Εντοπισμός malware με την χρήση του netstat
Είσαι στο γραφείο σου και θαυμάζεις τα γραφόμενα του Κλαδάκη στο autoexec.gr ...
ξαφνικά "σκάει" τηλέφωνο από τον οικονομικό διευθυντή και σου λέει (αρχικά) "το Internet αργεί"...
σούζα το αλογάκι...και ξεκινάς το ψάξιμο... και ναι βρίσκεις ότι το Ping Με τον έξω κόσμο είναι μεγάλο και σαν πρώτη κίνηση ρίχνεις ένα restart στο router μήπως κάτι έχει κολλήσει...μήπως ο νέος πωλητής της εταιρείας κατεβάζει μεγάλα 'εκπαιδευτικά' αρχεία, ενώ ο παλιός πωλητής της εταιρείας παίζει τάβλι στο Internet και κατεβάζει torrent. (όχι στην δική μου εταιρεία αυτά έχουν φάει 'πόρτα', όπως και ότι άλλο σχετικό).
Βλέπεις ότι τα πράγματα στρώνουν και ενημέρωνεις ανάλλογα.
Όμως σε τρώει η αγωνία, γιατί παρατηρείς περίεργα πράγματα. Κάνεις μία στην κεντρική κονσόλα του antivirus για να δεις τα σχετικά reports. Βλέπεις ότι όντως τις τελευταίες ημέρες κάτι έχει βρει και το έχει σβήσει ή το έχει βάλει σε γκαραντίνα. Παρατηρείς επίσης ότι ο συγκεκριμένος υπολογιστής έχει δικαιώματα administrator (κακό αυτό), αλλά τα έχει για συγκεκριμένους λόγους. Είτε φταις εσύ που το έχεις επιτρέψει, είτε φταίει ο προκάτοχος σου, αυτό πρέπει να αλλάξει.
Παρόλα αυτά αποφασίζεις να σκανάρεις πάλι τα σχετικά μηχανήματα (μαζί με κάποια άλλα που θεωρείς επίφοβα) και τα βρίσκεις όλα εντάξει.
Ξαναπαίρνεις την φραπεδούμπα και την αράζεις για να συνεχίσεις την δουλειά σου. Οι ημέρες περνάνε και ξαφνικά έρχονται τα πρώτα NDRs από emails που στέλνουν οι υπόλοιποι συνάδελφοι και παρατηρείς ότι αναφέρει ότι η IP της εταιρείας έχει γίνει block από σχετικές λίστες spam στο internet (βλ. Spamhaus, spamcop κλπ). Σε πρώτη φάση μπαίνεις στις σχετικές σελίδες και κάνεις delist και όλα ΟΚ. Μετά από κάποιες ώρες πάλι τα ίδια...
Ξεκινάς τα πρώτα γαλλικά... μπαίνεις στην σελίδα http://multirbl.valli.org/ και στο http://www.mxtoolbox.com και βλέπεις τι παίζει.
Αφού έχεις ελέγξει ότι πλέον δεν υπάρχει ιός, αν ξέρεις ελέγχεις το router σου για τα smtp connections που έχει ή παίρνεις τηλ αυτόν που στο διαχειρίζεται για να δει. Συνήθως αυτός βαριέται που ζει και δεν σε βοηθάει...
Πλέον ξέρεις ότι από κάποιο PC φεύγουν spam και δεν χρησιμοποιούν τον exchange σου για αυτό. Πως μπορείς να βεβαιωθείς ότι κάτι πάει στραβά και να βγάλεις το σχετικό PC εκτός;
Ναι...μετά από αυτόν τον πρόλογο καταλήγουμε στο netstat.exe
Πας στον ή στους υπολογιστές που νομίζεις ότι έχει το πρόβλημα και το antivirus το βγάζουν καθαρό και εκτελείς ένα netstat -a
με τον υπολογιστή χωρίς τίποτα ανοιχτό (πχ Outlook, Internet Explorer κλπ) και παίρνεις τα αποτελέσματα σου
όπως πήρα πχ από ένα laptop εγώ
την συνέχεια την φανταζόσαστε.
Οι περισσότεροι φαντάζομαι ότι γνωρίζετε την χρήση του Netstat και φυσικά πολλά μπορούν να συζητηθούν για το πως μπορείς να αποφύγεις μία κατάσταση σαν την παραπάνω. Το θέμα όμως δεν είναι αυτό, αλλά τι μπορεί να βρει κάποιος από μία απλή εντολή.
Πάρτε και κάποια σχετικά Links
για Windows
http://www.ehow.com/how_2212398_use-netstat-commands.html
http://www.youtube.com/watch?v=RlKxI8HcdWI
http://commandwindows.com/netstat.htm
για Linux
http://linuxpoison.blogspot.com/2008/07/how-to-use-netstat.html
http://www.linuxhowtos.org/Network/netstat.htm
http://www.faqs.org/docs/linux_network/x-087-2-iface.netstat.html