Confickervirusuna yoluxmuş şəbəkə
Salam.
Bildiyimiz kimi, hazırda dünyada aktiv virus kimi tanınan “conficker” virusu bir çox şirkət və fərdi şəbəkələrdə mövcuddur. Confickerin əsas təhlükəsi isə yoluxmuş kompyuter vasitəsilə müəyyən portlardan internetə çıxış alaraq başqa serverlərə reklam spam və s. göndərir, nəticədə şəbəkənin qlobal İP-si qara-siyahıya (blacklist) düşür
Problem:
Şirkətdə 1 ACDC, 1 Microsoft Exchange (ESXİ üzərində), 1 FTP və 1 Unity Server mövcuddur.
45 istifadəçi üçün mail hesabı var.
Artıq bir neçə gündür İP blackliste düşdüyü üçün digər şirkətlərə məktub göndərərkən problemlər yaşanır.
Hər düşdüyündə isə manual olaraq delist edirəm və təqribən 3-5 saat civarından sonra yenədə 2 ədəd spam listəsi qeyd olunur.
Delist etdiyim web səhifələrdə (CBL) isə İP adresimin conficker virusu ilə başqa İP-lərə müraciət etdiyi kimi qeyd olunur
Bütün şirkət daxilində olan kompyuterləri Kaspersky Virus Removal Tools la yoxlayıb virusları silmişəm. Lakin problem hələ də mövcuddur.
Sual:
Şəbəkə üzərində conficker virusunu necə tapmaq mümkündür bununla bağlı məsləhət və tövsiyyələrinizi bölüşsəz çox məmnun olardım
Baxılıb: 2139 dəfə
Cavablar ( 4 )
Fəxri bəy, daha bir yararlı üsul olaraq təklif edərdim ki mail serverin internetə çıxışı üçün ayrıca internet ip-si istifadə edin, istifadəçi kompüterləri üçün isə ayrıca internet ip-si. ancaq bu üsulun mümkünlüyü sizin internet routerinizin imkanından, istifadə etdiyiniz qoşulma növündən asılıdır.
firewall-u kompüterlərdə bağlayanda yaşadığınız probledən qaşmaq üçün isə təklif edərdim bu portları kompüterlərdə yox internet routerinizdə block edərdiniz, (əslində Elxan bəy də bunu nəzərdə tutduğunu düşünürəm) amma bu yenə də öncə qeyd etdiyim kimi, internet routerinizin imkanından, istifadə etdiyiniz qoşulma növündən asılıdır.
Salam Fəxri bəy,
Firewalldan smtp çıxışını blok edin yalnız exchange üçün aktiv saxlayın. Bununla siz kompyuterlərin spam göndərməsini qismən blok edəcəksiniz. Bu virus 139 və 445 ci portlari istifade edir. Bu portlar üzərindən çıxışı da firewall da blok edin.
Siz portlari asaqidaki yola axtara bilersiniz
http://serverfault.com/questions/6253/what-is-the-best-way-to-find-conficker-infected-pcs-in-company-networks-remotely
https://nmap.org/download.html#windows
Misal kimi men scan edib sekilde gosterirem
Siz command bolmesine misaldakindan ferqli olaraq nmap -p 445 -A -v T4 10.1.8.0/24 yazmaqla secilmis portlari da axtara bilersiniz. Port aciqdirsa ola biler ki virus bu portu istifade etsin. 139 ve 445 portlarini baqlayin
Salam Elxan bəy.
İlk öncə minnətdarlığımı bildirirəm tövsiyyə etdiyiniz nmap proqramına görə xeyli yardım etdi.
Balaca problemlər yaşandı bəzi firewall- deaktiv idi, aktiv edəndə kiçik problemlər yaşandı. Dediyiniz portları bütün kompyuterlərdə block etdim. Həm XP həm də win-7 əməliyyat sistemlərində.
Lakin bir şey də var ki, onu düşündüm ki, yazım başqaları rastına çıxanda istifadə etsin
Conficker Detection Tool 1.0.8 adlı bir proqram vasitəsilə şəbəkəni tam olaraq scan edir və confickere yoluxmuş kompyuteri aşkar edir. Məhs onun sayəsində 1 kompyuter infected şəklində qeyd olundu və registrda HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost=netsvcs modulunda normal siyahıdan əlavə 1 servis yüklənib. Hal hazırda üzərində düzəliş işləri görürəm
Mxtoolbox-a düşən 2 spam listəsini artıq delist etdim. Gerisi qalır gözləməyə əgər gün ərzində yenə də düşməsə demək ki, məhs yoluxmuş 1 kompyuterdən olduğuna əmin olacam.
Elxan bəy sizə yenə də dəyərli vaxtınızı mənə ayırdığınız üçün öz təşəkkürümü bildirirəm
Fəxri bəy, daha bir yararlı üsul olaraq təklif edərdim ki mail serverin internetə çıxışı üçün ayrıca internet ip-si istifadə edin, istifadəçi kompüterləri üçün isə ayrıca internet ip-si. ancaq bu üsulun mümkünlüyü sizin internet routerinizin imkanından, istifadə etdiyiniz qoşulma növündən asılıdır.
firewall-u kompüterlərdə bağlayanda yaşadığınız probledən qaşmaq üçün isə təklif edərdim bu portları kompüterlərdə yox internet routerinizdə block edərdiniz, (əslində Elxan bəy də bunu nəzərdə tutduğunu düşünürəm) amma bu yenə də öncə qeyd etdiyim kimi, internet routerinizin imkanından, istifadə etdiyiniz qoşulma növündən asılıdır.
Aydın bəy çox sağ olun dəyərli məlumat üçün.
Əslində mən də növbəti ay üçün routeri dəyişən kimi bütün sizin təklif etdiyiniz əməliyyatları (aktiv yayılma portları) və global İP-ni exchange serverden ayırmağı düşünürəm. Sadəcə əlimdə olan imkanlarla primitiv üsulla mübarizəyə məcburam 🙂
Artıq 1 gündür tam olaraq İP adress black listə düşmür confickerden