Detekce viru Conficker ?

Pavel Troller patrol na sinus.cz
Sobota Červenec 25 13:54:55 CEST 2015


Zdravím,
  tak díky tom, že jsem si vymohl znovuzapojení služby, přišel mi e-mail,
a v něm stálo:

Vážený kliente,

dovolujeme si Vás upozornit, že prostřednictvím Vašeho počítače / Vašich počítačů došlo k rozesílání počítačového viru.
Tím jste narušil provoz datové sítě UPC a porušil Všeobecné podmínky poskytování veřejně dostupných služeb elektronických komunikací společnosti UPC Česká republika, a.s. (dále jen ???Všeobecné podmínky???).
...blablabla o nutnosti mít odvirovaný počítač atd atd včetně nabídky služby bezpečného internetu :-)...
... A na konci:

----------------------------------------------------- Detail incidentu -----------------------------------------------------

"NTP Amplifier" "static-x-x-x-x.net.upcbroadband.cz" "123"

Takže pánové načichali běžící NTP server na mém ciscu (nicméně dle vyjádření
Cisca by již v této verzi IOS neměl být vulnerabilní k útokům) a zablokovali
to. Navíc případnou existenci síťové zranitelnosti k DDoS útokům postavili
na roveň přímému rozesílání virů, což asi pro BFU je jedno, ale pro někoho,
kdo to chce vyřešit, je to docela matoucí.

Jak si z tohoto vybásnil ten človíček, co jsem s ním mluvil, že jde o
confickera, opravdu netuším. Nicméně, dotazy na NTP jsem zablokoval 
a věc snad již je tímto vyřešena. Omlouvám se za noise.

S pozdravem Pavel
 
> Zdravím,
> 
> > Otázka je, jestli jde WiFi provoz pro sousedy také přes tunel.
> > 
> > Nemá OpenVPN trochu větší režii ve srovnání s GRE?
> 
> Ano, má. O dost. A protože tam mám 200 Mb, nemám stroj, který by to 
> ukryptoval bez ztráty kytičky, aniž by potřeboval výkon Temelínu.
> Proto GRE, které jen paket přebalí a jinak nic nedělá, to hravě zvládne
> i malý box.
> 
> Jinak ano, sousedka zná heslo :-). 
> 
> Ale opět se dostáváme do typického diskusního "víru" - stáčí se to někam
> jinak a odpověď nepřichází. Takže - nechci se zde dále bavit o detailech
> řešení své sítě. Chci vědět, jak se detekuje conficker :-) :-).
> 
> 
> Pavel
> 
> > 
> > Jaký vlastně byl důvod použít GRE?
> > 
> > -- 
> > Martin Vancl
> > 
> > /* Odeslano z telefonu Xiaomi Redmi 1S */
> > Dne 25. 7. 2015 12:57 napsal uživatel "Petr Tomasek" <tomasek na etf.cuni.cz>:
> > 
> > > On Sat, Jul 25, 2015 at 12:14:59PM +0200, Pavel Troller wrote:
> > > > Zdravím,
> > > >   tak mi úplně zhlouplo UPC připojení, fungoval jen ping a port 80.
> > > >   Volal jsem na podporu a prý z mého připojení byl detekován virus
> > > Conficker.
> > > > Vida, UPC má nějakou zajímavou protivirovou politiku - no proč ne, ale
> > > docela
> > > > by mne zajímalo, jak na to přišli. Jde o to, že zaprvé v mé síti je to
> > > samý
> > > > Linux - ano, jsou tam asi nějaké widle od sousedů, kteří s mým tichým
> > > souhlasem
> > > > používají moji wifi, takže na 100% si nemohu být jist, ale vtip je v
> > > tom, že
> > > > celý provoz je tunelovaný přes GRE na můj router, abych mohl mít své IP
> > > > adresy, takže buďto je ta detekce tak chytrá, že leze i do GRE paketů
> > > (nejsou
> > > > kryptované), nebo je to misdetekce.
> > > >   Nevíte někdo, jak UPC tento virus detekuje ?
> > > >   Zdraví Pavel
> > >
> > > To máte otevřenou wifinu nebo vaši sousedi znají heslo?
> > >
> > > P.T.
> > >
> > > (P.S. Proč by UPC nemohla dělat deep-packet-inspection? Jo, a proč to
> > > netunelujete raději přes OpenVPN?)
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list


Další informace o konferenci Hw-list