Форумы Серверы Суспільство
Игры Серверы VBIOS General Soft & Hard Увлечения А поговорить... Культура Полезная информация Межигір'я Чат

  2 из 2 Все<12
Пользователь Сообщение: Network Service вирус        (Тема#32077)
Tester_1 
генералиссимус
Tester_1
Возраст: 47
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13415
19.11.09 00:24 [Re: Shu®Mu®] Ukraine #654153
  • Shu®Mu® Сказано:
Мде зараза еще та http://skit-servis.narod.ru/simple7.html
Отключить 100 компов от сети не реально. Локализовать бы как-то зараженных, знать бы кто конкретно признаки.


Отключить сеть.
Лечить kkillerom KK'ом - http://support.kaspersky.ru/wks6mp3/error?qid=2086...
Поставить упомянутые там патчи.
Включить сеть.

Обнаружение - Nod32 2.7 на НЕПАТЧЕНОЙ винде зараженных видит при включенном IMON приблизительно так:


Прикрепления: imon-conficker.gif (30.27 KB) 95 Просмотр(ы)



Отредактировано Tester_1 19.11.09 00:30. Причина редактирования: Причина не указана.
Shu®Mu® 
КонтрАдмирал
Shu®Mu®
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
19.11.09 07:55 [Re: Tester_1] Ukraine #654220
Спасибо всем за инфу, ноги в руки и гогого. Если кто что еще вспомнит добавляйте.
Shu®Mu® 
КонтрАдмирал
Shu®Mu®
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
19.11.09 08:14 [Re: Shu®Mu®] Ukraine #654224
Используя утилиту psexec (из зборки pstools) удаленно копирую и запускаю примочку КК на всех машинах. На 1 из 5 уже найдена зараза.
Если кому интересно
  • цитировать:
psexec \\192.168.1.1-c kk.exe

копирует утилиту кк на комп 192.168.1.1 и запускает ее на удаленной машине и выводит консоль и результаты на ваш монитор. Можно написать файл с перечисленными ай пи или именами компьютеров и прога по списку сделает это на всех машинах. Надо иметь права администратора.
Для проверки группы компов создаем текстовой файл например name.txt перечисляем в столбик ай пи или имена запускаем командой
  • цитировать:
psexec @name.txt -c kk

в данном случае файл name.txt и kk.exe должны лежать в папке с утилитой psexec если вам не интересно наблюдать за процессом добавте ключик -d
Скачать утилиты PSTOOLS и прочитать возможности ТУТ Свежая примочка КК от касперыча ТУТ
P.S>54 компа проверено(12 офф) из 105 3 зараженные машины вылечено.
Tester_1 
генералиссимус
Tester_1
Возраст: 47
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13415
19.11.09 10:15 [Re: Shu®Mu®] Ukraine #654269
Если патчи не ставить - вылеченные сразу подцепят новый экземпляр.
Shu®Mu® 
КонтрАдмирал
Shu®Mu®
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
19.11.09 10:33 [Re: Tester_1] Ukraine #654282
  • Tester_1 Сказано:
Если патчи не ставить - вылеченные сразу подцепят новый экземпляр.


учтем

Slotos 
подполковник
Slotos
Возраст: 38
: nirvana
С нами с 17.10.02
Посты: 4025
19.11.09 10:59 [Re: Shu®Mu®] Ukraine #654294
Как вариант - склепать батник, который будет запускать с файл-сервера kk.exe, патч, kk.exe.
Shu®Mu® 
КонтрАдмирал
Shu®Mu®
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
19.11.09 11:08 [Re: Slotos] Ukraine #654301
я вот пока не знаю бутет ли патч майкрософта запускаться в консоли удаленного компьютера , но попробую, на крайняк у меня всего на данный момент заражено 6 компов из 98 проверенных из 105 компов пойду и ручками все сделаю.
Nameless 
Maximus - Lite Edition
Nameless
: 404
С нами с 02.11.05
Посты: 21233
19.11.09 12:36 [Re: Shu®Mu®] Ukraine #654382
патчи везде надо ставить полюбому
Slotos 
подполковник
Slotos
Возраст: 38
: nirvana
С нами с 17.10.02
Посты: 4025
19.11.09 12:59 [Re: Nameless] Ukraine #654397
Все апдейты МС юзают вин инсталлер. А последний в свою очередь имеет ключ для "тихой" установки.
Nameless 
Maximus - Lite Edition
Nameless
: 404
С нами с 02.11.05
Посты: 21233
19.11.09 13:01 [Re: Slotos] Ukraine #654400
кстати да
msiexec с ключиком /quiet - то, шо нужно
Deagle 
лейтенант
Deagle
: Харьков
С нами с 12.07.05
Посты: 432
19.11.09 14:29 [Re: Shu®Mu®] Ukraine #654478
если сеть с доменом, источники заразы находятся по аудиту безопасности отказов на КД
события 672, 675, 680 - айпи в строке "Адрес клиента" или имя тачки в "Исходная рабочая станция"

сами по себе эти события могут возникать, но если идет жесткий спам в журналах КД - то это он, ленинградский почтальон
Slotos 
подполковник
Slotos
Возраст: 38
: nirvana
С нами с 17.10.02
Посты: 4025
19.11.09 14:42 [Re: Deagle] Ukraine #654486
672: Authentication Ticket Granted
675: Source Security
680: Account Used for Logon by

Сообщения кербероса. Предположительно полезны для обнаружения несанкционированного скана сети, полезны для диагностики работы кербероса, абсолютно бесполезны (ибо на момент их резкого роста уже поздно) для борьбы с червями.

А работает накатка патчей, зачистка спец. тулзами, тайм лимит на количество новых TCP/UDP соединений. В идеале полностью вычищаются/проверяются сервера, на клиентские машины устанавливаются правила файрвола, блокирующие все входящие соединения не от серверов, с сервера на всех машинах запускается обновление, чистка, и восстановление доверительных политик файрвола. Хотя доверительность - та ещё фигня, доступ клиент-клиент в жёстко структурированной сети скорее зло, чем полезность.
  2 из 2 Все<12
Icon Legend Права Настройки темы
Распечатать тему


4794 Просмотры
Реклама
446 сейчас в онлайне
0 пользователей () и 0 скрытых, а также 446 гостей сейчас онлайн.
VBIOS Version 3.0 FINAL | ©1999-2024
Execution time: 0.336 seconds.   Total Queries: 56   Zlib сжатие вкл.
All times are (GMT+2.0). Current time is 20:59
Top