Forum
Bildirimler
Hepsini Temizle
Network Genel
16
Yazılar
5
Üyeler
0
Reactions
1,200
Görüntüleme
Konu başlatıcı
merhabalar.
çalıştığım şirkette 50 pclik bir network var ve bu pclere virüs (sanırım exploit) bulaştı. kaspersky win.netapi diye uyarı veriyor ama bulaştı bir kere.
exploit istisnasız her makinede var. ve networkte arp spoof yapıyor sanırım. bu kanıya nerden vardın derseniz. araştırmalarım sonucunda XARP diye bir program buldum bu program ile sisteme baktığım zaman 50 makinenin yaklaşık 20 tanesi arp spoof yapıyor gözüküyor. işin kötü yanı format atmakta çare değil. bütün makineleri networke bağlamadan ayrı ayrı format atmak gerekiyor. diyeceksiniz ki tek tek format at çöz olayı. ama öyle değil. çünkü kendi kullandığım makineyi sistemden çıkarıp format attım. bütün güncellemeleri yaptım. sp3 kurdum. kaspersky kurup bütün ayarları max yaptım. modemden direk benim pcye kablo geliyor. diğer pclerin modem ile irtibatını kesip sadece benim pcyi internete bağladım. kasperskyin güncellemelerini yaptım. XARP programını kurdum. hiç atak yok. herşey tam düzeldi derken. modemin diğer pcler ile bağlantısını yaptığım zaman yani makinemi networke bağladığım anda virüs daha doğrusu exploit sisteme bulaşıyor.
exploitin işleyişine gelince.
explorer veya firefox farketmiyor. bir siteye bağlandığımızda altta statusta girmek istediğimiz siteye www.cozumpark.com a bağlanıyor diyor ve ardından u.cruze3.cn/do.js ye bağlanıyor mesajı çıkıyor. form olan yani kullanıcı adı şifre isteyen bir siteye girdiğimizde kullanıcı adımızı ve şifremizi girdikten sonra bu siteye bağlanıp tekrar kullanıcı adı ve şifre istiyor. sanırım o anda bir yerlere veri gönderiyor. veri gönderiyor diyorum çünkü process explorer ile uygulamaların nereye bağlandıklarına baktığımda svchost ve kernel32'nin 163data.com.cn sitesine bağlandığını gördüm. bu siteyi araştırdığımız zaman smap mail için kullanıldığını gördüm.
makinalar şu an için do.qwertyy.cn ve u.cruze3.cn sitelerine bağlanıyor. bu siteleri modemden ve hosts dosyasından engellememe rağmen hala aktif. bütün bu hosts ayarlarını her makine için yapsam bile virüs networkte aktif olduğundan internet erişimimiz çok ama çok yavaşlıyor. çıkış alamıyorum internete zaman zaman.
ayrıca XARP ile hangi iplerin atack yaptığına baktığım zaman. sistemde var olmayan ipleri de görüyorum. ip bloğumuz 10.0.0.1 - 10.0.0.255 olmasına rağmen. XARP'de 192.168.0.100 ve türevi iplerden atack yapıldığını belirtiyor.
yardımlarınızı bekliyorum.
Gönderildi : 29/11/2008 02:30
Merhaba,
Mevcut yapınızda Kaspersky Business Space Security ürünü kullanıyorsanız. (Yönetimsel ve Clientlerde Security içeriğine sahiptir.) Yönetimsel program ile tüm sistemleri güncelleyin. Daha sonra tüm clientlerinize full tarama görevi gönderin ve temizleme işlemini bul ve sil olarak yapılandırın ve ortamda bulunan swicth çıkarın böylelikle tüm clientler full taramadan geçecektir. Ortamdaki tüm clientleri internetten ve networkten uzak tuttuğunuz için tarama işlemi sonunda virüsü bulup temizleyecektir. (Kaspersky güncel imzalarında bu virüsle ilgil temizleme imzası vardır)
Siz tüm kullanıcı bilgisayarlarını format attığınızı söylüyorsunuz ancak bu bilgisayarları networke dahil ettiğiniz için mutlaka birinde var ve bulaşıyordur buna kendi bilgisayarınızıda hesaba katarak düşünün.
Bu sorunu yaşayan çok büyük bir firmada bu işlem uygulanmış ve temizlenmiştir. Bunun dışında bir de çin uzantılı (.cn) sitelere girilmesini engellemek için kural oluşturursanız çin sitelerine gidemeyeceği için bu virüsüde alamayacaktır.
Gönderildi : 29/11/2008 03:24
Google da biraz arama yaptıktan sonra şunu buldum.
buffer overflow attack yiyorsunuz. Bence yapmanız gereken makineleri net ten çekin. Tek tek tarattıktan sonra bu yükseltmeyi yükleyin ve deneme yapın bakalımne olacak.
Kolay gele
Gönderildi : 29/11/2008 04:13
Konu başlatıcı
dediğiniz yapıda bir firma değiliz. bir modem ve modenden clientlere dağılan bir yapımız var. ana makine kavramı veya business antivirüs yok maalesef. ama bu olay sayesinde bir server yapısının gerekliliğini yöneticiler anlamış bulunmakta ve en kısa zamanda bu yapının kurulacağını söylediler.
şu an pclerde avira free versiyon bulunmakta. kendi pcimde de kaspersky trial sürüm.
kaspersky ile bütün ayarlamalar max iken full tarama yaptığımda yeni kurulmuş veya eski bir sistemde virüs bulmuyor. ama internet security yani firewall bir saldırı olduğunu bloke ettiğini sölyemesine rağmen sızma gerçekleşiyor.
yukarıda atacak yapıldığını söylediği 10.0.0.134 ip adresi aslında yok. sistemi tarıyorum böyle bir ip yok. yok daha neler deyip her makineye manual elle bakıyorum yok.
kaldıki kullandınız mı bilmiyorum XARP programı ile sistemi incelediğimde modemin ip adresi olan 10.0.0.2 adresinden arp spoof yapıldığı gözüküyor. acaba modeme sızma ihtimali varmı ? (bana pek mümkün mü gibi gelmiyor). Aynı şekilde XARP ile 192.168.0.100'den devamlı atack var. ip adresi sabit olmakla beraber (çok nadirde olsa değişiyor) mac adresi sürekli değişiyor.
eğer kaspersky'in virüs temizleme imzası varsa bana bu virüsün adını verebilirmisiniz ?
eğer yukardaki ekran görüntüsünden yola çıkarak virüsün adı win.netapi derseniz şu an adresini hatırlamıyorum bir forumda okuduğum kadarı ile en son microsoft vista ve xp'nin korsan kullanımından dolayı cin'e yasal bir yaptırım uygulamış/uygulayacak. bu yüzden çinli hackerlar bu tarz bir karşı eyleme geçmişler. bu yüzdendir ki bu exploiti yazan/dağıtan kişi yok yazanlar/dağıtanlar var diyebiliriz. yani farklı exploit isimleri farklı ip adreslerine (.cn olmak zorunda değil) maalesef veri akışı sağlıyor. Dolayısı ile kaspersky A exploiti hakkında temizleme imzasına sahip iken aynı işi yapan B expolitini temizleyemiyor.
sormak istediğim bir şey daha var. sistemimizde server altyapısı olmadığı için herşeyin farklı yollarını arıyorum maalesef. HOSTS dosyası ile internet ipleri engelliyorum. peki local ağdaki iplerden gelen her türlü veriyi engellemenin bir yolu var mı server olmadan ? sanırım bu şekilde bir engelleme virüsün networkte dolaşmasını durdurabilir. ne dersiniz ?
Gönderildi : 29/11/2008 04:26
Konu başlatıcı
Google da biraz arama yaptıktan sonra şunu buldum.
buffer overflow attack yiyorsunuz. Bence yapmanız gereken makineleri net ten çekin. Tek tek tarattıktan sonra bu yükseltmeyi yükleyin ve deneme yapın bakalımne olacak.
Kolay gele
makinemi networkten çıkartıp yedek dahi almadan orjinal sp2 xp ile fdisk atıp windows kurdum. sp2 kurulu zaten. update sitesinden bütün güncellemeleri kurdum. yetmedi üstüne sp3 kurdum. yetmedi sadece kendi makinemi nete bağlayıp kaspersky internet security indirip bütün ayarlar max iken update yaptım. ama networkü taktığım andan sonra bulaşıyor.
şu ana kadar edindiğim tecrübe ile bu exploit svchost ve kernel32'ye bulaştığını söyleyebilir.
sanırım antivirüs ve firewalllar, svchost ve kernel32 kritik uygulamalar olduğu için kendi içlerinde otomatik kural oluşturup bu uygulamalara erişimi izin veriyor olabilir.
Gönderildi : 29/11/2008 04:33
Diğğer makineler nete bağlı olduğu sürece elektrik süpürgesi ile temizleseniz dahi tekrar nete girdiğinizde virüs bulaşır. Diğer makineleri çekip kendi makinenizi temiz hali ile takın bakalım ne olacak?
Gönderildi : 29/11/2008 04:46
Konu başlatıcı
bu ne demek ?
Gönderildi : 29/11/2008 04:52
arp tablonuz!!!
Gönderildi : 29/11/2008 04:57
Konu başlatıcı
erdal bey özür dilerim ama ben orta seviye bilgisiyar kullanıcısım maalesef sizin kadar bilgim yok.
o kadar çok ip olması normal mi ? bu tabloda yanlışlık varmıdır ?
Gönderildi : 29/11/2008 05:03
Sn. Havana NYX,
Benim ve Erdal Hocam'ın da belirtiği üzere kullanıcı bilgisayarların networkte ve nette olması virüs temizliğini engelliyor. Bununla birlikte Kaspersky Business Space Security kurmak için illaki bir sunucuya ihtiyacınız yok XP bir bilgisayarada kurabilir ve diğer clientleri yönetebilirsiniz. Sadece workgroup ortamında bazı ayarları tüm kullanıcılarda yapmalısınız. (basit dosya paylaşımı işaretini kaldırmak ve tüm clientlerde yetkili bir kullanıcı adı ile şifresi oluşturulmalı)
Gönderildi : 29/11/2008 05:05
erdal bey özür dilerim ama ben orta seviye bilgisiyar kullanıcısım maalesef sizin kadar bilgim yok.
o kadar çok ip olması normal mi ? bu tabloda yanlışlık varmıdır ?
Tabloda yer alan ip numaraları kullanıcıların aldığı ve sizin bilgisayarınızdaki görünür listesi.Yani tabiki normaldir. Mesala arp -d komutunu verirseniz cache temizlenir. Yeniden arp -a verirseniz pinglenip tanınan ip ve mac adresleri cachlenmeye başlar.
Gönderildi : 29/11/2008 05:07
Konu başlatıcı
ilgi alaka ve sabrınız için teşekkür ederim.
Gönderildi : 29/11/2008 05:47
mrb arkadaşlar...
ben internet cafe işletiyorum. Havana NYX arkadaşımızla aynı problemleri yaşamaktayım.
formlardan bilgi toplarken bişi dikkatimi çekti bu virüs belleklerlede bulaşııyor virüs ün ismi kido. işin kötü tarafı hangi makineye girerse o makineden bbütün makinelere ping atıyor ve giriyor girdiği makinede genelde ya ses kartını devre dışı bırakıyor yada ağ bağlantılarına girmeyi engelliyor. Etkin bi çözüm varsa yardımlarınızı bekliyorum. tşkler.
Gönderildi : 02/04/2009 00:16
Merhaba Sn. Tolga Er,
Virüsün temizlenme noktası ile ilgili olarak konunun başlından itibaren çözümler ve yolları yazmaktadır. Eğer amacınız pc virüs bulaştırmamak ise bununla ilgili olarakta portalımız üzerine bir çok post atılmıştır. Lütfen arama yaparak bu yöntemleri inceleyiniz.
Saygılar
Gönderildi : 02/04/2009 03:53
Hocam basit bir cafe işletiyorum üste anlatılanları okudum ama hiçbirini uygulayamıyorum. en iyisi dediğiniz gibi virüsten korunmaya bakayım. ağ ortamında ne kadarda etkili olur tartışılır...
tşkler yardım için.
bide siteye yeni üye oldum çok güzel bi site yöneticileri kutluyorum:)
Gönderildi : 02/04/2009 14:20
Merhaba.
Bu virüs ile zamanında çok uğraşmıştım internet cafelerde.Ufak bir dosya bu sorunu kökten çözmeyi başarıyor.
Verdiğim linkten dosyaları indirip uygularsanız sorununuz çözülür diye düşünüyorum.
http://www.mediafire.com/?njmpdwsuwhd19kg
Gönderildi : 05/12/2011 21:23
