On Thu, Oct 23, 2003 at 08:49:56AM +0700, <<- I.R. Harahap -- Medan ->> wrote:
> *Synopsis
> saya menggunakan 1pc dgn RH9 sbg multiple Server :
> router static, gateway, proxy, Dns, Dhcp server yg mengelola client 80 pc
> Win98se
>
> pertanyaan
> 1. rekan2 sekalian, saya ingin tahu port manakah yg sering menjadi jalur
> komunikasi/ sering terinfeksi worm, trojan, dan virus ?
> jawab.
huehueueheu, baris jawabnya sudah dipersiapkan dahulu:-P
ok,jawab:
hmm, berubah-2 yah, kalo virus-2/worm-2 yang macam-2 menggunakan port
yang sama, kan nantinya mudah dong pekerjaan adminnya:-P~. Well, untuk
mengetahuinya mungkin cari-2 saja news di perushaan-2 anti virus,
tentang perilaku virus yang sedang "in" atau virus-2 sebelumnya
Misalnya, yang baru kutahu port 707 dan 153 untuk Worm blaster
>
> 2. Apakah port tsb dapat saya blok dengan Iptales pd Router ?
> jawab.
Contoh:
#Block incoming Blaster Worm traffic on ports 153 and 707
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 153 -j DROP
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 707 -j DROP
# Block infected machines from spreading Blaster Worm on 153 and 707
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 153 -j DROP
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 707 -j DROP
>
> 3. Apabila saya menginstal clamav pd router, dptkah ia dpt memfilter eth0 yg
> menerima data dr internet server ? sehingga worm, trojan dan virus yg akan
> menuju ke eth1 (distribusi ke hub jaringan dalam) akan terbendung ?
> jawab.
hmmmm, jika localhost sebagai defaultnya, jd tidak perlu pilih-2 eth0
atau eth1? CMIIW. Contoh umum dari beberapa tutorial:
#cuplikan /etc/amavis/amavisd.conf
# SMTP SERVER (INPUT) PROTOCOL SETTINGS (e.g. with Postfix, Exim v4,
# ...)
# (used when MTA is configured to pass mail to amavisd via SMTP or
# LMTP)
$inet_socket_port = 10024; # accept SMTP on this local TCP port
# (default is undef, i.e. disabled)
# multiple ports may be provided:
# $inet_socket_port = [10024, 10026,
# 10028];
# SMTP SERVER (INPUT) access control
# - do not allow free access to the amavisd SMTP port !!!
#
# when MTA is at the same host, use the following (one or the other or
# both):
$inet_socket_bind = '127.0.0.1'; # limit socket bind to loopback
interface
# (default is '127.0.0.1')
@inet_acl = qw( 127.0.0.1 ip.di.sini); # allow SMTP access only
from localhost IP
Sedangkan di MTA (disini contohnya Postfix):
#cuplikan /etc/postfix/main.cf
content_filter = smtp-amavis:[127.0.0.1]:10024
#cuplikan /etc/postfix/master.cf
smtp-amavis unix - - n - 2 smtp
-o smtp_data_done_timeout=1200
-o disable_dns_lookup=yes
127.0.0.1:10025 inet n - n - - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8,domain.di.sini
-o strict_rfc821_envelopes=yes
-o smtpd_error_sleep_time=0
-o smtpd_soft_error_limit=1001
-o smtpd_hard_error_limit=1000
tes dengan telnet ip 10024 atau port 10025, untuk memastikan bahwa sudah
jalan
Kesimpulannya, konsultasikan dengan tutorial/dokumen MTA yang
bersangkutan (semua MTA ada tutorialnya). Cara gampangannya sih, blok
semua extensi .exe,.vbs,.pif,.scr pada level MTA, karena extensi-2 tersebut sering
dikirimkan oleh worm dan menghasilkan efek yang buruk pada client
You-Know-What. Tentu saja, .exe yang legal (yang memang benar-2
dikirimkan kepada orang yang membutuhkan) juga akan diblok. Namun,
pengalaman pribadi ketika komputer banyak dikirimi oleh virus Swen, yang
selalu mengirim .exe (sehari bisa 70-an dulu, sekarang sih sedikit,
kurang dari 10, mungkin sudah banyak admin yang menyadarinya:-P), terpaksa menggunakan
cara blok di MTA-nya. Atau jika menggunakan amavis, jika amavis menemukan virus
terinfeksi, yah dengan bantuan Local Delivery Agent (seperti Procmail),
redirectkan saja ke mailbox lain, sehingga admin tidak harus susah-2
menyortir email biasa dengan email pemberitahuan dari amavis. YMMV
Pendapat pribadiku, karena virus selangkah lebih maju dari "obatnya",
maka cara bloklah yang efektif. Dengan melihat pengalaman bahwa file-2
ekstensi tsblah yang selalu dijadikan cara. Beritahu kepada pengirim
file, bahwa ekstensi-2 tsb ditolak dan mungkin dia (jika memang benar-2
berniat mengirimnya, dan bukan karena worm) bisa me-rename-nya dengan
ekstensi selain yang di blok
--
Berhenti langganan: [EMAIL PROTECTED]
Arsip dan info: http://linux.or.id/milis.php
