Lemat, strona prywatna

Jak sprawdzić czy komp jest zainfekowany?

Oglądając moje logi systemowe nagminnie widzę, że goście wchodzą na mój sajt z pytaniem "jak się włamać", "jak zostać hackerem", "gghack". Chwilę później z tego samego adresu IP usiłuje się przesłać wirus.

Przedstawiam najprostszy sposób sprawdzenia, czy nasz komputer jest zainfekowany:

Połączenie do sieci zazwyczaj odbywa się przez modem (neo, dsl, sdi, kablówki), kartę sieciową (lokalne sieci LAN) - w każdym razie jakieś urządzenie z mrugającymi diodami. Jedną z tych diód jest ACT / Activity - dioda pokazująca czy na łączu jest jakiś ruch.

Wystarczy wyłączyć wszelkie programy połączone z netem i sprawdzić czy ta dioda miga - nie powinna mrugać zbyt często. Jeżeli mrugnie raz na kilka sekund - to znaczy, że Windows się rozgłasza w sieci = normalna sytuacja.

Jeżeli jednak mamy wszystko wyłączone a dioda miga kilka razy na sekundę - to znaczy że prawdopodobnie mamy wirusa i należy system przeskanować jakimś antywirem.

Większość producentów oprogramowania AV ma na stronie wystawioną wersję demo - można sobie ściągnąć i zainstalować - wystarczy do jednorazowego wyczyszczenia sprzętu. Zresztą - jak goście pracują na nielegalnym Windowsie to niech też ukradną AV i firewalla.


Jak uprościć życie działowi abuse

Korzystając z http://www.senderbase.org (w senderbase są hosty w ogóle wysyłające pocztą, nie tylko wirusy) sprawdziłem sobie ile IPków jest listowanych w klasach /16 należących do Tepsy (tyle ile mi się chciało szukać).

najpierw przyjrzyjmy się neostradom
83.20/16 10
83.21/16 256
83.22/16 588
83.23/16 785
83.24/16 1629
83.25/16 1796
83.26/16 1271
83.27/16 2074
83.28/16 1348
83.29/16 1724
83.30/16 1466
83.31/16 1223

suma: 14170 IPków jest sporo zawyżona ze wzgledu na dynamiczny charakter sieci, tak na oko to 3/5 z listowanych ma daily magnitude równe 0.

a teraz reszta (można przyjąć, że to są statyczne ipki internetdsli, sdi i polpaków)

80.48/16 348
80.49/16 149
80.50/16 78
80.51/16 518
80.52/16 27
80.53/16 1013
80.54/16 106
80.55/16 835

83.16/16 705
83.17/16 502

217.96/16 242
217.97/16 257
217.98/16 158
217.99/16 164

suma: 5102 IPków.

O ile przy IPkach dynamicznych skojarzenie numeru IP z konkretnym abonentem jest trudne, o tyle reszta, czyli 5102 IPków (niektórzy abonenci mają więcej niż 1 IP) jest podane wręcz na tacy.

Ponieważ senderbase listuje hosty wysyłające pocztę, a nie tylko spam i wirusy, to należałoby się przyjrzeć jakiemuś RBLowi, np CBL czy DSBL.org, czy też ROKSO które udostępniają listy IPków. Ale gdy już mamy taką listę IPków:

Gdyby abuse tepsy raczyło poświęcić na każdego IPka 20 minut z życia admina, w ciągu których można czy to zadzwonić, czy to wysłać liścik miłosny, to jedna osoba musiałaby tyrać przez 213 dni roboczych (nie uwzględniając przerw na kawę itp.)
Gdyby zaś po prostu dogadać się z webmasterem i zmirrorować listę IPków, a następnie wysłać wszystkim userom w kopercie z fakturą zaproszenie do odwiedzenia odpowiedniej strony na której możnaby się sprawdzić, to byłoby to znacznie szybciej a co za tym idzie - przy mniejszych nakładach finansowych.
Może by warto podsunąć IM (nie dotyczy tylko tepsy) takie fajne narzędzie przy okazji zgłaszania spamu?

Na pewno by się to przydało multimedii, bo ich zakres 81.190.0.0/16 znajduje się dziś (2005-03-13) dość wysoko w statystykach spamcopa...


Data utworzenia : 2004-10-14, data aktualizacji :2005-04-03

Skomentuj ten tekst

Komentarze:

prośba o pomoc
2017-01-03 03:36:21
dziwne połączenie
mam 1 komputer za routerem (wi fi wyłączone). Na kompie mam antywirus i antyspyware oraz firewall. Adres routera w sieci lokalnej to 192.168.1.1 komputer ma przypisane na stałe 192.168.1.3. Połączenie (firewall zablokował) widziane w logach to adres i port źródłowy 192.168.1.3:50000, adres i port docelowy 192.168.1.255:137 protokół UDP. Nie mam żadnego pomysłu, po stronach porno nie łaże (od tego mam dziewczynę), nie instaluję jakiegoś szemranego oprogramowania. Jakieś pomysły?
Odpowiedź Lemata:
To się nazywa "udostępnianie sieci i drukarek" i jest to najzwyklejszy protokół zainstalowany w windowsie.
Robik
2011-05-10 16:15:04
Sprawdzenie czy komp nie jest zainfekowany.
Najprostszy i najszybszy test jaki znam w wingrozie.
Odpalenie kompa. Wyłączenie potworów typu gg,tlen,skype i co jeszcze potrafi wgryźć się do autostartu.
Uruchomienie cmd.exe.
Wklepanie polecenia netstat -a.
Od razu widać proste trojany rozsyłające spam a nie potrafiące się dobrze ukryć.
Odpowiedź Lemata:
wynik netstata mówi przeciętnemu userowi tyle ile mi windowsowy Blue Screen of Death
Win Xp już niedługo Linux :)
2011-03-25 18:37:11
recovery card
Dzisiaj na pewnej stronie sklepu z artykułami elektronicznymi zobaczyłem kartę recovery. Opis karty:

Recovery Card przywraca komputer do poprzedniego stanu po restarcie.
Dzięki temu chroni komputer przed:
- uszkodzeniem plików
- przypadkową modyfikacją lub usunięciem plików
- przypadkowym lub celowym uszkodzeniem dysku
- wirusami oraz trojanami
- próbami obejścia zabezpieczeń
- instalacją niechcianych programów
- formatowaniem oraz usuwaniem partycji dyskowych

Pomyślałem, że to mogłoby być dodatkowe zabezpieczenie mojego domowego Pc-ta. Jednak nie wiem na jakiej zasadzie działa taka karta. Coś tam czytałem na internecie jednak zbyt mało. Czy zetknął się Pan z takim rozwiązaniem? Jest ono warte uwagi (cena tej karty to 89 PLN)?
Pozdrawiam

Odpowiedź Lemata:
dawno, dawno temu jak się opiekowałem pracowniami komputerowymi to bootowałem mini-system z dyskietki, on łączył się z serwerem i ściągał obraz dysku nadpisując wszelkie śmieci jakie powstały podczas użytkowania. Wygoglałem sobie tą nazwę i niestety - producent nie chwali się na jakiej zasadzie działa karta. To trochę dyskwalifikuje ją w moich oczach, zwłaszcza, że obecne komputery maja wbudowane "network boot" i nie trzeba się bawić w żadne dyskietki. Czyli można to mieć za darmo. Chyba, że ta karta robi jakieś inne cuda, no ale aby to właściwie ocenić to producent musiałby dać informację przydatną opiekunom tych komputerów (informatykom)
kordi
2007-04-03 14:08:52
Jak sprawdzic zawirusowanego kompa
Jesli chodzi o ACT na sieciowce to w sumie mozna tym sprawdzic czy jest jakis wirus i powiem szczerze ze nie glupie to jest. Prostym sposobem mozna sprawdzic w netstatcie: netstat -n np. czy mamy jakies smieszne ustawione polaczenia.
Odpowiedź Lemata:
przeciętne dziecko nie będzie potrafiło wyciagnąć wniosków z wyniku tego polecenia.
michał
2007-02-20 23:29:08
Jak sprawdzić czy komp jest zainfekowany?
Muszę przyznac, ze dużo osób jeszcze obraca sie w środowisku windows. W sumie teraz robia coraz lepsze zabezpieczenia dla naszych komputerów w środowisku windonws. Powiem moze swoja metode jak sprawdzic czy w naszej pamieci znajduje sie wirus: Istnieje prosty sposób na sprawdzenie, czy w pamięci komputera nie rezyduje wirus. Wystarczy zrestartować komputer, podczas uruchamiania przytrzymać klawisz Ctrl i – gdy pojawi się menu startowe Windows –wybrać pozycję „Tylko linia poleceń trybu awaryjnego”. Następnie wpisujemy polecenie chkdsk i sprawdzamy, ile jest pamięci. Powinno być dokładnie 655 360. Jakakolwiek mniejsza wartość prawie na pewno oznacza obecność wirusa!
Odpowiedź Lemata:
jak ci się udało odpalić XP na XTku?
wszystkie opinie »
Protected by spf
[Nospam-PL.NET]
Seti@Home
www.php.net
© Lemat 2004 - ∞
Cookie Bullshit
Mapa strony
engine: lem.. at lemat·priv·pl