antiaburire!!!
https://www.youtube.com/watch?v=8fEoWA9Vz3A
De profesie optometrist
*nu exista lentile antiaburire!!!
- Janos
- elder
- Posts: 1245
- Joined: Wed Apr 08, 2015 10:15 pm
Re: Detectarea virusatilor
Melania wrote:Nu o puneti pe Muma, ar fi in stare sa baneze pe toti cei de sex masculin, sa impuna o taxa de solidaritate si sa ne promita ca nazuim spre un crez inalt, in care fiecare user va posta acelasi post conceput de Muma in care ea va fi laudata si ideile lui alimori Infierate. Avantajul e ca spre drumul spre acest deziderat diferenta intre useri si boti nu va fi sesizata.
-
- junior
- Posts: 72
- Joined: Fri Jan 20, 2006 2:59 am
- Location: Bucharest
- Contact:
Re: Detectarea virusatilor
What's wrong with you? Parca nu aveati timp... Hai lasati asa ca va anunt eu cand mai sunt probleme. Juniorul )
- andy gavrilescu
- cel mai imedist din 2013
- Posts: 30404
- Joined: Sun Feb 25, 2007 1:03 pm
- Location: no location
Re: Detectarea virusatilor
Serghei, prezinta-te!
We don't have to dance
https://www.youtube.com/watch?v=8fEoWA9Vz3A
De profesie optometrist
*nu exista lentile antiaburire!!!
https://www.youtube.com/watch?v=8fEoWA9Vz3A
De profesie optometrist
*nu exista lentile antiaburire!!!
-
- junior
- Posts: 72
- Joined: Fri Jan 20, 2006 2:59 am
- Location: Bucharest
- Contact:
Re: Detectarea virusatilor
Salut! Eu sunt Serghei si intru pe forum din cand in cand.
- Calico
- addicted
- Posts: 42646
- Joined: Tue Mar 16, 2004 12:27 pm
Re: Detectarea virusatilor
Bine ai venit, Sergei!
- andy gavrilescu
- cel mai imedist din 2013
- Posts: 30404
- Joined: Sun Feb 25, 2007 1:03 pm
- Location: no location
Re: Detectarea virusatilor
Da-ne mai multe informatii despre tine. Noi aici ne cunoastem relativ bine intre noi.
We don't have to dance
https://www.youtube.com/watch?v=8fEoWA9Vz3A
De profesie optometrist
*nu exista lentile antiaburire!!!
https://www.youtube.com/watch?v=8fEoWA9Vz3A
De profesie optometrist
*nu exista lentile antiaburire!!!
- Chingachgook
- addicted
- Posts: 23561
- Joined: Wed Nov 26, 2003 6:34 pm
- Location: in hamac
Re: Detectarea virusatilor
andy gavrilescu wrote:Da-ne mai multe informatii despre tine. Noi aici ne cunoastem relativ bine intre noi.
mai mult decat ne-am dori
bine ai venit serghei
Sunt cel mai pașnic om din lume. Dorințele mele sunt: o căsuță modestă, un pat bun si o gradina cu pomi. Iar dacă Domnul Dumnezeu ar vrea să mă facă într-adevăr fericit, as vedea spânzurați în acești pomi șase sau șapte din dușmanii mei...
- Calico
- addicted
- Posts: 42646
- Joined: Tue Mar 16, 2004 12:27 pm
Re: Detectarea virusatilor
Ser Gay
- Melania
- addicted
- Posts: 21994
- Joined: Wed Apr 06, 2005 2:46 am
Re: Detectarea virusatilor
Serghei e de peste Prut ?
-
- junior
- Posts: 72
- Joined: Fri Jan 20, 2006 2:59 am
- Location: Bucharest
- Contact:
Re: Detectarea virusatilor
Am vazut ca va cunoasteti asa bine de la filme, vise si religie. Cred ca va puteti intoarce acolo...
- alimori
- elite
- Posts: 7706
- Joined: Sat Jul 12, 2003 11:21 pm
Re: Detectarea virusatilor
Sergheiq wrote:What's wrong with you? Parca nu aveati timp... Hai lasati asa ca va anunt eu cand mai sunt probleme. Juniorul )
- andy gavrilescu
- cel mai imedist din 2013
- Posts: 30404
- Joined: Sun Feb 25, 2007 1:03 pm
- Location: no location
Re: Detectarea virusatilor
nu cred ma ca e juniorul master.
We don't have to dance
https://www.youtube.com/watch?v=8fEoWA9Vz3A
De profesie optometrist
*nu exista lentile antiaburire!!!
https://www.youtube.com/watch?v=8fEoWA9Vz3A
De profesie optometrist
*nu exista lentile antiaburire!!!
Who is online
Users browsing this forum: No registered users and 0 guests