В сети есть машинка, откуда лезут следующие звери: W32.Neeris.C/BackDoor.IRC.Sdbot.4632 W32.Welchia.Worm/Win32.HLLW.LoveSan.56 Как вычислить машину?
Как вычислить машину? Такие вопросы обычно задают те, кто не любит нормальные сервиспаки и критические заплатки ставить. И ситуацию уточните : что значит лезут - у вас что антивирус не стоит ? Сетевое заражение сейчас редкость, если конечно firewall стоит. В основном получаем червей через серфинг в Инете. Сниффер тут не поможет - замучаетесь анализировать. В Касперском я определил вредный сайт легко - запустил Интернет Эксплорер в "безопасном режиме". Но я почти наверняка знал когда и где подцепил заразу Если безопасного режима в вашем антивире нет : заводите юзера без административных прав и серфите в нем. Антивирь + стенка должны 99% червей отловить на этапе заражения.
valterg Уточняю: ханипот, машинка со старьем без сервиспаков, ловил мне вирьё для исследовательских целей. Теперь, когда все звери аккуратно упакованы, я хочу сделать доброе дело всему коллективу. Хотя это конечно совсем не моя обязанность. По теме что-нибудь скажете?
ormoulu Они же у вас не к одному хабу подключены? Локализуете ветку, а потом метод деления пополам. Только на практике это боком вылезает. Мы сассер в институте полгода изводили. Находили ветку, отключали, находили комп. Потом приходил дядя из загула и включал еще один зараженный комп. И так по циклу. Сниффер действен когда известен номер порта для атаки и источник заразы один и нет рецидивов. Еще один способ : административный ресурс - заставить всех проверится. Например бесплатной утилитой от Др.Веб
эти пакеты сразу видны будут, даже если порт не известен. Бесплатные утилиты плохо работают (в прочим как и платные)))
h0t Да я вообще не понимаю в чем проблема. Если есть машина-кролик, то отфильтровав лог сниффера от запросов типа расшаренных ресурсов и т.д. получим на блюдечке источник. А вот заявка видны будут - это зависит от опыта СМОТРЯЩЕГО Про бесплатные утилиты имелось ввиду, если они ловят искомый вирус. С кидо мне очень помогли в свое время. 20 машин, у всех разные антивирусы. Здесь даже проще, т.к. надо не лечить, а найти.
В моем случае методы отключения компов и проверки всех поголовно из разряда фантастики, т.к. компов сотни, и не каждый владелец сразу вспомнит, где какая виртуалка у него тихо шуршит. Раньше был админ, у которого ни один вирус живым не проскакивал, сейчас у нас рай для животновода.