KIDO - быстро найти заражённые машины. Хочу помочь молодому человеку, отловить в сетке из 80-90 компьютеров заражённые червём KIDO машины.Сетка в которой компы необслуживались нормально очень давно, сервиспаков нет, обновлений нет, антивирусы стоят на половине компьютеров из них много с просроченными лицензиями, на другой половине вааще антивирусов нет. Сейчас он ставит патчи от Микрософта и проверяет машины кидокиллером от Касперского, но пока ничего не нашёл. Как по быстрому найти источники заразы ? P.S. В гугл не посылать ибо уже я там. P.S.S. Сисадмин который обслуживает сеть в отпуске на море. |
вроде все правильно делает, только после проверки кидокиллером НЕОБХОДИМО проверить обычным антивирусом источник заразы - флешки и интернет, искать не надо :) я бы еще все машины отключил от сети и обратно подключал только чистые машины, вот только я не уверен, что стоит сначала патчить а потом чистить, я при условии эффективности КК сначала чистил бы полностью вместе с обычным антивирем а потом патчил бы, кстати имеет смысл поставить WSUS для этого дела (если нет лицензии то пробный на месяц Win Server Web Edition прокатит для этого дела, там можно поставить WSUS а после снести) может быть не то ищет раз ничего не нашел? |
PS ну и естественно [url]http://support.kaspersky.ru/wks6mp3/error?qid=208636215[/url] |
1-Анархия и Ярость >может быть не то ищет раз ничего не нашел? Несколько раз работающие антивирусы удаляли в папке system32 заразу KIDO, плюс по сети какие-то глюки, типа отваливающихся сетевых принтеров. Просто на один комп у него по миниму уходит минут 10-ть, а все их он будет обходить пару дней. Если бы был способ понять с какой машины льётся зараза, то было бы быстрее пролечить её, а потом спокойно наводить порядок дальше. |
"[em]компы необслуживались нормально очень давно, сервиспаков нет, обновлений нет, антивирусы стоят на половине компьютеров из них много с просроченными лицензиями, на другой половине вааще антивирусов нет[/em]" и при этом "[em]сисадмин в отпуске на море[/em]"? Мой совет: бечь оттуда не оглядываясь! Разве что предложат заменить собой отпускника на постоянной основе с солидной прибавкой к з/п. |
2-Анархия и Ярость > эту ссылку я как раз ему и переслал. 4-Ткачик >Человек 29.06 получил диплом, а 2.07 устроился на работу, бечь нельзя и некуда, надо разгребать это дерьмо. Я помогаю как могу советов, но хочется совета матёрога "вирусолова", я с такой проблемой не разу не сталкивался и даже не подозревал, что может быть настолько всё плохо... |
[quote=AleM;25839775] 2-Анархия и Ярость > эту ссылку я как раз ему и переслал. 4-Ткачик >Человек 29.06 получил диплом, а 2.07 устроился на работу, бечь нельзя и некуда, надо разгребать это дерьмо. Я помогаю как могу советов, но хочется совета матёрога "вирусолова", я с такой проблемой не разу не сталкивался и даже не подозревал, что может быть настолько всё плохо... [/quote] самый матерый вирусолов в данном случае как раз таки сайт касперского, можно несколько ускорить процесс к примеру установкой всус и устанавливать не те три заплатки а полностью все недостающие, месяцы бездействия или лени предыдущего специалиста выльются в несколько дней монотонной работы нового, в начале раюоты чел поймет необходимость планирования работы, автоматизации рутинных процессов (wsus, AD etc), отбирания прав локальных админов у пользователей, пообщается с сотрудниками, попьет чаю с плюшками, все увидят как он спас контору от краха, все не так уж и плохо, только нудно, зато надежно :) |
[quote]Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним): [url]http://www.getmyip.org[/url] [url]http://getmyip.co.uk[/url] [url]http://www.whatsmyipaddress.com[/url] [url]http://www.whatismyip.org[/url] [url]http://checkip.dyndns.org[/url] [/quote] Подымайте логи шлюза, смотрите с каких машин было обращение - значит там 99% сидит кидо. Хотя с таким админом на шлюзе не должно быть никаких логов, но вдруг... |
у кидокиллера есть режим монитора посмотрите справку командной строки |
Есть у касперского бесплатная утилита против этого вируса - kk.exe. Можно качнуть с сайта, весит около 200 килобайт. План действий такой: 1) создать список всех компьютеров в сети (имена/IP) 2) по сети скопировать утилиту kk.exe куда-нить в известное место (на диск C: например) на все компьютеры - можно сделать с помощью psexec 3) с помощью того же psexec командой AT делаешь задание в шедулере на всех компьютерах запустить kk.exe в определенное время (через 10 минут например) 4) идешь в серверную и вырубаешь свитчи из розетки После того, как kk отработает на всех компах - включить свитчи обратно и накатывать патч. Можно кстати это сделать тем же psexec'ом, если не поднят WSUS (а он у вас похоже не поднят). |
+8 [em]Если бы был способ понять с какой машины льётся зараза[/em] - режим монитора как раз для этого [em]матёрога "вирусолова"[/em] есть такой матёрище) [b]Remote Admin[/b], он нас покинул и обитает теперь на железе и "Использование программ", не знаю как насчет помочь полечить, но напугать может 100% |
[url]http://www.xaker.name/forvb/showthread.php?t=14725[/url] не помню уже... но точно были сигнатуры по нету раскиданы может и немного другие....висела очень долго при желании можно сдружить с коммутаторами и гасить порт до выяснения :) а так ... лечить лечить и лечить... :) |
хе. ещё та история была. отлавливал эту заразу в сети из 1600 машин.заняло неделю + 3 дня на проверку результатов. удалось таки найти источник. оказалось как всегда. |
а да , как говорили выше без обновлений будете воевать с ветряными лестницами... |
12-SGI >А можно подробнее процесс искоренения заразы расписать ? Может ещё какие тонкости расскажите ? |
11-701054 > за ссылочку спасибо, весьма полезно 12-SGI >[em]оказалось как всегда[/em] и что оказалось, главбух? 14-AleM > вам уже все расписали выше отключать от сети, лечить, патчить |
15-gloomymen >как всегда=это так называемые "инфоматы" (на них никто никогда не ставил обновления, антивирус жил там какой-то своей жизнью - ненастроенный, но регулярно обновляемый) + банкомат (с этой фигнёй уже сотрудники банка разбирались). 14-AleM >изучение секурных логов на котроллере домена (вирусу свойственны определённые события) + сервер касперского + kk.exe + поигрался с nmap (результат никакой, но полезно для общего развития). "инфоматы" убивались выстрелом в "голову". |
nmap в сети из 70 хостов, за 44сек. нашел 2 Likely INFECTED, и 5 possibly INFECTED отписал админам, интересно что будет по факту |
немазачто...в гугле вообще много интересного можно накопать, если очень надо...хотя для меня то больше было развлекуха...у нас тут антивирусом отдельный макафовод рулит...в принципе он и так все видит ветряными лестницами=ветряными мельницами спешил на обед аж пальцы сводило :))) |
пакетник из трех строк |
+17, по следам nmap прошлись kk, кидов - 0шт. |
Всем спасибо за конструктивные подсказки ! Уже есть положительные результаты, человек старается как может. 19-Гинзбург > Я конечно понимаю, что Вам хочется выглядеть многозначительным в глазах форумчан, но это не тот случай. Вы дали самый короткий и самый бесполезный совет... |
nmap ошибся...он по косвеным признакам смотрит по идее kk виднее конечно, но ngrep-м точно помню этих друзей ловил... :) |
вот только не помню как именно...скорее всего порт отзеркалил и на нем смотрел |
а не плин чеб я там отзеркалил-то в директной сетке...ну значит ждал пока полезет к тачке на которой ngrep чтоли...не помню в общем давно было |
короче, возвращаемся к kk в режиме монитора) |
(21) Ты знаешь человека с фамилией Гинзбург хоть единожды давшего не верное решение ? |
26-smaharbA > ну, ты бы поостерЁгся, с такими заявлениями) |
(27) та ладно, завтра в отпуск - можно ) |
nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 IP Незаражённые машины будут иметь внизу строчку: “Conficker: Likely CLEAN”, инфицированные же - “Conficker: Likely INFECTED”. Полезная фишка для обнаружения заражённых машин в своей сети. |
охренеть кокой умник) Conficker: Likely INFECTED есть, а кидо нет, что делать? |
это со станции где "Conficker: Likely INFECTED" [img]https://mail.yandex.ru/message_part/kido.JPG?hid=1.2&ids=2190000001137411641&no_disposition=y&name=kido.JPG[/img] |
[quote=gloomymen;25855184] охренеть кокой умник) Conficker: Likely INFECTED есть, а кидо нет, что делать? [/quote] молись, большой брат следит за тобой, мухаха, стелс кидо спешл фо ю! |
у себя чтоб отловить запускали кидо киллер скриптом в домене при загрузке компа |
Текущее время: 07:14. Часовой пояс GMT +3. |