:strip_icc():strip_exif()/u/16096/dystic.jpg?f=community)
Vorige week is op de zaak door onze provider XS4ALL een blokkade op onze internet verbinding gegooid uit veiligheidsredenen. Er zouden namelijk aanvallen vanaf ons IP zijn uitgevoerd.
Nu zijn al onze pc's voorzien van McAfee VirusScan Enterprise, centraal beheert door ePO, dus waren we onaangenaam verrast dat er blijkbaar toch iets doorheen geslopen was.
Sowieso is de communicatie met de abuse afdeling van XS4ALL erg moeizaam want op aanvragen voor extra informatie van de aanvallen werd niet gereageerd. Dus de melding maar voor waar aangenomen en direct de door XS4ALL aangedragen stappen gaan uitvoeren. Dus 50 pc's langs lopen en voorzien van:
- Antivir
- The Cleaner
- NOD32
Na een erg lange werkdag leverde dit uiteindelijk met NOD32 enkele resultaten op er werd op een pc een zgn. Pidief.Trojan gevonden. Na dit verwijderd te hebben en aan XS4ALL gemeld te hebben werd de blokkade verwijderd.
Tot dat onze internet verbinding deze week opnieuw werd voorzien van een blokkade. ARGH!
Deze keer had XS4ALL wel meer informatie, namelijk:
Botnet | 255.88.88.265 | 2009-03-01 02:23:08 srcport 12226 mwtype Torpig | XS4ALL-
NL XS4ALL
Botnet | 255.88.88.265 | 2009-03-01 02:28:03 srcport 12231 mwtype Mebroot |
XS4ALL-NL XS4ALL
Deze logregel geeft aan dat het om een Mebroot en een Torpig-infectie gaat. XS4ALL gaf aan om deze met de volgende tools op te sporen:
- Symantec Mebroot removal tool
- F-Secure
- ESET Mebroot Remover
Dus weer alle pc's langs
helaas (!?) leverde dit geen resultaat op (op wat malware/cookies met F-Secure na).
Uiteindelijk hebben we dus aan XS4ALL voorgesteld om onze firewall zo in te stellen dat al het uitgaande verkeer geblokkeerd zou worden behoudens het mailverkeer omdat ons bedrijf hier enorm veel overlast van ondervind. Hier heeft XS4ALL mee ingestemd en gelukkig ontvangen we nu weer e-mail. Maar we zijn dus nog steeds opzoek naar de geïnfecteerde pc.
Nu houden we nauwlettend de logs van onze firewall in de gaten welk verkeer er allemaal geblokkeerd wordt om zo de pc die verbinding naar buiten probeert te maken op te sporen.
Wie kan hulp bieden om de opsporen te vergemakkelijken? op welke netwerk verkeer moet bijvoorbeeld gelet worden? welke specifieke poorten?
Of wordt de Trojan pas actief als deze van buiten af getriggerd wordt, wat we nu dus blokkeren. In dat geval zal de Trojan nu niet actief worden en dus onopgemerkt blijven.
Inmiddels redelijk ten einde raad hoop ik dat iemand wat slimme tips heeft.
Nu zijn al onze pc's voorzien van McAfee VirusScan Enterprise, centraal beheert door ePO, dus waren we onaangenaam verrast dat er blijkbaar toch iets doorheen geslopen was.
Sowieso is de communicatie met de abuse afdeling van XS4ALL erg moeizaam want op aanvragen voor extra informatie van de aanvallen werd niet gereageerd. Dus de melding maar voor waar aangenomen en direct de door XS4ALL aangedragen stappen gaan uitvoeren. Dus 50 pc's langs lopen en voorzien van:
- Antivir
- The Cleaner
- NOD32
Na een erg lange werkdag leverde dit uiteindelijk met NOD32 enkele resultaten op er werd op een pc een zgn. Pidief.Trojan gevonden. Na dit verwijderd te hebben en aan XS4ALL gemeld te hebben werd de blokkade verwijderd.
Tot dat onze internet verbinding deze week opnieuw werd voorzien van een blokkade. ARGH!
Deze keer had XS4ALL wel meer informatie, namelijk:
Botnet | 255.88.88.265 | 2009-03-01 02:23:08 srcport 12226 mwtype Torpig | XS4ALL-
NL XS4ALL
Botnet | 255.88.88.265 | 2009-03-01 02:28:03 srcport 12231 mwtype Mebroot |
XS4ALL-NL XS4ALL
Deze logregel geeft aan dat het om een Mebroot en een Torpig-infectie gaat. XS4ALL gaf aan om deze met de volgende tools op te sporen:
- Symantec Mebroot removal tool
- F-Secure
- ESET Mebroot Remover
Dus weer alle pc's langs
helaas (!?) leverde dit geen resultaat op (op wat malware/cookies met F-Secure na).Uiteindelijk hebben we dus aan XS4ALL voorgesteld om onze firewall zo in te stellen dat al het uitgaande verkeer geblokkeerd zou worden behoudens het mailverkeer omdat ons bedrijf hier enorm veel overlast van ondervind. Hier heeft XS4ALL mee ingestemd en gelukkig ontvangen we nu weer e-mail. Maar we zijn dus nog steeds opzoek naar de geïnfecteerde pc.
Nu houden we nauwlettend de logs van onze firewall in de gaten welk verkeer er allemaal geblokkeerd wordt om zo de pc die verbinding naar buiten probeert te maken op te sporen.
Wie kan hulp bieden om de opsporen te vergemakkelijken? op welke netwerk verkeer moet bijvoorbeeld gelet worden? welke specifieke poorten?
Of wordt de Trojan pas actief als deze van buiten af getriggerd wordt, wat we nu dus blokkeren. In dat geval zal de Trojan nu niet actief worden en dus onopgemerkt blijven.
Inmiddels redelijk ten einde raad hoop ik dat iemand wat slimme tips heeft.
:strip_exif()/u/53157/thai4.gif?f=community)
