пятница, 23 сентября 2011 г.

Ловушка для сетевых вирусов. Или как определить кто рассылает вирусы по сети.

  Вспомнил свое рацпредложение от 2005г и решил поделиться с братьями-землянами.
  В те годы, начиная с Klez -a, пошла мода на вирусы, которые по локальной сети записывались в расшаренный по сети папки везде где было право на запись. Надежда на любопытного пользователя, который этого незнакомца запустит своими руками. В те годы хорошего антивируса наша организация еще не купила и пошли массовые эпидемии всякой заразы. В каждой открытой папке обязательно лежал неизвестный файл с непримечательным именем. Или наоборот с очень примечательным. Типа "Глюкоза напилась в ...", "Школьницы разделись на выпускном и ..." и т.д. Понадобилось вычислять какая машина рассылает заразу.


  Идея была такова. По сети открыта папка. На вид самая обычная. Когда в нее пытаются писать из сети, для каждой зашедшей машины на винчестере создается своя папка. С именем как у зашедшей машины. И становится легко отследить какой компьютер кидает мне вирус.

  Для следующих действий мною использовалась машина на Linux и установленная Samba. А конкретнее последний раз это была Fedora Core 9 и уже не помню какая версия самбы. В связи с тем, что по некоторым причинам это уже не используется, настройки я привожу по памяти. Возможно в них вкралась какая-то ошибка, но идея будет понятна.

1. Создать папку /data/lovyshka и назначить на нее все права "chmod -R 0777 /data/lovyshka"

2. Файл smb.conf раздел где определяются открытые папки

## Author Ymka blog: http://ags-ymka.blogspot.com/

[lovyshka]
  path = /data/lovyshka/%m-%I
  writable = yes
  root preexec = /bin/mkdir /data/lovyshka/%m-%I

  Здесь %m и %I это внутренние переменные самбы. %m содержит сетевое имя компа, а %I - его IP адрес. У меня еще внизу были две команды которые давали всем созданным папкам и файлам полные права, но за давностью лет я забыл их написание, поэтому man вам в помощь.

3. Перегружаем сервисы smb и nmb.

  Структура папок получается такая
/- data
    |-  lovyshka
        |-  buh-111-ivanov-192.168.1.54
        |-  teh-234-petrov-192.168.1.215
        |-  dp-118-secretar-192.168.1.39

  Видно что в вирусную ловушку заходило 3 компьютера. И если в папке teh-234-petrov-192.168.1.215 находится вирусный файл, то понятно кто источник заразы. Остальные двое - просто любопытные бездельники.

  Вот так нам удалось быстро вычислять зараженные компьютеры.