0
- 06.07.2012 - 09:27
|
Хочу помочь молодому человеку, отловить в сетке из 80-90 компьютеров заражённые червём KIDO машины.Сетка в которой компы необслуживались нормально очень давно, сервиспаков нет, обновлений нет, антивирусы стоят на половине компьютеров из них много с просроченными лицензиями, на другой половине вааще антивирусов нет. Сейчас он ставит патчи от Микрософта и проверяет машины кидокиллером от Касперского, но пока ничего не нашёл. Как по быстрому найти источники заразы ? P.S. В гугл не посылать ибо уже я там. P.S.S. Сисадмин который обслуживает сеть в отпуске на море. | | |
1
- 06.07.2012 - 09:50
|
вроде все правильно делает, только после проверки кидокиллером НЕОБХОДИМО проверить обычным антивирусом источник заразы - флешки и интернет, искать не надо :) я бы еще все машины отключил от сети и обратно подключал только чистые машины, вот только я не уверен, что стоит сначала патчить а потом чистить, я при условии эффективности КК сначала чистил бы полностью вместе с обычным антивирем а потом патчил бы, кстати имеет смысл поставить WSUS для этого дела (если нет лицензии то пробный на месяц Win Server Web Edition прокатит для этого дела, там можно поставить WSUS а после снести) может быть не то ищет раз ничего не нашел? | | |
2
- 06.07.2012 - 09:58
| PS ну и естественно http://support.kaspersky.ru/wks6mp3/error?qid=208636215 | | |
3
- 06.07.2012 - 09:59
|
1-Анархия и Ярость >может быть не то ищет раз ничего не нашел? Несколько раз работающие антивирусы удаляли в папке system32 заразу KIDO, плюс по сети какие-то глюки, типа отваливающихся сетевых принтеров. Просто на один комп у него по миниму уходит минут 10-ть, а все их он будет обходить пару дней. Если бы был способ понять с какой машины льётся зараза, то было бы быстрее пролечить её, а потом спокойно наводить порядок дальше. | | |
4
- 06.07.2012 - 09:59
|
"компы необслуживались нормально очень давно, сервиспаков нет, обновлений нет, антивирусы стоят на половине компьютеров из них много с просроченными лицензиями, на другой половине вааще антивирусов нет" и при этом "сисадмин в отпуске на море"? Мой совет: бечь оттуда не оглядываясь! Разве что предложат заменить собой отпускника на постоянной основе с солидной прибавкой к з/п. | | |
5
- 06.07.2012 - 10:05
|
2-Анархия и Ярость > эту ссылку я как раз ему и переслал. 4-Ткачик >Человек 29.06 получил диплом, а 2.07 устроился на работу, бечь нельзя и некуда, надо разгребать это дерьмо. Я помогаю как могу советов, но хочется совета матёрога "вирусолова", я с такой проблемой не разу не сталкивался и даже не подозревал, что может быть настолько всё плохо... | | |
6
- 06.07.2012 - 10:17
| Цитата:
| | |
7
- 06.07.2012 - 10:32
| Цитата:
Хотя с таким админом на шлюзе не должно быть никаких логов, но вдруг... | | |
8
- 06.07.2012 - 10:33
|
у кидокиллера есть режим монитора посмотрите справку командной строки | | |
9
- 06.07.2012 - 10:35
|
Есть у касперского бесплатная утилита против этого вируса - kk.exe. Можно качнуть с сайта, весит около 200 килобайт. План действий такой: 1) создать список всех компьютеров в сети (имена/IP) 2) по сети скопировать утилиту kk.exe куда-нить в известное место (на диск C: например) на все компьютеры - можно сделать с помощью psexec 3) с помощью того же psexec командой AT делаешь задание в шедулере на всех компьютерах запустить kk.exe в определенное время (через 10 минут например) 4) идешь в серверную и вырубаешь свитчи из розетки После того, как kk отработает на всех компах - включить свитчи обратно и накатывать патч. Можно кстати это сделать тем же psexec'ом, если не поднят WSUS (а он у вас похоже не поднят). | | |
10
- 06.07.2012 - 10:44
|
+8 Если бы был способ понять с какой машины льётся зараза - режим монитора как раз для этого матёрога "вирусолова" есть такой матёрище) Remote Admin, он нас покинул и обитает теперь на железе и "Использование программ", не знаю как насчет помочь полечить, но напугать может 100% | | |
11
- 06.07.2012 - 11:22
| http://www.xaker.name/forvb/showthread.php?t=14725 не помню уже... но точно были сигнатуры по нету раскиданы может и немного другие....висела очень долго при желании можно сдружить с коммутаторами и гасить порт до выяснения :) а так ... лечить лечить и лечить... :) | | |
12
- 06.07.2012 - 11:24
| хе. ещё та история была. отлавливал эту заразу в сети из 1600 машин.заняло неделю + 3 дня на проверку результатов. удалось таки найти источник. оказалось как всегда. | | |
13
- 06.07.2012 - 11:25
| а да , как говорили выше без обновлений будете воевать с ветряными лестницами... | | |
14
- 06.07.2012 - 11:30
| 12-SGI >А можно подробнее процесс искоренения заразы расписать ? Может ещё какие тонкости расскажите ? | | |
15
- 06.07.2012 - 11:34
|
11-701054 > за ссылочку спасибо, весьма полезно 12-SGI >оказалось как всегда и что оказалось, главбух? 14-AleM > вам уже все расписали выше отключать от сети, лечить, патчить | | |
16
- 06.07.2012 - 12:09
|
15-gloomymen >как всегда=это так называемые "инфоматы" (на них никто никогда не ставил обновления, антивирус жил там какой-то своей жизнью - ненастроенный, но регулярно обновляемый) + банкомат (с этой фигнёй уже сотрудники банка разбирались). 14-AleM >изучение секурных логов на котроллере домена (вирусу свойственны определённые события) + сервер касперского + kk.exe + поигрался с nmap (результат никакой, но полезно для общего развития). "инфоматы" убивались выстрелом в "голову". | | |
17
- 06.07.2012 - 12:17
|
nmap в сети из 70 хостов, за 44сек. нашел 2 Likely INFECTED, и 5 possibly INFECTED отписал админам, интересно что будет по факту | | |
18
- 06.07.2012 - 12:45
|
немазачто...в гугле вообще много интересного можно накопать, если очень надо...хотя для меня то больше было развлекуха...у нас тут антивирусом отдельный макафовод рулит...в принципе он и так все видит ветряными лестницами=ветряными мельницами спешил на обед аж пальцы сводило :))) | | |
19
- 06.07.2012 - 13:33
| пакетник из трех строк | | |
20
- 06.07.2012 - 15:47
| +17, по следам nmap прошлись kk, кидов - 0шт. | | |
21
- 06.07.2012 - 16:03
|
Всем спасибо за конструктивные подсказки ! Уже есть положительные результаты, человек старается как может. 19-Гинзбург > Я конечно понимаю, что Вам хочется выглядеть многозначительным в глазах форумчан, но это не тот случай. Вы дали самый короткий и самый бесполезный совет... | | |
22
- 06.07.2012 - 17:46
| nmap ошибся...он по косвеным признакам смотрит по идее kk виднее конечно, но ngrep-м точно помню этих друзей ловил... :) | | |
23
- 06.07.2012 - 17:48
| вот только не помню как именно...скорее всего порт отзеркалил и на нем смотрел | | |
24
- 06.07.2012 - 17:50
| а не плин чеб я там отзеркалил-то в директной сетке...ну значит ждал пока полезет к тачке на которой ngrep чтоли...не помню в общем давно было | | |
25
- 06.07.2012 - 18:49
| короче, возвращаемся к kk в режиме монитора) | | |
26
- 06.07.2012 - 22:27
| (21) Ты знаешь человека с фамилией Гинзбург хоть единожды давшего не верное решение ? | | |
27
- 06.07.2012 - 22:35
| 26-smaharbA > ну, ты бы поостерЁгся, с такими заявлениями) | | |
28
- 06.07.2012 - 22:40
| (27) та ладно, завтра в отпуск - можно ) | | |
29
- 07.07.2012 - 10:59
|
nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 IP Незаражённые машины будут иметь внизу строчку: “Conficker: Likely CLEAN”, инфицированные же - “Conficker: Likely INFECTED”. Полезная фишка для обнаружения заражённых машин в своей сети. | | |
30
- 07.07.2012 - 11:02
|
охренеть кокой умник) Conficker: Likely INFECTED есть, а кидо нет, что делать? | | |
31
- 07.07.2012 - 11:29
|
это со станции где "Conficker: Likely INFECTED" | | |
32
- 07.07.2012 - 22:40
| молись, большой брат следит за тобой, мухаха, стелс кидо спешл фо ю! | | |
33
- 08.07.2012 - 21:22
| у себя чтоб отловить запускали кидо киллер скриптом в домене при загрузке компа | |
| Интернет-форум Краснодарского края и Краснодара |