Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Rustock

Pagina: 1
Acties:

Verwijderd

Topicstarter
Na weer op de blacklist te zijn terecht gekomen en ik achterhaald heb wat voor een klote spambot er op een van onze systemen zit en ben ik erachter gekomen dat deze spambot rustock heet. Ik weet dat de spambot geactiveerd wordt op elke donderdag rond 1 uur in de middag. Ik kan eventueel volgende week donderdag kijken met wireshark welk systeem geïnfecteerd is maar zo lang kan ik niet wachten. Weten jullie een oplossing om zo snel mogelik te achterhalen van welk systeem het afkomt. Want elk systeem apart scannen schiet ook niet op omdat we er een stuk of 100 er hier hebben staan.

Bedankt alvast

  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

http://removeit.info/remove-rustock-spambot-trojan/

Heeft er geen van de werknemers melding gegeven van trage pc en irritante pop-ups? Even mailtje naar iedereen sturen om te vragen of ze problemen hebben ?

Welke virus scanner gebruikt uw bedrijf?

All-Round nerd | iRacing Profiel


Verwijderd

Topicstarter
NOD32 en Norman AntiVirus. We hebben op alle systemen de virusscanners laten draaien en tevens hebben we op alle systemen MalwareBytes laten draaien maar niks gevonden. En niemand heeft problemen met de systemen.

  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

En je servert ook een extra check gegevens ? Weet je 100% zeker dat het rustock is en niet een verkeer geconfigde exchange server (open relay) bijvoorbeeld?

[ Voor 4% gewijzigd door w4rguy op 21-05-2010 11:09 ]

All-Round nerd | iRacing Profiel


Verwijderd

Topicstarter
Nee weet het 100% zeker dat het Rustock is toen ik op de blacklist bij de details keek stond er dat rustock gevonden was.

  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

Heb je logs van outgoing mail? (checken wie er zoveel mail stuurt?)

router logs/activity op SMTP port ? Je bent namelijk nog geen 24 uur verder dus grote kans dat je het nog hebt.

All-Round nerd | iRacing Profiel


Verwijderd

Topicstarter
Ik zal even kijken.

  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

Vertel overigens je medewerkers om geen usb-sticks te delen/aan te sluiten vanuit huis of van collega's. Ik heb even gekeken en zie dat rustock verspreid via usb-sticks maar ook (niet leuk) via het netwerk :x. Nadeel is dat rustock encrypted data scheint te versturen.

All-Round nerd | iRacing Profiel


Verwijderd

Topicstarter
Ik kan de logfiles niet vinden van de DrayTek router. DrayTek Vigor 2910 Series.

[ Voor 20% gewijzigd door Verwijderd op 21-05-2010 11:39 ]


  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

hmm ... maak je gebruik van SNMP om je systemen in de gaten te houden ?(misschien handig om te implementeren als alles is opgelost?)

Ik kan overigens op afbeeldingen op internet ook niet zo snel zien hoe hij logs bijhoudt. Heb je misschien andere hardware (firewall?) staan? die logt sowieso.

All-Round nerd | iRacing Profiel


Verwijderd

Topicstarter
Heb het al gevonden je moet van de DrayTek site de SysLog Tool downloaden. Maar nu heb ik er nog niks aan want nu moet ik weer tot donderdag wachten.

  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

Als ik jou was zou ik het volgende doen:

Syslog installeren en zorgen dat het werkt.
Werknemers bekend maken van de problemen en instructies geven als er iets raars gebeurd (melden bij beheer en beheer documenteert)
(er van uit gaande dat het vergelijkbare systemen zijn) nieuwe image maken met SNMP protocol geinstalleerd en via The Dude (opensource, dus graties en voor nietsch) monitoren op activiteit.
Evalueren

Wat mij opvalt is dat je totaal niet voorbereid was op een dergelijk netwerk probleem (dit had ook in DDoS variant kunnen zijn?) Zorg dus dat je je netwerk hier wel op voorbereidt (mogelijk security audit laten uitvoeren).

Ik kan verder vrij weinig voor je doen ben ik bang omdat ik de omgeving niet ken. Overigens gaat me baas het ook niet leuk vinden als ik mensen help met dingen die wij voor betaald werk doen (security audits e.d.).

welke OS-en gebruik je trouwens?

All-Round nerd | iRacing Profiel


Verwijderd

Topicstarter
Windows XP SP3 / Windows Vista / Windows 7 32/64 bits varianten zon beetje alles dus:P

Maar bedankt voor je hulp. Ik wacht wel af.

  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

Wat heb je verder aan netwerkapparatuur in je serverpark staan? firewalls of IDS systemen ?

All-Round nerd | iRacing Profiel


  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op vrijdag 21 mei 2010 @ 11:48:
Heb het al gevonden je moet van de DrayTek site de SysLog Tool downloaden. Maar nu heb ik er nog niks aan want nu moet ik weer tot donderdag wachten.
dan heb je allang geen logdata meer die relevant is.

Maar ok, dat moet je zelf weten :)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • TaraWij
  • Registratie: December 2007
  • Laatst online: 08-02 18:37
Wat je ook zou kunnen doen is met de console versie van AutoRuns automatisch elke computer om de week eens een lijstje van dingen die automatisch kunnen starten op verscheidene locaties laten maken, -a zorgt voor alle entries, -m voor entries die niet van Microsoft zijn, -v zorgt voor verificatie van de bestanden en -c plaats het in csv formaat, als alternatief kan je -x gebruiken voor het XML formaat.

autorunsc -a -m -v -c > \\SERVER\autoruns\%computername%.csv


Als je dit lijntje laat uitvoeren via de Taakplanner dan krijg je een hele collectie csv (of xml als alternatief) bestanden waar je dan eigen scripts op kan laten uitvoeren om bijvoorbeeld de data te combineren zodanig dat je voor elke lijn een extra kolom hebt met welke computers de bepaalde lijn hebben, vervolgens filter je de veel voorkomende dingen weg en dan zou je wekelijks haast op het oog kunnen zien of er nieuwe programma's of infecties geïnstalleerd zijn.

Het enigste wat Autoruns niet kan zien zijn dingen die specifiek Autoruns proberen te omzeilen of bepaalde rootkits, maar zo'n dingen komen met geluk bijna nooit voor dus blijft deze methode een pak effectiever dan 100 computers te laten scannen. (Dit kan uiteraard ook wel simultaan via een script, maar Autoruns is een veel efficiënter alternatief)

  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

hoe staan de zaken ?

All-Round nerd | iRacing Profiel


Verwijderd

Topicstarter
Tot nu toe niks aan de hand maar elke donderdag komen we weer op de blacklist dus ik hou morgen de logs goed in de gaten.

  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

waiting for doomsday :P haha

**edit**

vandaag doomsday, hoe lopen de zaken /

[ Voor 49% gewijzigd door w4rguy op 27-05-2010 11:32 ]

All-Round nerd | iRacing Profiel


Verwijderd

Topicstarter
We zijn weer op de blacklist terecht gekomen terwijl de logs er normaal uitzien maar we zijn vandaag weer van de blacklist afgehaald. Ik zou ook niet weten waarom maar vind het niet erg.
Pagina: 1