personal homepage by anri :: персональна сторінка anri

[ anri : / ] [/] Пошук комп'ютерів, інфікованих вірусом Sasser Записати на компакт-диск образ Frenzy Live-CD ftp://ftp.univ.kiev.ua/pub/FreeBSD/Frenzy/frenzy_v02_release.iso (в Nero - Burn Image) Записати параметры мережі на комп'ютері - адресу, маску мережі Завантажити комп'ютер з записаного диску Frenzy Після отримання запрошення login: , ввести root (натиснути Enter) Визначити тип мережевої карти, запустивши команду ifconfig -a. Приблизний вигляд результату виконання: rl0: flags=8843 mtu 1500 options=8 inet 10.25.0.5 netmask 0xffffff00 broadcast 10.25.0.255 inet6 fe80::250:fcff:fecf:1534%rl0 prefixlen 64 scopeid 0x1 ether 00:50:fc:cf:15:34 media: Ethernet autoselect (100baseTX ) status: active lo0: flags=8049 mtu 16384 inet 127.0.0.1 netmask 0xff000000 inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x2 Читаємо перший рядок. Ім'я мережевої карти: rl, номер 0. Можливі варіанти: fxp, ed, xl, vx. Встановлюємо параметри мережі командою: ifconfig <номер та ім'я карти> <адреса комп'ютера> netmask <маска мережі>. Наприклад: ifconfig rl0 10.19.3.2 netmask 255.255.255.0 Запускаємо команду: tcpdump -i <номер та ім'я карти> -n port 445. Наприклад, tcpdump -i rl0 -n port 445 В результаті роботи програми на екран виводяться пакети, що їх передають завірусовані комп'ютери. Приклад виведення: 14:49:46.652411 10.0.8.5.3212 > 10.16.124.166.445: S 3868563426:3868563426(0) win 64240 14:49:46.780614 10.37.0.3.2237 > 10.16.166.145.445: S 3750947025:3750947025(0) win 16384 (DF) 14:49:47.955276 10.0.60.20.4404 > 10.16.240.43.445: S 1690763253:1690763253(0) win 16384 (DF) 14:49:48.811533 10.4.2.224.4821 > 10.16.186.4.445: S 1736408251:1736408251(0) win 16384 (DF) Перші чотири числа другого поля - адреса зараженого комп'ютера. Увага! Якщо локальна мережа організована на комутаторах (свічах), то проводити пошук необхідно на виході з мережі, тобто на гейтвеї (шлюзі). [ mailto: anri@univ.kiev.ua ]