12. januar 2005 - 10:41Der er
12 kommentarer og 1 løsning
Lukke for w32.sober.j@mm igennem firewall
Hvordan lukker man for en spammer igennem firewallen, jeg kan ikke finde brugeren som har virusen liggende.
Jeg har modtaget et brev fra TDC med oplysninger om at der er en pc indenfor vores net der står og spammer for vildt. Virusen skulle hedde w32.sober.j@mm .
Jeg har set på Mcafee site at man kan lukke for nogle NTP servere og DNS servere. Er der ikke noget andet som kan gøres?
Så check for om de har denne fil liggende: %System%\Macromed\Help\Media.dll
Findes den, er maskinen inficeret med w32.sober.j@mm og du kan så skrive maskinnavnet i en log et sted, vise en meddelelse til brugeren eller lukke maskinen ned.
Det er der faktisk ikke. Problemet er at den bruger smtp, hvilket er en helt lovlig protokol, så jeg kan ikek se hvorledes du skulle kunne dæmme op for den.
Jeg havde nok sendt en mail rundt, hvor jeg bad brugerne om at eksekvere en fil på en server, der testede for om filen fandtes og både skrev det i en log og informerede brugeren om at maskinen havde virus.
@if exist %System%\Macromed\Help\Media.dll goto found @exit :found @echo %username% har virus >> virus.log @echo Maskinen er inficeret med virus. Sluk omgående maskinen og kontakt support !! @pause @exit
TAk skal du have, det virker perfekt. KAn man forresten ligge ind i scriptet at alle bliver registreret i virus.log også selvom der ikke er nogen virus?
Det er ikke helt nemt at trække macaddressen ud alene, men man kan jo altid trække alle oplysningerne ud og lægge i en fil for sig, med brugernavnet som en del af navnet.
Sådan noget i denne stil ?
----------------- if exist %windir%\system32\Macromed\Help\Media.dll goto found if exist %windir%\system\Macromed\Help\Media.dll goto found echo %username% har IKKE sobig virus >> virus.log exit
:found echo %username% har sobig virus >> virus.log ipconfig /all > %username%.ipconfig.txt echo Maskinen er inficeret med virus. Sluk omgående maskinen og kontakt support !! pause exit
Loggen vil ligge i samme folder som filen eksekveres fra, og da filen ikke skal sendes ud men ligge på serveren, vil loggen og text filen også blive skrevet til serveren.
Skulle det volde problemer, kan du jo blot kunne sætte en sti på. Sådan her:
----------------- if exist %windir%\system32\Macromed\Help\Media.dll goto found if exist %windir%\system\Macromed\Help\Media.dll goto found echo %username% har IKKE sobig virus >> f:\viruscheck\virus.log exit
:found echo %username% har sobig virus >> f:\viruscheck\virus.log ipconfig /all > f:\viruscheck\%username%.ipconfig.txt echo Maskinen er inficeret med virus. Sluk omgående maskinen og kontakt support !! pause exit
Hvis man har mulighet for å kople opp med en packet sniffer eller en trafikkmonitor, på en eller annen måte, så skulle det være en enkel sak å identifisere ip på den som spammer. Det er rent praktisk mulig a sette opp en Linux bridge for trafikkmonitoring uten at dette har betydning for de eksisterende ip. Man kan jo også monitore trafikk til fra den enkelte PC med denne, og det er jo vesentlig enklere: http://www.sysinternals.com/ntw2k/source/tcpview.shtml
Jeg har iftop installeret på firewallen, synes bare ikke at kunne finde syntaxen til at sniffe smtp traffik og kun det..
Kender du noget til iftop?
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.