Внимание вирус в городской сети
Внимание вирус в городской сети
Автор |
Сообщение |
Ka3us
гуру
Зарегистрирован: Пт 10 фев, 2006 19:10 Сообщения: 4607
|
Trace писал(а): Советую запустить всем Точно всем? Или только тем у кого 172.18.50.254 ?
|
Вт 11 дек, 2007 22:20 |
|
 |
Sin
ветеран
Зарегистрирован: Пн 12 дек, 2005 00:04 Сообщения: 1603 Откуда: Stranger in the ку
|
ну можно через case сделать по подсетям (если канешко не сделано)
Код: $xz=explode(".",$REMOTE_ADDR); switch($xz[2]) { case:'18': $shluz='172.18.18.254'; break; ....etc }
_________________
 Тортики на заказ
|
Ср 12 дек, 2007 02:09 |
|
 |
Trace
мудрец
Зарегистрирован: Вс 11 дек, 2005 23:32 Сообщения: 12162 Откуда: dialog-k
|
конечно сделано
Код: $gw_arp[16] = "172.18.16.254 00-19-5B-12-7C-C1"; $gw_arp[18] = "172.18.18.254 00-19-5B-12-7C-C2"; $gw_arp[20] = "172.18.20.254 00-19-5B-12-7C-C3"; $gw_arp[22] = "172.18.22.254 00-19-5B-12-7C-C4"; $gw_arp[24] = "172.18.24.254 00-19-5B-12-7C-C5"; $gw_arp[32] = "172.18.32.254 00-19-5B-12-7C-CA"; $gw_arp[34] = "172.18.34.254 00-19-5B-12-7C-CB"; $gw_arp[36] = "172.18.36.254 00-19-5B-12-7C-C6"; $gw_arp[38] = "172.18.38.254 00-19-5B-12-7C-C7"; $gw_arp[40] = "172.18.40.254 00-19-5B-12-7C-C8"; $gw_arp[42] = "172.18.42.254 00-19-5B-12-7C-C9";
и т.д.
_________________ Знания - сила, незнание - счастье.
|
Ср 12 дек, 2007 10:26 |
|
 |
Sin
ветеран
Зарегистрирован: Пн 12 дек, 2005 00:04 Сообщения: 1603 Откуда: Stranger in the ку
|
гы, а можно проще:
Код: $xz=explode(".",$REMOTE_ADDR); $gw_arp = "172.18."$xz[2]".254 00-19-5B-12-7C-C1";
или вот так: Код: $valid_subnets=array(18,19,20,21,22,24,32,50); $xz=explode(".",$REMOTE_ADDR); if(in_array($xz[2],$valid_subnets)){ $gw_arp = "172.18."$xz[2]".254 00-19-5B-12-7C-C1"; }

_________________
 Тортики на заказ
|
Ср 12 дек, 2007 11:18 |
|
 |
Trace
мудрец
Зарегистрирован: Вс 11 дек, 2005 23:32 Сообщения: 12162 Откуда: dialog-k
|
ага, и тогда у тебя мак пропишется на неизвестный 172.18.19.254 адрес, который шлюзом совсем не является 
_________________ Знания - сила, незнание - счастье.
|
Ср 12 дек, 2007 12:48 |
|
 |
Sin
ветеран
Зарегистрирован: Пн 12 дек, 2005 00:04 Сообщения: 1603 Откуда: Stranger in the ку
|
Trace писал(а): ага, и тогда у тебя мак пропишется на неизвестный 172.18.19.254 адрес, который шлюзом совсем не является 
$valid_subnets для примера.... туда забиваются валидные подсети шлюза
_________________
 Тортики на заказ
|
Ср 12 дек, 2007 12:59 |
|
 |
Ka3us
гуру
Зарегистрирован: Пт 10 фев, 2006 19:10 Сообщения: 4607
|
Trace писал(а): конечно сделано Класс, коллеги!
Вчера посидел на статике. Разницы не заметил, только сторожок перестал орать на подмену адреса. Открытие любой страницы за пределами шлюза занимало чуть более одной минуты. Такая же картина наблюдается и при подмененном адресе.
Вирус же (если это вирус) написан толково, снимаю шляпу. В сегменте одновременно находилось 3 компа с ним, но они не дрались между собой за возможность дёрнуть шлюз. Работал только один, остальные ждали своей очереди. Сеть в общем-то и не падала, как отметил D_guest, она стала работать медленней. Через несколько часов шлюз сдался, свистопляска с адресами закончилась, в таблице появился еще один комп, он прочно, по-пахански, захватил адрес и больше никому его не отдал. Силовая посадка шлюза на статический адрес в таблице не изменила картины работы сети. Сегодня с утра все чисто. Счастливые обладатели уникального вируса появятся в сети ближе к вечеру.
|
Ср 12 дек, 2007 13:06 |
|
 |
Rus
завсегдатай
Зарегистрирован: Ср 27 сен, 2006 16:37 Сообщения: 546
|
Как вариант можно на шлюзе прописать всех абонентов и заморозить таблицу арп но это не совсем правильно.
Итого лог Arpwatch 60 метров (текста) за 3 дня.Зараженые сети 16,18,32,34,50,68 и все кто не сегментирован.
|
Ср 12 дек, 2007 13:12 |
|
 |
nextUser
ветеран
Зарегистрирован: Пн 19 фев, 2007 23:21 Сообщения: 2157
|
Trace писал(а): http://www.krasno.ru/arp-gw.php
скриптик прописывает статическую запись в системе и в реестре в автозагрузке. Советую запустить всем, должны уменьшиться потери связи.
Сделал, после приминения XArp молчит.
|
Ср 12 дек, 2007 13:19 |
|
 |
Aleksey
гуру
Зарегистрирован: Сб 03 фев, 2007 16:46 Сообщения: 4201 Откуда: Из прошлого
|
У меня Харп вчера вечером за пол часа сделал 300 записей о смене адреса. 
|
Ср 12 дек, 2007 14:57 |
|
 |
Джин
Администратор
Зарегистрирован: Ср 14 дек, 2005 23:09 Сообщения: 794 Откуда: курорт Путилово
|
а что такое антивирус и IE?
|
Ср 12 дек, 2007 15:56 |
|
 |
D_guest
завсегдатай
Зарегистрирован: Чт 02 фев, 2006 11:05 Сообщения: 544
|
Ka3us писал(а): Trace писал(а): конечно сделано Класс, коллеги! Вирус же (если это вирус) написан толково, снимаю шляпу. В сегменте одновременно находилось 3 компа с ним, но они не дрались между собой за возможность дёрнуть шлюз. Работал только один, остальные ждали своей очереди. //.....Через несколько часов шлюз сдался, свистопляска с адресами закончилась, в таблице появился еще один комп, он прочно, по-пахански, захватил адрес и больше никому его не отдал.
Вы приписываете вирусу прямо-таки искусственный интеллект  , шлюз конечно не с кем не воевал, чтобы сдаться, просто реализация arp в windows ( и unix) сделана так , что arp кэш обновляется даже без arp запроса. т.е некая система шлющая в сеть сгенерированные arp ОТВЕТЫ забивает arp кэш на хостах в своей подсети, и эти хосты имея свежий МАС шлюза в кэше не спрашивают его заново, поэтому , если ни у кого не спрашивать МАС (статик) , то сеть для вас будет работать как обычно, особенно, если в кэше шлюза тоже статик адреса на клиетов( то что предлагает RUS).
(пока arp трафик все не забьет  шутка )
|
Ср 12 дек, 2007 17:50 |
|
 |
Ka3us
гуру
Зарегистрирован: Пт 10 фев, 2006 19:10 Сообщения: 4607
|
D_guest писал(а): если ни у кого не спрашивать МАС (статик) , то сеть для вас будет работать как обычно Так в том то и дело, что не работает она как обычно со статическим адресом шлюза в таблице. А работает точно так же как с подмененным. При подмененном адресе хост, казалось бы, не должен выйти за пределы шлюза из-за того, что попадает по МАКу на другой хост, но он выходит, с минутной задержкой.  Выходит, что этот "вирус" еще и знает куда перенаправить пакеты от хоста, чтобы он не заметил его присутствия в сети. Это на нашей сети задержки бросаются в глаза, избалованы мы высокой скоростью трафика. А там, где браузер открывает страницы по 40сек, не заметят, что он стал по минуте открываться - спишут на загруженность сервера. И такой вопрос: что Он делает в течение минуты с обратившимся к нему хостом? Первое: анализирует пакеты с целью извлечения логинов. Второе: ищет лазейку на хост, чтобы подсунуть ему себя. Во втором случае, возможно, он может идентифицировать уже зараженные компьютеры и не препятствовать им работе в сети. Отсюда, выход из проблемы может оказаться весьма нетрадиционным...  Думаю, что подобные программы нельзя отнести ни к вирусам, ни к программам-шпионам. Это, скорее всего, программы-диверсанты, ведь достаточно шлюзу приписать несуществующий МАК-адрес и ... Да, и не надо забывать, что на фоне всеобщей картины вирусоподобности могут работать конкретные руки. Ну, это скорее моя рекция на тот самый 37-й.
P.S. отнеситесь к сему с некоторым сарказмом.
|
Ср 12 дек, 2007 19:56 |
|
 |
miraGe
новичок
Зарегистрирован: Сб 07 янв, 2006 22:38 Сообщения: 40 Откуда: знаешь?
|
IP MAC in system chache last changed vendor network order IP host order IP type adapter
172.18.50.18 00-15-F2-3F-67-97 yes - - 305271468 2886873618 dynamic 0x2 Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Минипорт планировщика пакетов
172.18.50.31 00-08-A1-61-02-48 yes - CNetTechnologyInc.
523375276 2886873631 dynamic 0x2 Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Минипорт планировщика пакетов
172.18.50.100 00-08-A1-25-C2-2A no - CNetTechnologyInc.
1681003180 2886873700 dynamic 0x2 Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Минипорт планировщика пакетов
172.18.50.254 00-19-5B-12-56-82 yes 20:59:38 - 4264694444 2886873854 dynamic 0x2 Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Минипорт планировщика пакетов
Хз че это за программа XArp, но как запустил прошло минут этак 15 и на протяжении 20 минут меня мучала табличка об изменах IP 172.18.50.254..
_________________ ----------------------------
|
Ср 12 дек, 2007 22:13 |
|
 |
Ka3us
гуру
Зарегистрирован: Пт 10 фев, 2006 19:10 Сообщения: 4607
|
miraGe, неизвестные Вам программы лучше не запускать.
|
Ср 12 дек, 2007 22:32 |
|
 |
hornet
ветеран
Зарегистрирован: Ср 20 сен, 2006 23:21 Сообщения: 1848
|
Trace после этого http://www.krasno.ru/arp-gw.php у меня началось вот это
22:07:05 Адаптер: ASUS NX1001 Network Adapter - Минипорт планировщика пакетов, IP: 172.18.**.**, Маска: 255.255.0.0
22:07:43 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:07:51 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:07:54 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:05 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:09 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:13 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:16 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:20 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:24 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:27 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:31 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:38 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
22:08:42 Подмена адреса! 172.18.0.254 00-40-d0-62-dc-a4 (172.18.0.254 00-1b-78-59-fd-12)
|
Ср 12 дек, 2007 23:08 |
|
 |
miraGe
новичок
Зарегистрирован: Сб 07 янв, 2006 22:38 Сообщения: 40 Откуда: знаешь?
|
Да не, программу то Trace посоветовал, с ней все ок, у меня вот то же самое что и у hornet'a было, типа смена мак адреса шлюза, только вместо "0" было "50". И кстате что смешно, у меня наоборот после http://www.krasno.ru/arp-gw.php все закончилось и сеть стала стабильно показывать <1 мс, а до этого то превышен интервал ожидания, типа потеря пакетов во время подмены адреса, то высокие мс..
_________________ ----------------------------
|
Ср 12 дек, 2007 23:36 |
|
 |
Pampa
ветеран
Зарегистрирован: Сб 24 дек, 2005 16:51 Сообщения: 1042
|
Эй, благородные доны, минуточку!
А что, обычные средства борьбы с этим вирусом в данном случае не работают? Его антивирь не видит или он не удаляется без убиения очень системных файлов?
_________________ - Нашему царю показали фигу, умрем все до последнего!
|
Чт 13 дек, 2007 12:20 |
|
 |
hornet
ветеран
Зарегистрирован: Ср 20 сен, 2006 23:21 Сообщения: 1848
|
Вот здесь в конце это обсуждали viewtopic.php?t=1833&start=810
В общем Пуск- Выполнить-cmd - arp -s 172.18.ХX.254 00-хх-хх-хх-хх-хх 172.18.ХX.ХХ
т.е arp -s {адрес шлюза в вашей подсети} {МАС шлюза} {ваш адрес}
МАС шлюза смотрите в той же MDarp когда все работает норм
как узнать адрес шлюза подсети?
|
Чт 13 дек, 2007 13:13 |
|
 |
Ka3us
гуру
Зарегистрирован: Пт 10 фев, 2006 19:10 Сообщения: 4607
|
Pampa, почитайте здесь: http://forum.butovonet.ru/viewtopic.php ... sc&start=0
Цитата: Уважаемые пользователи сети Бутовонет!
В нашей сети, да и вообще, в Интернете, распространился новый вирус (ему уже более 10 дней). Вредоносность этого вируса заключается в создании помех в работе по локальной сети, в Интернете.... Проявляется это в следующем: 5-10 минут отличной работы, потом 5-10 минут проблем. Причем, не только у самого завирусованного компьютера, но и у его соседей по сети. (Подробности его функционирования, думаю, Вас не интересуют, а технические специалисты поймут и так). Мы выловили несколько таких зараженных машин в нашей сети. Анализ этих компьютеров показал, что ни один из действующих антивирусных пакетов был не в состоянии обнаружить и/или вылечить данные компьютеры. Только DrWeb обнаружил вирус, но вылечить - не смог, помогла только переустановка системы с ПОЛНЫМ переформатированием жесткого диска и УДАЛЕНИЕМ всех пользовательских файлов.
Данная вирусная эпидемия уже "положила" многие компьютерные сети. Наши коллеги из других сетей города Москвы тоже бьют тревогу и ищут выход из создавшегося положения. Пока нашли один выход - это отключение компьютеров от СЕТИ (и от Интернета, соответственно, тоже) до момента, пока пользователь не переставит систему.
|
Чт 13 дек, 2007 13:13 |
|
 |
Ka3us
гуру
Зарегистрирован: Пт 10 фев, 2006 19:10 Сообщения: 4607
|
hornet писал(а): как узнать адрес шлюза подсети? Сетевые подключения ->ЛВС или высокоскоростной Интернет -> Подключение по локальной сети -> (ПКМ)Состояние ->Поддержка
|
Чт 13 дек, 2007 13:17 |
|
 |
Наблюдатель...
завсегдатай
Зарегистрирован: Вс 15 янв, 2006 19:13 Сообщения: 734
|
Или Пуск->Выполнить->cmd->ipconfig
Ищем строчку :
Основной шлюз . . . . . . . . . . : 172.18.*.*
|
Чт 13 дек, 2007 13:21 |
|
 |
hornet
ветеран
Зарегистрирован: Ср 20 сен, 2006 23:21 Сообщения: 1848
|
всё делаю как указано, не получается, пишет: не является внутренней или внешней командой
|
Чт 13 дек, 2007 13:31 |
|
 |
hornet
ветеран
Зарегистрирован: Ср 20 сен, 2006 23:21 Сообщения: 1848
|
Пока нашли один выход - это отключение компьютеров от СЕТИ (и от Интернета, соответственно, тоже) до момента, пока пользователь не переставит систему.
и что потом? опять через пару дней переустанавливать систему?
|
Чт 13 дек, 2007 13:34 |
|
 |
Ka3us
гуру
Зарегистрирован: Пт 10 фев, 2006 19:10 Сообщения: 4607
|
hornet, можно еще скачать http://www.krasno.ru/arp-gw.php и в блокноте посмотреть содержимое файла.
|
Чт 13 дек, 2007 13:38 |
|
 |
Trace
мудрец
Зарегистрирован: Вс 11 дек, 2005 23:32 Сообщения: 12162 Откуда: dialog-k
|
hornet писал(а): как узнать адрес шлюза подсети?
Код: диапазон адресов шлюз MAC 172.18.16.0-172.18.17.255 172.18.16.254 00-19-5B-12-7C-C1 172.18.18.0-172.18.19.255 172.18.18.254 00-19-5B-12-7C-C2 172.18.20.0-172.18.21.255 172.18.20.254 00-19-5B-12-7C-C3 172.18.22.0-172.18.23.255 172.18.22.254 00-19-5B-12-7C-C4 172.18.24.0-172.18.25.255 172.18.24.254 00-19-5B-12-7C-C5 172.18.32.0-172.18.33.255 172.18.32.254 00-19-5B-12-7C-CA 172.18.34.0-172.18.35.255 172.18.34.254 00-19-5B-12-7C-CB 172.18.36.0-172.18.37.255 172.18.36.254 00-19-5B-12-7C-C6 172.18.38.0-172.18.39.255 172.18.38.254 00-19-5B-12-7C-C7 172.18.40.0-172.18.41.255 172.18.40.254 00-19-5B-12-7C-C8 172.18.42.0-172.18.43.255 172.18.42.254 00-19-5B-12-7C-C9
172.18.48.0-172.18.49.255 172.18.48.254 00-19-5B-12-56-81 172.18.50.0-172.18.51.255 172.18.50.254 00-19-5B-12-56-82 172.18.60.0-172.18.61.255 172.18.60.254 00-19-5B-12-56-84 172.18.68.0-172.18.69.255 172.18.68.254 00-19-5B-12-A3-02
Для остальных адресов шлюз 172.18.0.254 и мак 00-1b-78-59-fd-12. Сам скрипт делает две команды: собственно arp -s ip mac, и ту же команду прописывает в автозагрузку. Чтобы удалить результаты работы скрипта, надо выполнить следующие команды: Код: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /f /v arp_gw arp -d
_________________ Знания - сила, незнание - счастье.
|
Чт 13 дек, 2007 20:12 |
|
 |
Raf
новичок
Зарегистрирован: Пн 29 окт, 2007 14:32 Сообщения: 53
|
Вот только на 3 день появилось:
Цитата: 1 - 11:35:01: Mapping changed: 172.18.0.254 changed from 00-0D-87-C2-D7-6D to 00-1B-78-59-FD-12 2 - 11:35:04: Mapping changed: 172.18.0.254 changed from 00-1B-78-59-FD-12 to 00-0D-87-C2-D7-6D 3 - 11:35:24: Mapping changed: 172.18.0.254 changed from 00-0D-87-C2-D7-6D to 00-1B-78-59-FD-12 ... 275 - 11:52:56: Mapping changed: 172.18.0.254 changed from 00-0D-87-C2-D7-6D to 00-14-5E-6B-52-96
Запустил http://www.krasno.ru/arp-gw.php - нормализовалось.
Последний раз редактировалось Raf Пт 14 дек, 2007 16:00, всего редактировалось 1 раз.
|
Пт 14 дек, 2007 13:16 |
|
 |
hornet
ветеран
Зарегистрирован: Ср 20 сен, 2006 23:21 Сообщения: 1848
|
172.18.0.254 00-1b-78-59-fd-12
172.18.0.250 00-1a-4b-0a-37-cf
второй день выскакивают
|
Пт 14 дек, 2007 13:29 |
|
 |
miraGe
новичок
Зарегистрирован: Сб 07 янв, 2006 22:38 Сообщения: 40 Откуда: знаешь?
|
1 - 17:43:03: Mapping changed: 172.18.50.61 changed from 00-00-00-00-00-00 to 00-E0-4D-21-EB-6C
Vot takaya erunda. Che eto znachit ? 
_________________ ----------------------------
|
Сб 15 дек, 2007 21:51 |
|
 |
Chester
бывалый
Зарегистрирован: Чт 06 дек, 2007 20:16 Сообщения: 100 Откуда: Красноармейск
|
3 - 21:53:23: Mapping changed: 172.18.54.35 changed from 00-15-F2-21-25-19 to 00-00-00-00-00-00
4 - 21:53:25: Mapping changed: 172.18.54.35 changed from 00-00-00-00-00-00 to 00-15-F2-21-25-19
1 - 22:07:02: Mapping changed: 172.18.56.24 changed from 00-00-00-00-00-00 to 00-08-A1-1C-5A-46
2 - 23:10:16: Mapping changed: 172.18.66.28 changed from 00-00-00-00-00-00 to 00-E0-18-EC-AA-28
3 - 23:18:32: Mapping changed: 172.18.54.39 changed from 00-14-2A-5C-DA-5F to 00-00-00-00-00-00
4 - 23:18:38: Mapping changed: 172.18.54.39 changed from 00-00-00-00-00-00 to 00-14-2A-5C-DA-5F
|
Сб 15 дек, 2007 23:10 |
|
 |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|