Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Отлов вируса путём анализа трафика. Как?  (Прочитано 3355 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн az.morf

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Доброе всем время суток:)

Ситуация: локальная сеть, сервер, выходящий в интернет через openvpn тунель через сервер в Германии. Соответственно, в локальной сети есть народ, который пользуется интернетом. Недавно стали сыпаться abuse на меня от провайдера немецкого сервера - оказывается, рассылается с него спам. Погуглил и понял, что у одного (или не у одного) из моих клиентов завёлся червяк Donbot (рассылает мейлы со ссылкой на мошшеническую страницу, на которой предлагаатеся легкий способ заработать). В итоге мой сервер благополучно попал во все блэк-листы на антиспам сайтах.

Но суть не в этом :) Необходимо каким-то образом проверить транзитный трафик и выяснить, у кого именно сидит этот троян, чтоб он их вычистил (заставлять каждого проверять свои компьютеры - не вариант, клиентов слишком много). Есть ли какие-нибудь антивирусы, сканирующие трафик на трояны? Не на скачивание вирусов-троянов (знаю что в таком случае помогает прокси havp), а именно на их действие :)

Надеюсь, объяснил понятно :) Спасибо заранее!

Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
Re: Отлов вируса путём анализа трафика. Как?
« Ответ #1 : 26 Ноября 2009, 11:23:18 »
не знаю что предположить...
nmap? tcpdump?
потом
avira + anvir task meneger
на отловленного

Оффлайн Silvia

  • Новичок
  • *
  • Сообщений: 25
    • Просмотр профиля
Re: Отлов вируса путём анализа трафика. Как?
« Ответ #2 : 26 Ноября 2009, 11:29:00 »
Wireshark - снифферит весь трафик и пишет в файл, куча всяких фильтров.

Оффлайн az.morf

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Re: Отлов вируса путём анализа трафика. Как?
« Ответ #3 : 26 Ноября 2009, 16:59:44 »
Сложность в том, что непонятно, _что_ надо сниффать. Donbot - это троян, образующий ботнет, и каким образом он действует с "центром" - непонятно. Вот и предположил, что у антивирусных продуктов могут быть такие базы, в которых описано "поведение" троянов.
Пытался найти по нагугленным описаниям трояна (описано, с какими хостами соединяется) с помощью tcpdump - безрезультатно, видимо потому, что описаниям более полугода, а новых не нашёл. http://itsec.ru/newstext.php?news_id=62951 вот кстати об этом ботнете :)

Ох, видимо придётся юзверей заставлять проверяться..:(

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Отлов вируса путём анализа трафика. Как?
« Ответ #4 : 26 Ноября 2009, 17:18:33 »
Сложность в том, что непонятно, _что_ надо сниффать.
Ну, если спам, то сниффать нужно почтовый трафик. Аномальная активность должна насторожить. tcpdump tcp port 25

Оффлайн Tokh

  • Активист
  • *
  • Сообщений: 705
    • Просмотр профиля
Re: Отлов вируса путём анализа трафика. Как?
« Ответ #5 : 28 Ноября 2009, 19:05:22 »
Попытаться в трафике искать пакеты с содержимым упоминающим адреса Twitter и Facebook. Среди них пытаться отфильтровать что-то, где речь идёт о "работа на дому с очень хорошим заработком". Возможно это действительно почтовый трафик открытым текстом. ИМХО творческая задача.

Вообще-то у антивирусов распространена система централизованного управления. Можно самостоятельно, из единой оснастки управления запускать проверки на "своих" компьютерах.

Подозреваю, что среди _http://products.drweb.com/ есть что-то подходящее. Можно позвонить и спросить, пусть думают. :))
StarDict и Mueller помогут против английского мануала.

Оффлайн conquestor

  • Участник
  • *
  • Сообщений: 173
    • Просмотр профиля
Re: Отлов вируса путём анализа трафика. Как?
« Ответ #6 : 28 Ноября 2009, 21:05:39 »
Снифать все смтп соединения, вытащить какой сервер использует этот вирь, забанить его. Если он сам подимает локально смтп, то выеснить на каком клиенте эта байда и пусть переставляет винду, ну и забанить его пока. Если есть возможность вообще закрыть 25 порт, иначе так и будет то один трой то другой.

Оффлайн Tokh

  • Активист
  • *
  • Сообщений: 705
    • Просмотр профиля
Re: Отлов вируса путём анализа трафика. Как?
« Ответ #7 : 28 Ноября 2009, 22:09:25 »
По каким признакам фильтровать? Сидеть смотреть всё подряд переданное с использованием SMTP - не выход. Нужны какие-то ещё признаки.

Народу много, SMTP много разных.
StarDict и Mueller помогут против английского мануала.

Оффлайн Dfg

  • Активист
  • *
  • Сообщений: 323
    • Просмотр профиля
Re: Отлов вируса путём анализа трафика. Как?
« Ответ #8 : 28 Ноября 2009, 23:16:07 »
Берешь виртуалку, ставишь туда вантуз, заражаешь его этим трояном. Виртуалку на снифер, опеределяешь признаки поведения трояна в сети: что, куда,как.
Ловишь по этим признакам реальные тачки.

Оффлайн tazhate

  • Активист
  • *
  • Сообщений: 864
  • kunilinux
    • Просмотр профиля
Re: Отлов вируса путём анализа трафика. Как?
« Ответ #9 : 29 Ноября 2009, 00:19:45 »
собираешь libstral
lenovo thinkpad x1, gentoo ~amd64, awesome wm
asrock 330, atom 330, nvidia ion, 4gb ram, gentoo ~amd64, awesome wm
htc desire z, virtuos rom

 

Страница сгенерирована за 0.093 секунд. Запросов: 23.