Vírus, PF, Windows

Nagyon jó kis malware-t szopott be egy-két ember itt nálunk. Ő az.
Kis gennyes, mert service-ként rakja fel magát, tehát taskmanagerből ha kilőjük, akkor újraindul. Megoldás: kézire kell tenni a hozzá tartozó service-t. Az a baj, hogy a TCP:139 és TCP:5800 portokat scannelte az egész egyetemi tartományban. Ezért a pf-ben kellett kreálni egy szabályt: ha adott portra 30 sec alatt 3-nál több cionnection attempt érkezik, akkor berakja egy listába, és a listatagokat blokkoljuk:

pass out quick on $ext_if proto tcp from < intnet > to any port 139 $tcp_opts (max-src-conn-rate 3/30, overload flush global)
pass out quick on $ext_if proto tcp from < intnet > to any port 5800 $tcp_opts (max-src-conn-rate 3/30, overload < vncflood > flush global
block log quick from {< nbflood >,< vncflood >} to any

Ha letöltjük az expiretable-t, és futtatjuk cronból, a ban temporary lesz (példa az oldalon). Így írtam át:

*/5 * * * * /sbin/pfctl -t flood -T show >> /var/log/bannedlog && /usr/local/sbin/expiretable -t 3600s nbflood
*/5 * * * * /sbin/pfctl -t flood -T show >> /var/log/bannedlog && /usr/local/sbin/expiretable -t 3600s vncflood

és ekkor minden ban előtt odabiggyeszti egy lista végére a letiltott IP-t.

Hozzászólások

A service kezire allitasa nem megoldas mert akkor meg elindulhat, amit gondolom nem annyira szeretnetek. Vagy le kell tiltani vagy le kell torolni.
Torolni lehet az sc-vel (sc delete "FIFA WORLD CUP 2007").