Conficker A, Nätverks virus, Spamhaus!

Trädvy Permalänk
Medlem
Registrerad
Okt 2014

Conficker A, Nätverks virus, Spamhaus!

Tjena

Har nyss fått nytt jobb som PC Support men fick uppdrag att lösa ett problem de hade på nätverket, vilket var att dom fick inte skicka mail, men kan ta emot.

Problemet har dykt upp ungefär varannan vecka och problemet är att dom får ett felmeddelande som säger att "Spamhaus har blockat våran statiska IP pga att vi har en spambot på någon dator i nätverket, den har försökt ansluta till en IP adress som ligger i USA"
Spamhaus har jag aldrig hört talas om ens innan jag började här.

Har läst div guider osv, men har inte kommit fram till någon slutsats annat än "Formatera alla datorer i nätverket så löser du problemet" men det är inget jag har möjlighet att göra.

Det andra möjligheter som är skrivet är att port sniffa ut och hitta den infekterade datorn, men har inte lyckats hitta den på det sättet heller. Efter som den verkar ligga inaktiv. Står även att köra något A/V utan att veta vilken dator det är, är helt meningslöst om du inte har lika mycket tur som att vinna miljonvinsten på travet.

Kört Wireshark, Nmap(Zenmap GUI) och lite andra verktyg, men det är som att den inte finns.

Någon annan som har varit med om Conficker och lyckats lösa problemet på enklast sätt, eller har några tips är jag ytterst tacksam!

Tack på förhand
Haji

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Jag skulle se till att INGEN dator får skicka mail via port 25 rakt ut, vilket brukar vara den största anledningen till detta. Använder de en lösning som kräver SMTP så kan du använder en server (eller i värsta fall en dator) som relayer och patcha upp denna (kanske med spamassassin eller liknande) så att du får kontroll på all utgående mail.
(Ja, det kan gå över port 587 också).

Vi har på mitt jobb en bra relayer och använder det för alla saker som ska skicka mail. Då fångar vi upp sådana här mail som får en bannad från många mailservrar.

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Hmm, jag ser att det inte nödvändigtvis behöver vara mail-relaterat, men då blir det genaste svårare att lösa. Förmodligen en bättre brandvägg med loggning?

Trädvy Permalänk
Medlem
Registrerad
Mar 2012

Spamhaus är ett företag som jobbar med att sammanställa listor på ip-adresser som är välkända "spammare". Dessa listor används sedan i mail-servrar för att blocka spammande ip-adresser.
http://en.wikipedia.org/wiki/The_Spamhaus_Project

Hur ser mail-lösningen ut? Kör ni smtp direkt ut eller går det via någon relay? Finns det möjlighet att kika i loggarna i server / relay?

Håller med Talisker00 om att steg ett är att blocka port 25/587 för samtliga PC och tvinga dem att skicka via en relay. Därefter kollar du loggarna och hittar på så sett ganska lätt vilka som skickar en massa spam.

Köper ni mail-tjänsten av någon bör de kunna kolla mail-loggarna.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003

Du kan börja med att kontrollera att ALLA datorer har virus skydd. Sedan ska du separera, om ni har, gästnätverket från LAN sidan och LAN sidan externa IP adress.

Sedan är det som någon sa, övervaka i brandväggen

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Registrerad
Okt 2014

Tack för alla svar!

Problemet är att den förre IT ansvarige på min arbetsplats inte har uppdaterat våran hårdvarubrandvägg sedan December 2013 så det finns inga loggar.
Eftersom det är ett utomstående företag som måste installera en ny brandvägg (Chefen gillar inte att den gått ut, var hyfsat upprörd) Så ska det beställas en ny osv. Men problemet måste kunna lösas ändå.
Sen så verkar det som att den legat inaktiv sedan jag börjat jobba.

Alla datorer har A/V och gästnätverk ligger inte inne på det interna nätet. Dom går rakt ut.

" Remember Conficker is NOT a spambot who send mail / spam. It does NOT use port 25 "
Säger dom från spamhaus.

Sedan skrev dom också :
" Your IP was observed making connections to TCP/IP address 216.66.15.109 (a conficker sinkhole) with a destination port 80, source port (for this detection) of 61851 "

Har även läst att man ska sniffa på portar - 8800, 443, 80, 25.

Vi har varit i kontakt med de vi köpt våran mail-tjänst från, och dom säger att dom inte har sett något. Då var det även dom som "delista" oss hos Spamhaus. (Jag hade inte börjat jobba här ännu)

Så jag har uteslutit att det är mail relaterat eftersom det inte syns i någon logg hos dom.

Sen har jag en fråga till, (Påtryckning av chefen) vet ni av en bra hårdvarubrandvägg. Aldrig pysslat med det förut och har noll koll på bra märken osv.
Just nu har vi en Fortigate80 men som jag skrev tidigare har den inga licenser och företaget som installerat och haft koll på den, vill vi inte ha att göra med.

Tack på förhand.

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Det känns lite konstigt att ni blir bannade för att öppna vanlig http mot den där IP adressen.

Helt klart är det bästa att ha en brandvägg som loggar, för då hade ni lätt kunnat se vilken dator det är som gör sig skyldig till anropet. En brandvägg hade givetvis också kunnat droppa specifikt till den IP adressen på port 80 samtidigt som den loggar, men jag antar att det finns fler adresser som man måste hålla utkik efter.

Ska man börja blocka port 80 på det där sättet så måste man på lite andra saker. Antingen en proxy, en brandvägg med någon form av web content filtering eller liknande. En squid är rätt enkel att sätta upp som en transparent web proxy/cache, men det börjar i sådana fall springa iväg i tid och resurser, så jag är ändå inne på att logga i brandväggen för det kräver absolut minst jobb. Krävs det exempelvis en syslog-tjänst igång, så är det ändå någonting du kan ha nytta utav till ni har en ny brandvägg på plats.

Brandväggen borde väl ändå kunna logga även om den inte är uppdaterad??? De jag har kommit i kontakt med gör i alla fall det.

Nåja, nu ska jag precis sätta upp en brandvägg som jag sålde igår:)

Trädvy Permalänk
Medlem
Registrerad
Okt 2014

Har suttit och kollat i brandväggen vi har och det går inte att göra nånting i den. Den har loggfunktioner som SKA vara igång men eftersom den är utan licens så loggar den inget.
Kan inte ändra någonting i någon sorts config på den. Den är helt enkelt död utan licens.

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av Hajimechimu:

Har suttit och kollat i brandväggen vi har och det går inte att göra nånting i den. Den har loggfunktioner som SKA vara igång men eftersom den är utan licens så loggar den inget.
Kan inte ändra någonting i någon sorts config på den. Den är helt enkelt död utan licens.

Ahh, ok. Då förstår jag. Då är det inte mycket att göra:(

Trädvy Permalänk
Medlem
Registrerad
Okt 2014

Hittade nu en kille på Wireshark Q&A som haft exakt samma problem, med anslutning mot samma IP (216.66.15.109) port 80. Han hade dock lyckats sniffa fram den infekterade datorn med hjälp av Wireshark. Som han skrev:

"I did Wireshark, turned up nothing because it was on the computer that hosts my security cameras that I never thought to monitor. Last night I gave it one more shot to watch the log on my router and low and behold I saw the sinkhole IP show up.
Other then seeing the sink hole IP there were other symtoms once I logged onto the computer. I try to go to the Malwarebytes site and TDSkiller site and it wouldn't let me. I tried other basic websites and I was fine but any security site i went to, it would't allow me on. I ended up downloading Malwarebytes from CNET and it found Conficker + 6 other trojans. LOOK AT EVERY SINGLE COMPUTER ON YOUR NETWORK EVEN THE ONES YOU DON'T SUSPECT!"

Med det så har jag bestämt mig att gå runt och köra Malwarebytes tills vi fått ny brandvägg installerad. Med tur hoppas jag kunna få en lösning!!

Trädvy Permalänk
Medlem
Plats
Kristinehamn
Registrerad
Aug 2014

Conficker infekterar alla Windowssystem upp till och med 6.1 beta. Finns patcher att ladda hem från M$ hemsida som fungerar sådär men behjälpligt.

Problemet med Conficker är att den lätt sprider sig till alla datorer Win <=6.1 beta som den kommer åt, speciellt de på samma intranät. En oaktsam användare kan alltså ställa till så ni fått ett enormt problem att lösa med tanke på dess spridningsförmåga. Hade själv detta problem två gånger. Den enda lösningen var att ladda hem patchen (försvårar för Conficker att sprida sig) och Malicious software Removal Tool, isolera alla datorer <= 6.1 beta, köra dessa på dem samt starta om dem innan de kopplas tillbaka till nätet. Var noga med att isolera och rensa ALLA berörda datorer för skulle någon glömmas bort kommer problemet garanterat tillbaka, även till patchade datorer. Förbjud användning av USBminnen eftersom den smittar även dessa och aktiveras av skräpfunktionen Autostart.

Anledningen till att jag fick detta problem en andra gång var att jag hade missat en enda dator. Conficker hade därefter spridit sig och infekterat ned de andra datorerna igen och eftersom det ligger i bakgrunden upptäckte jag det inte förrän flera månader efter nedsmittningen. Typiskt kännetecken är att svchost buggar ur och kraschar. Ser jag minsta fel på denna process igen kommer jag direkt misstänka Conficker.

M$ har inte fixat ordentliga patchningar till berörda OS vilket gör det till ett jätteproblem att bli av med om man fått in det. Inte heller virusprogrammen verkar som att de kan med att ta bort Conficker på ett riktigt sätt.

Jag skulle om jag vore dig ta detta som en möjlighet att förespråka en övergång till Linux i nätverket. Då kommer du få ett betydligt lättare underhåll och mindre felsökning i framtiden. Dessutom om det skulle komma ett virus likt Conficker fast på Linuxsidan kan du räkna med att det kommer finnas fungerande patcher tillgängliga inom kort. Använd inte M$ när de beter sig så som de gjort. Jag har aldrig varit med på maken till dåligt underhåll om jag skall uttrycka mig som jag tycker.

Kör Linux - Yes! We are the 2 percent! And growing... Föreslå inte ens något Windows-exklusivt om jag inte specifikt frågar efter något till Win.
2600K - 18GB RAM - 1TB HDD - 64GB SSD - GTX 650 Ti Boost
Minnesvärda trådar: 1, 2

Trädvy Permalänk
Medlem
Registrerad
Mar 2012
Skrivet av Hajimechimu:

Sedan skrev dom också :
" Your IP was observed making connections to TCP/IP address 216.66.15.109 (a conficker sinkhole) with a destination port 80, source port (for this detection) of 61851 "

Skrivet av Hajimechimu:

Hittade nu en kille på Wireshark Q&A som haft exakt samma problem, med anslutning mot samma IP (216.66.15.109) port 80. Han hade dock lyckats sniffa fram den infekterade datorn med hjälp av Wireshark

Nu när du har dest-ip så är det en smal sak att hitta datorn mha av Wireshark, bara att sätta upp med capturefilter "host 216.66.15.109".
Kanske en dum fråga men hur kopplade du in din sniffer-PC? Hade du en switch som körde port-mirror eller hur säkerställde du att du fick tag i all unicast?

Trädvy Permalänk
Medlem
Registrerad
Apr 2013
Skrivet av Talisker00:

Det känns lite konstigt att ni blir bannade för att öppna vanlig http mot den där IP adressen.

Helt klart är det bästa att ha en brandvägg som loggar, för då hade ni lätt kunnat se vilken dator det är som gör sig skyldig till anropet. En brandvägg hade givetvis också kunnat droppa specifikt till den IP adressen på port 80 samtidigt som den loggar, men jag antar att det finns fler adresser som man måste hålla utkik efter.

Ska man börja blocka port 80 på det där sättet så måste man på lite andra saker. Antingen en proxy, en brandvägg med någon form av web content filtering eller liknande. En squid är rätt enkel att sätta upp som en transparent web proxy/cache, men det börjar i sådana fall springa iväg i tid och resurser, så jag är ändå inne på att logga i brandväggen för det kräver absolut minst jobb. Krävs det exempelvis en syslog-tjänst igång, så är det ändå någonting du kan ha nytta utav till ni har en ny brandvägg på plats.

Brandväggen borde väl ändå kunna logga även om den inte är uppdaterad??? De jag har kommit i kontakt med gör i alla fall det.

Nåja, nu ska jag precis sätta upp en brandvägg som jag sålde igår:)

Nu var det förvisso en anslutning till http-porten och inte nödvändigtvis http fast den kan säkert köra http-like då det är lättare att ta sig förbi företagsbrandväggar och proxyn om dom tror det är http och inte kollar innehållet.
Sen ser jag inte det konstiga att man blir bannad för anslutning till en ip-adress som är uppsatt specifikt för att fånga denna typ av hot och där det inte finns något legitimt skäl för en anslutning.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003

Blocka access mot den IP adressen. Logga den enhet som frågar efter den adressen

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Registrerad
Okt 2014
Skrivet av Erwya:

Conficker infekterar alla Windowssystem upp till och med 6.1 beta. Finns patcher att ladda hem från M$ hemsida som fungerar sådär men behjälpligt.

Problemet med Conficker är att den lätt sprider sig till alla datorer Win <=6.1 beta som den kommer åt, speciellt de på samma intranät. En oaktsam användare kan alltså ställa till så ni fått ett enormt problem att lösa med tanke på dess spridningsförmåga. Hade själv detta problem två gånger. Den enda lösningen var att ladda hem patchen (försvårar för Conficker att sprida sig) och Malicious software Removal Tool, isolera alla datorer <= 6.1 beta, köra dessa på dem samt starta om dem innan de kopplas tillbaka till nätet. Var noga med att isolera och rensa ALLA berörda datorer för skulle någon glömmas bort kommer problemet garanterat tillbaka, även till patchade datorer. Förbjud användning av USBminnen eftersom den smittar även dessa och aktiveras av skräpfunktionen Autostart.

Anledningen till att jag fick detta problem en andra gång var att jag hade missat en enda dator. Conficker hade därefter spridit sig och infekterat ned de andra datorerna igen och eftersom det ligger i bakgrunden upptäckte jag det inte förrän flera månader efter nedsmittningen. Typiskt kännetecken är att svchost buggar ur och kraschar. Ser jag minsta fel på denna process igen kommer jag direkt misstänka Conficker.

M$ har inte fixat ordentliga patchningar till berörda OS vilket gör det till ett jätteproblem att bli av med om man fått in det. Inte heller virusprogrammen verkar som att de kan med att ta bort Conficker på ett riktigt sätt.

Jag skulle om jag vore dig ta detta som en möjlighet att förespråka en övergång till Linux i nätverket. Då kommer du få ett betydligt lättare underhåll och mindre felsökning i framtiden. Dessutom om det skulle komma ett virus likt Conficker fast på Linuxsidan kan du räkna med att det kommer finnas fungerande patcher tillgängliga inom kort. Använd inte M$ när de beter sig så som de gjort. Jag har aldrig varit med på maken till dåligt underhåll om jag skall uttrycka mig som jag tycker.

Jag läste att det spred sig via skit autostart ganska tidigt, så jag har redan avaktiverat det på alla datorer. Sen det som egentligen är det stora problemet är att förra killen på det här stället släppte allt när han sluta, så det finns varken loggar eller mallar för hur något är uppbyggt. Här är det också ett annat nät som är uppkopplat i server rummet (som inte heller är loggat) men som jag inte har åtkomst till eftersom det är ett annat företag som jobbar med oss. Men deras tekniker är i Tyskland.
Så det sista jag vill göra är att vara och slita i alla patch kablar och "se vad som händer" eftersom allt funkar som det ska FÖRUTOM conficker och spamhaus.

Sen när det gäller att blocka access mot den IPn och logga den enhet som försöker ansluta. Om jag blockar och försöker logga och missar den där EN gång han försöker ansluta så kommer han byta sinkhole IP och köra mot en annan. Vilket känns som att det bara blir mer jobb, dessutom i alla guider för att hitta conficker / spambot är att du absolut INTE ska blocka den IP den försöker ansluta till.

Och för att svara på frågan hur jag har gjort kolla: http://wiki.wireshark.org/CaptureSetup/Ethernet
Bra guide till hur du ska gå till väga.

Men kort och gott ny brandvägg snart påväg, just fixat en ny server istället för den gamla (Som jag tror conficker var på) som är avstängd.
Har dessutom snart gått 2 veckor sedan förra bannen från spamhaus och det har varit jämna mellanrum på ganska exakt 2 veckor mellan bannsen. (Hade bara tur att våran ekonomiansvarige hade loggat vilka datum detta hänt eftersom det är för henne jobbigast att inte kunna skicka mail.)

Trädvy Permalänk
Medlem
Registrerad
Mar 2012
Skrivet av Hajimechimu:

Och för att svara på frågan hur jag har gjort kolla: http://wiki.wireshark.org/CaptureSetup/Ethernet
Bra guide till hur du ska gå till väga.

Jag vet hur jag brukar göra - jag undrade hur du gjorde.

Artikeln beskriver beskriver ett antal metoder för att fånga unicast över ett switchat nätverk.
Vilken metod använde du och är du säker på att du lyckades?
Det borde nämligen inte vara några som helst problem att sniffa upp rätt paket och det faktum att du inte lyckats tyder antingen på att det inte fanns något paket att sniffa eller att du gjorde något fel när du sniffade.

Trädvy Permalänk
Medlem
Registrerad
Okt 2014
Skrivet av madtop:

Jag vet hur jag brukar göra - jag undrade hur du gjorde.

Artikeln beskriver beskriver ett antal metoder för att fånga unicast över ett switchat nätverk.
Vilken metod använde du och är du säker på att du lyckades?
Det borde nämligen inte vara några som helst problem att sniffa upp rätt paket och det faktum att du inte lyckats tyder antingen på att det inte fanns något paket att sniffa eller att du gjorde något fel när du sniffade.

Satt bara på en dator som var kopplad till switchen i server rummet. Inget speciellt jag gjorde.. Kollade efter sinkhole IP men dök aldrig upp någon anslutning.. (Port 80). Säkert gjort fel, skulle inte förvåna mig alls...

Trädvy Permalänk
Medlem
Registrerad
Apr 2013
Skrivet av Hajimechimu:

Satt bara på en dator som var kopplad till switchen i server rummet. Inget speciellt jag gjorde.. Kollade efter sinkhole IP men dök aldrig upp någon anslutning.. (Port 80). Säkert gjort fel, skulle inte förvåna mig alls...

Sitter du på random dator kopplad i en switch utan att göra något särskilt så ser du trafik som är broadcast eller riktade till dig inget annat så det är lite som att sätta sig 1 km in på en skogsväg och hoppas att se vad som passerar på motorvägen.

Trädvy Permalänk
Medlem
Plats
Mitt i Skåne
Registrerad
Apr 2002

Blockera port 25 utgående i brandväggen under en dag. Kolla vilka klienter som blir blockade. Voilá.

Define R5 Titanium | EVGA SuperNOVA 750 G2 | ASRock Z77 Extreme4 | Intel i5 3750k @ 4Ghz | Cooler Master 212 Evo | 16GB Corsair XMS3 PC12800 | Gigabyte GTX1070 | Intel SSD 530 120Gb | Asus VG248QE | Win 7 Ultimate x64

Trädvy Permalänk
Medlem
Registrerad
Mar 2012
Skrivet av Hajimechimu:

Satt bara på en dator som var kopplad till switchen i server rummet. Inget speciellt jag gjorde.. Kollade efter sinkhole IP men dök aldrig upp någon anslutning.. (Port 80). Säkert gjort fel, skulle inte förvåna mig alls...

Det funkar inte, då ser du bara trafik till/från din PC's mac-adress samt broadcast.
Föreslår att du läser kap4 i artikeln som du själv länkade till

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Precis. Läst om "Capture using a monitor mode of the switch". I min värld heter det mirror port. Man ställer in en port på switchen att skicka allt som en annan port får. Då, och endast då, får du trafik som inte är riktat till din dator specifikt eller skickat som broadcast.

En switch håller alltså reda på en CAM-tabell. En lista över vilken port som varje MAC-adress (i princip nätverkskort) finns bakom. När du ska skicka trafik till din default gateway så vet alltså switchen MAC-adressen till den brandväggen och kommer bara att skicka trafiken specifikt till den.

En parentes, men den är irrelevant då wireshark löser det åt dig. Din dators nätverkskort kommer ändå inte att ta emot trafiken om inte det sätts i "promiscuous mode". Annars lyssnar även det bara på trafik mot dess MAC-adress och broadcast precis som switchen. Nu ställer wireshark ditt nätverkskort i promiscuous mode så den biten slipper du.

Trädvy Permalänk
Medlem
Registrerad
Okt 2014
Skrivet av madtop:

Det funkar inte, då ser du bara trafik till/från din PC's mac-adress samt broadcast.
Föreslår att du läser kap4 i artikeln som du själv länkade till

Har läst den, men som jag skrev var jag ganska säker på att jag gjort fel.

Skrivet av PointMan:

Blockera port 25 utgående i brandväggen under en dag. Kolla vilka klienter som blir blockade. Voilá.

Har skrivit att brandväggen inte är "aktiv" har inga funktioner som att kunna confa vad man vill blocka...

Har dock hittat en dator där så gott som allt crashar på, seg som fan och mycket skum trafik.. startat ett A/V igår som tog 2 timmar... då var den typ 50% klar.. så nånting är skumt. Dock det som är grejjen att den har inte varit igång sen i maj.. fram till nu sen i måndags.

Trädvy Permalänk
Medlem
Plats
Mitt i Skåne
Registrerad
Apr 2002
Skrivet av Hajimechimu:

Har skrivit att brandväggen inte är "aktiv" har inga funktioner som att kunna confa vad man vill blocka...

Eh... ursäkta?! Vänligen upplys mig i vad det är för typ av brandvägg? Vad gör den exakt? Blockerar lite random vilken trafik som ska få komma ut/in?

Define R5 Titanium | EVGA SuperNOVA 750 G2 | ASRock Z77 Extreme4 | Intel i5 3750k @ 4Ghz | Cooler Master 212 Evo | 16GB Corsair XMS3 PC12800 | Gigabyte GTX1070 | Intel SSD 530 120Gb | Asus VG248QE | Win 7 Ultimate x64

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av PointMan:

Eh... ursäkta?! Vänligen upplys mig i vad det är för typ av brandvägg? Vad gör den exakt? Blockerar lite random vilken trafik som ska få komma ut/in?

Det står längre upp i tråden. Subscription på den har gått ut och då går det inte att göra konfigurationsförändringar eller logga trafik.
Klart irriterande beteende om du frågar mig och jag vet inte vilken brandväggstillverkare som agerar så...

Trädvy Permalänk
Medlem
Registrerad
Aug 2007

Ditt problem som du beskriver det är: Du hittar inte vilken/vilka dator på nätverket som har Conflicker. Om du vill lösa problemet ska du läsa vidare här.

Conflicker använder inte samma portar utan alternerar dessa, två TCP och två UDP.

Är du bekant med verktyget nmap? Om inte, så rekommenderar jag dig att ta några minuter och läsa på. Det är en väldigt välutvecklad nätverksscanner med ett flertal funktioner.

Den funktion du ska använda finns det ett script för.

Läs här: http://nmap.org/nsedoc/scripts/p2p-conficker.html

Ladda ner scriptet, placera det i rätt folder efter din filstruktur.

Starta nmap och kör det genom hela ert lokala nätverk. Isolera sedan de adresser som flaggas som smittade. Gör som ovanstående och patcha med Conflicker patch samt Microsoft Malware Removal tool eller valfri annan metod.

VIKTIGT: Anslut inte dessa till nätverket fören du vet att nätverket är rent. Kör nmap flera gånger för att försäkra dig om att det är OK. Anslut en och en och inte flera samtidigt även om de är städade.

Det tar tid men man får fint när man ser resultat

Lycka till!

MSI Z77A-S03 Inet Ed. | i5 2500k @ 4.2Ghz | 2x Intel 520 SSD + 3TB Lagring | 8GB Corsair XMS3 | ASUS 760 DCII 2GB OC | EVGA Supernova G2 750W Gold+ | Fractal Design R4 | Phantek PH-TC14PE | Citera eller Pinga mig för svar!

Trädvy Permalänk
Medlem
Registrerad
Okt 2014
Skrivet av PointMan:

Eh... ursäkta?! Vänligen upplys mig i vad det är för typ av brandvägg? Vad gör den exakt? Blockerar lite random vilken trafik som ska få komma ut/in?

Det är en Fortigate80, vart installerad i mars tydligen och vi har varit i kontakt med dem och dom säger att för att kunna logga och confa själv måste man köpa till licenser eftersom det är extra funktioner.

Skrivet av xtQ:

Ditt problem som du beskriver det är: Du hittar inte vilken/vilka dator på nätverket som har Conflicker. Om du vill lösa problemet ska du läsa vidare här.

Conflicker använder inte samma portar utan alternerar dessa, två TCP och två UDP.

Är du bekant med verktyget nmap? Om inte, så rekommenderar jag dig att ta några minuter och läsa på. Det är en väldigt välutvecklad nätverksscanner med ett flertal funktioner.

Den funktion du ska använda finns det ett script för.

Läs här: http://nmap.org/nsedoc/scripts/p2p-conficker.html

Ladda ner scriptet, placera det i rätt folder efter din filstruktur.

Starta nmap och kör det genom hela ert lokala nätverk. Isolera sedan de adresser som flaggas som smittade. Gör som ovanstående och patcha med Conflicker patch samt Microsoft Malware Removal tool eller valfri annan metod.

VIKTIGT: Anslut inte dessa till nätverket fören du vet att nätverket är rent. Kör nmap flera gånger för att försäkra dig om att det är OK. Anslut en och en och inte flera samtidigt även om de är städade.

Det tar tid men man får fint när man ser resultat

Lycka till!

Jag har kört Nmap (Zenmap GUI) på så gott som alla datorer jag kollat igenom 1 och 1. Ska pröva med det där scriptet, dock är det ju bara för conficker C och upp, då hittar den alltså inte om det är ett Conficker A. Conficker B och upp kan man hitta genom en länk på University of Bonn.

Problemet som uppstår är att den person som får sin dator kollad har ingenstans att jobba, eftersom dom kör sina grejjer lokalt istället för på servern. Vilket jag inte förstår varför de IT killar som varit här tidigare har lagt upp på det viset. Är bara idiotiskt om du frågar mig, och du håller säkert med.

Sen som är så roligt på varenda dator är att han som installerat alla jävla datorer har inte partitionerat upp HDDn som ligger så vill jag formatera så måste jag först föra över alla filer som personer har där lokalt. Antingen till servern eller sticka osv.
Känner bara att det är FÖR mycket jobb att genomföra och jag har typ 1-4 dagar kvar just här. Sen kommer jag flytta till en annan lokal där jag kommer vara över vintern, med kanske någon dag här och resten där.
Där kommer jag dock bara vara support för kunder som kommer och behöver hjälp med telekonferanser och kanske lite server underhåll...