Jump to content

BlackTrack

  • entries
    93
  • comments
    279
  • views
    24325

Εντοπισμός malware με την χρήση του netstat


Blackman

1345 views

 Share

Είσαι στο γραφείο σου και θαυμάζεις τα γραφόμενα του Κλαδάκη στο autoexec.gr ...

ξαφνικά "σκάει" τηλέφωνο από τον οικονομικό διευθυντή και σου λέει (αρχικά) "το Internet αργεί"...

σούζα το αλογάκι...και ξεκινάς το ψάξιμο... και ναι βρίσκεις ότι το Ping Με τον έξω κόσμο είναι μεγάλο και σαν πρώτη κίνηση ρίχνεις ένα restart στο router μήπως κάτι έχει κολλήσει...μήπως ο νέος πωλητής της εταιρείας κατεβάζει μεγάλα 'εκπαιδευτικά' αρχεία, ενώ ο παλιός πωλητής της εταιρείας παίζει τάβλι στο Internet και κατεβάζει torrent. (όχι στην δική μου εταιρεία αυτά έχουν φάει 'πόρτα', όπως και ότι άλλο σχετικό).

Βλέπεις ότι τα πράγματα στρώνουν και ενημέρωνεις ανάλλογα.

Όμως σε τρώει η αγωνία, γιατί παρατηρείς περίεργα πράγματα. Κάνεις μία στην κεντρική κονσόλα του antivirus για να δεις τα σχετικά reports. Βλέπεις ότι όντως τις τελευταίες ημέρες κάτι έχει βρει και το έχει σβήσει ή το έχει βάλει σε γκαραντίνα. Παρατηρείς επίσης ότι ο συγκεκριμένος υπολογιστής έχει δικαιώματα administrator (κακό αυτό), αλλά τα έχει για συγκεκριμένους λόγους. Είτε φταις εσύ που το έχεις επιτρέψει, είτε φταίει ο προκάτοχος σου, αυτό πρέπει να αλλάξει.

Παρόλα αυτά αποφασίζεις να σκανάρεις πάλι τα σχετικά μηχανήματα (μαζί με κάποια άλλα που θεωρείς επίφοβα) και τα βρίσκεις όλα εντάξει.

Ξαναπαίρνεις την φραπεδούμπα και την αράζεις για να συνεχίσεις την δουλειά σου. Οι ημέρες περνάνε και ξαφνικά έρχονται τα πρώτα NDRs από emails που στέλνουν οι υπόλοιποι συνάδελφοι και παρατηρείς ότι αναφέρει ότι η IP της εταιρείας έχει γίνει block από σχετικές λίστες spam στο internet (βλ. Spamhaus, spamcop κλπ). Σε πρώτη φάση μπαίνεις στις σχετικές σελίδες και κάνεις delist και όλα ΟΚ. Μετά από κάποιες ώρες πάλι τα ίδια...

Ξεκινάς τα πρώτα γαλλικά... μπαίνεις στην σελίδα http://multirbl.valli.org/ και στο http://www.mxtoolbox.com και βλέπεις τι παίζει.

Αφού έχεις ελέγξει ότι πλέον δεν υπάρχει ιός, αν ξέρεις ελέγχεις το router σου για τα smtp connections που έχει ή παίρνεις τηλ αυτόν που στο διαχειρίζεται για να δει. Συνήθως αυτός βαριέται που ζει και δεν σε βοηθάει...

Πλέον ξέρεις ότι από κάποιο PC φεύγουν spam και δεν χρησιμοποιούν τον exchange σου για αυτό. Πως μπορείς να βεβαιωθείς ότι κάτι πάει στραβά και να βγάλεις το σχετικό PC εκτός;

Ναι...μετά από αυτόν τον πρόλογο καταλήγουμε στο netstat.exe

Πας στον ή στους υπολογιστές που νομίζεις ότι έχει το πρόβλημα και το antivirus το βγάζουν καθαρό και εκτελείς ένα netstat -a

με τον υπολογιστή χωρίς τίποτα ανοιχτό (πχ Outlook, Internet Explorer κλπ) και παίρνεις τα αποτελέσματα σου

όπως πήρα πχ από ένα laptop εγώ

i1175468_netstat.jpg

την συνέχεια την φανταζόσαστε.

 

Οι περισσότεροι φαντάζομαι ότι γνωρίζετε την χρήση του Netstat και φυσικά πολλά μπορούν να συζητηθούν για το πως μπορείς να αποφύγεις μία κατάσταση σαν την παραπάνω. Το θέμα όμως δεν είναι αυτό, αλλά τι μπορεί να βρει κάποιος από μία απλή εντολή.

Πάρτε και κάποια σχετικά Links

για Windows

http://www.ehow.com/how_2212398_use-netstat-commands.html

http://commandwindows.com/netstat.htm

για Linux

http://linuxpoison.blogspot.com/2008/07/how-to-use-netstat.html

http://www.linuxhowtos.org/Network/netstat.htm

http://www.faqs.org/docs/linux_network/x-087-2-iface.netstat.html

 Share

4 Comments


Recommended Comments

κλασσικο προβλημα!

η netstat σε αυτες τις περιπτωσεις ειναι μονοδρομος. και μονο στην υποψια maleware, με ενα netstat -o βλεπεις το PID και μπορεις να βρεις το εκτελεσιμο αρχειο που κανει τη ζημια.

 

μπραβο για τα λινκς.

 

ΝΚ

Link to comment

Επίσης, αν είστε άτυχοι όπως ο Γιώργος (Blackman) και έχετε μια τεράστια λίστα με αποτελέσματα από το netstat, τότε μπορείτε να ανακατευθύνετε το αποτέλεσμα της εντολής σε ένα αρχείο βάζωντας το ακόλουθο στο τέλος της εντολής:

> filename.log

όπου filename.log το όνομα αρχείου που θέλετε να δώσετε.

Δηλαδή η πλήρης σύνταξη μια απλής NetStat είναι:

netstat -a > filename.log

Γιώργο πολύ καλή η πληροφορία, way to go!

Link to comment

Ετικέτες Technorati: microsoft , windows commands Με αφορμή το σχετικό άρθρο για το Netstat και το πως

Link to comment
Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...