On Fri, 2004-05-21 at 17:41 +0300, Constantin Gavrilescu wrote:
> Mi-am gasit windowsurile din retea pline de virusi si troieni.
>
> Nu cunosc foarte bine cum se face cu troienii, nu m-am ocupat niciodata.
> Ceea ce cunosc este ce-am citit la http://grc.com/dos/grcdos.htm .
In 99% din cazuri, nu au legatura.
> Si
> mai stiu ca sunt niste troieni prin retea, care se propaga automat prin
> vulnerabilitatile windows-ului, apoi se conecteaza la un server irc
> pentru a raporta masterului.
>
> Deci cineva se face cu zombies de la mine din retea. Un calculator l-am
> analizat mai atent, e virusat cu o varianta de Gaobot (asa raporteaza
> nortonul 2004), si se conecteaza pe undernet la #xkiller si #culboy.
> Unul dintre canale e protejat cu o parola pe care am aflat-o si e un
> cuvint pur romanesc, deci pustiul killer de-al nostru.
>
> Azi am mai pus un tcpdump pe server si inca citeva statii se conecteaza
> la canalele #spam #spam1 #spam2, pina la 4, nu stiu pe ce retea de irc.
> Situatia e destul de grava, zic eu. Atit imi mai trebuie, sa ajung spamhost.
>
> Ce trebuie sa fac pentru:
>
> 1. Sa-l prind pe cel care face asta... poate e din retea.
>
tcpdump / av scan could be your friends
> 2. Evitarea pe viitor a acestor situatii.
> a. Filtrarea portului 25? Poate, pentru ca o sa-i las sa faca relay
> prin serverul local, pe care o sa pun antivirus si limit de mailuri pe zi.
e o solutie. nu e unica si nici suficienta.
> b. Filtrarea portului 6667 si 7000?? Cum sa fac aici ca sa ii mai las
> pe oameni sa mai "iasa pe mirc"?
>
Sa ii mai lasi sau sa NU ii mai lasi?
Netfilter.org in orice caz, ar fi un punct de plecare.
Sa recapitulam:
1. Izolarea retelei infectate (preventiv, a intregii retele,
fiecare sistem in parte):
* deconectarea de la retea (cabluri, antene, card-uri
pcmcia, etc)
* interzicerea transferului de date (cd/dvd, usb, floppy,
hdd, etc)
2. Dezinfectia / restaurarea datelor
* folosirea unui sistem read-only (Boot/Rescue CD sau
asemanator) ce poate scana si curata sistemele infectate
* restore from backup
3. Update-ul sistemelor
* aplicarea ultimelelor patch-uri de securitate pe toate
sistemele
* ideal, folosirea unui tool centralizat de patch
deployment
4. Audit
* verificarea operatiilor efectuate anterior
* verificarea functionarii in conditii normale a
sistemelor
* verificarea functionarii in conditii normale a retelei
5. Politica de securitate
* consultanta
* design
* implementare
* training & educare a user-ilor
* enforcement
* periodic audit
Solutii de avut in vedere:
1. AV/AS la nivel gateway + statie (unde + inseamna SI nu SAU)
2. Automatic & centralized patch/update deployment
3. Firewall la nivel gateway + statie (unde + inseamna SI nu SAU)
4. Host/Network IDS/IPS
5. Reporting/Monitoring
Nu pot sa'ti dau nume exacte de solutii doarece pt ~70% din cazurile
enumerate mai sus as putea fi acuzat ca fac reclama ;)
Acum, daca ai nevoie, putem detalia cele de mai sus.
---
Detalii despre listele noastre de mail: http://www.lug.ro/
