Conficker A, Nätverks virus, Spamhaus!

Tjena

Har nyss fått nytt jobb som PC Support men fick uppdrag att lösa ett problem de hade på nätverket, vilket var att dom fick inte skicka mail, men kan ta emot.

Problemet har dykt upp ungefär varannan vecka och problemet är att dom får ett felmeddelande som säger att "Spamhaus har blockat våran statiska IP pga att vi har en spambot på någon dator i nätverket, den har försökt ansluta till en IP adress som ligger i USA"
Spamhaus har jag aldrig hört talas om ens innan jag började här.

Har läst div guider osv, men har inte kommit fram till någon slutsats annat än "Formatera alla datorer i nätverket så löser du problemet" men det är inget jag har möjlighet att göra.

Det andra möjligheter som är skrivet är att port sniffa ut och hitta den infekterade datorn, men har inte lyckats hitta den på det sättet heller. Efter som den verkar ligga inaktiv. Står även att köra något A/V utan att veta vilken dator det är, är helt meningslöst om du inte har lika mycket tur som att vinna miljonvinsten på travet.

Kört Wireshark, Nmap(Zenmap GUI) och lite andra verktyg, men det är som att den inte finns.

Någon annan som har varit med om Conficker och lyckats lösa problemet på enklast sätt, eller har några tips är jag ytterst tacksam!

Tack på förhand
Haji

Tack för alla svar!

Problemet är att den förre IT ansvarige på min arbetsplats inte har uppdaterat våran hårdvarubrandvägg sedan December 2013 så det finns inga loggar.
Eftersom det är ett utomstående företag som måste installera en ny brandvägg (Chefen gillar inte att den gått ut, var hyfsat upprörd) Så ska det beställas en ny osv. Men problemet måste kunna lösas ändå.
Sen så verkar det som att den legat inaktiv sedan jag börjat jobba.

Alla datorer har A/V och gästnätverk ligger inte inne på det interna nätet. Dom går rakt ut.

" Remember Conficker is NOT a spambot who send mail / spam. It does NOT use port 25 "
Säger dom från spamhaus.

Sedan skrev dom också :
" Your IP was observed making connections to TCP/IP address 216.66.15.109 (a conficker sinkhole) with a destination port 80, source port (for this detection) of 61851 "

Har även läst att man ska sniffa på portar - 8800, 443, 80, 25.

Vi har varit i kontakt med de vi köpt våran mail-tjänst från, och dom säger att dom inte har sett något. Då var det även dom som "delista" oss hos Spamhaus. (Jag hade inte börjat jobba här ännu)

Så jag har uteslutit att det är mail relaterat eftersom det inte syns i någon logg hos dom.

Sen har jag en fråga till, (Påtryckning av chefen) vet ni av en bra hårdvarubrandvägg. Aldrig pysslat med det förut och har noll koll på bra märken osv.
Just nu har vi en Fortigate80 men som jag skrev tidigare har den inga licenser och företaget som installerat och haft koll på den, vill vi inte ha att göra med.

Tack på förhand.

Har suttit och kollat i brandväggen vi har och det går inte att göra nånting i den. Den har loggfunktioner som SKA vara igång men eftersom den är utan licens så loggar den inget.
Kan inte ändra någonting i någon sorts config på den. Den är helt enkelt död utan licens.

Hittade nu en kille på Wireshark Q&A som haft exakt samma problem, med anslutning mot samma IP (216.66.15.109) port 80. Han hade dock lyckats sniffa fram den infekterade datorn med hjälp av Wireshark. Som han skrev:

"I did Wireshark, turned up nothing because it was on the computer that hosts my security cameras that I never thought to monitor. Last night I gave it one more shot to watch the log on my router and low and behold I saw the sinkhole IP show up.
Other then seeing the sink hole IP there were other symtoms once I logged onto the computer. I try to go to the Malwarebytes site and TDSkiller site and it wouldn't let me. I tried other basic websites and I was fine but any security site i went to, it would't allow me on. I ended up downloading Malwarebytes from CNET and it found Conficker + 6 other trojans. LOOK AT EVERY SINGLE COMPUTER ON YOUR NETWORK EVEN THE ONES YOU DON'T SUSPECT!"

Med det så har jag bestämt mig att gå runt och köra Malwarebytes tills vi fått ny brandvägg installerad. Med tur hoppas jag kunna få en lösning!!

Jag läste att det spred sig via skit autostart ganska tidigt, så jag har redan avaktiverat det på alla datorer. Sen det som egentligen är det stora problemet är att förra killen på det här stället släppte allt när han sluta, så det finns varken loggar eller mallar för hur något är uppbyggt. Här är det också ett annat nät som är uppkopplat i server rummet (som inte heller är loggat) men som jag inte har åtkomst till eftersom det är ett annat företag som jobbar med oss. Men deras tekniker är i Tyskland.
Så det sista jag vill göra är att vara och slita i alla patch kablar och "se vad som händer" eftersom allt funkar som det ska FÖRUTOM conficker och spamhaus.

Sen när det gäller att blocka access mot den IPn och logga den enhet som försöker ansluta. Om jag blockar och försöker logga och missar den där EN gång han försöker ansluta så kommer han byta sinkhole IP och köra mot en annan. Vilket känns som att det bara blir mer jobb, dessutom i alla guider för att hitta conficker / spambot är att du absolut INTE ska blocka den IP den försöker ansluta till.

Och för att svara på frågan hur jag har gjort kolla: http://wiki.wireshark.org/CaptureSetup/Ethernet
Bra guide till hur du ska gå till väga.

Men kort och gott ny brandvägg snart påväg, just fixat en ny server istället för den gamla (Som jag tror conficker var på) som är avstängd.
Har dessutom snart gått 2 veckor sedan förra bannen från spamhaus och det har varit jämna mellanrum på ganska exakt 2 veckor mellan bannsen. (Hade bara tur att våran ekonomiansvarige hade loggat vilka datum detta hänt eftersom det är för henne jobbigast att inte kunna skicka mail.)

Satt bara på en dator som var kopplad till switchen i server rummet. Inget speciellt jag gjorde.. Kollade efter sinkhole IP men dök aldrig upp någon anslutning.. (Port 80). Säkert gjort fel, skulle inte förvåna mig alls...

Har läst den, men som jag skrev var jag ganska säker på att jag gjort fel.

Har skrivit att brandväggen inte är "aktiv" har inga funktioner som att kunna confa vad man vill blocka...

Har dock hittat en dator där så gott som allt crashar på, seg som fan och mycket skum trafik.. startat ett A/V igår som tog 2 timmar... då var den typ 50% klar.. så nånting är skumt. Dock det som är grejjen att den har inte varit igång sen i maj.. fram till nu sen i måndags.

Det är en Fortigate80, vart installerad i mars tydligen och vi har varit i kontakt med dem och dom säger att för att kunna logga och confa själv måste man köpa till licenser eftersom det är extra funktioner.

Jag har kört Nmap (Zenmap GUI) på så gott som alla datorer jag kollat igenom 1 och 1. Ska pröva med det där scriptet, dock är det ju bara för conficker C och upp, då hittar den alltså inte om det är ett Conficker A. Conficker B och upp kan man hitta genom en länk på University of Bonn.

Problemet som uppstår är att den person som får sin dator kollad har ingenstans att jobba, eftersom dom kör sina grejjer lokalt istället för på servern. Vilket jag inte förstår varför de IT killar som varit här tidigare har lagt upp på det viset. Är bara idiotiskt om du frågar mig, och du håller säkert med.

Sen som är så roligt på varenda dator är att han som installerat alla jävla datorer har inte partitionerat upp HDDn som ligger så vill jag formatera så måste jag först föra över alla filer som personer har där lokalt. Antingen till servern eller sticka osv.
Känner bara att det är FÖR mycket jobb att genomföra och jag har typ 1-4 dagar kvar just här. Sen kommer jag flytta till en annan lokal där jag kommer vara över vintern, med kanske någon dag här och resten där.
Där kommer jag dock bara vara support för kunder som kommer och behöver hjälp med telekonferanser och kanske lite server underhåll...