[Comm] Детект вирусной активности в локальной сети

ALT Linux Community general discussions
 help / color / mirror / Atom feed

* [Comm] Детект вирусной активности в локальной сети
@ 2005-02-10  7:55 Anton Farygin
  2005-02-10  8:13 ` Dmitry Lebkov
                   ` (4 more replies)
  0 siblings, 5 replies; 11+ messages in thread
From: Anton Farygin @ 2005-02-10  7:55 UTC (permalink / raw)
  To: community

Всем привет.

Есть задача - детект вирусной активности на машинах под Windows.

При чем детектить нужно с отдельного юниксового тазика (ALT Linux).

При чем машины, на которых нужно определить наличие троянов - могут не 
подозревать о том, что на них кто-то что-то определяет.

Тазик может быть роутером ;-)

Конечная задача - отключать к черту от сети каждую винду, зараженную 
вирусом ;-)

Если кто-то что-то слышал о том, что такое реализуемо и есть для этого 
готовые тулзы - просьба сообщить.

Rgds,
Rider

^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [Comm] Детект вирусной активности в локальной сети
  2005-02-10  7:55 [Comm] Детект вирусной активности в локальной сети Anton Farygin
@ 2005-02-10  8:13 ` Dmitry Lebkov
  2005-02-10  8:24 ` Mike Lykov
                   ` (3 subsequent siblings)
  4 siblings, 0 replies; 11+ messages in thread
From: Dmitry Lebkov @ 2005-02-10  8:13 UTC (permalink / raw)
  To: community

On Thu, 10 Feb 2005 10:55:17 +0300
Anton Farygin <rider@altlinux.com> wrote:

> Всем привет.
> 
> Есть задача - детект вирусной активности на машинах под Windows.
> 
> При чем детектить нужно с отдельного юниксового тазика (ALT Linux).
> 
> При чем машины, на которых нужно определить наличие троянов - могут не 
> подозревать о том, что на них кто-то что-то определяет.
> 
> Тазик может быть роутером ;-)
> 
> Конечная задача - отключать к черту от сети каждую винду, зараженную 
> вирусом ;-)
> 
> Если кто-то что-то слышал о том, что такое реализуемо и есть для этого 
> готовые тулзы - просьба сообщить.

По-идее - любая IDS с соответствующими правилами и реакциями на правила.
snort из Сизифа наверняка сможет помочь. Останется только определить паттерны
"вирусной активности". Ну а скрипт, осуществляющий реакцию, зависит от метода,
которым зарашенные машины будут отключаться.

--
WBR, Dmitry Lebkov



^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [Comm] Детект вирусной активности в локальной сети
  2005-02-10  7:55 [Comm] Детект вирусной активности в локальной сети Anton Farygin
  2005-02-10  8:13 ` Dmitry Lebkov
@ 2005-02-10  8:24 ` Mike Lykov
  2005-02-10  8:52 ` Valery V. Inozemtsev
                   ` (2 subsequent siblings)
  4 siblings, 0 replies; 11+ messages in thread
From: Mike Lykov @ 2005-02-10  8:24 UTC (permalink / raw)
  To: community

В сообщении от Четверг 10 Февраль 2005 11:55 Anton Farygin написал:
> Если кто-то что-то слышал о том, что такое реализуемо и есть для этого
> готовые тулзы - просьба сообщить.

у меня спросили только сегодня об аналогичной задаче.
linux стоит у провайдера, засекать надо клиентов.
я посоветовал snort да portsentry, вот только с конкретикой туго.

если кто-то знает/делал - спрос есть, пусть расскажет ;)

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 


^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [Comm] Детект вирусной активности в локальной сети
  2005-02-10  7:55 [Comm] Детект вирусной активности в локальной сети Anton Farygin
  2005-02-10  8:13 ` Dmitry Lebkov
  2005-02-10  8:24 ` Mike Lykov
@ 2005-02-10  8:52 ` Valery V. Inozemtsev
  2005-02-10  8:57   ` Valery V. Inozemtsev
  2005-02-10  9:00 ` Maxim Tyurin
  2005-02-11  9:15 ` [Comm] " Michael Shigorin
  4 siblings, 1 reply; 11+ messages in thread
From: Valery V. Inozemtsev @ 2005-02-10  8:52 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 803 bytes --]

В сообщении от 10 Февраль 2005 10:55 Anton Farygin написал(a):
> Всем привет.
>
> Есть задача - детект вирусной активности на машинах под Windows.
>
> При чем детектить нужно с отдельного юниксового тазика (ALT Linux).
>
> При чем машины, на которых нужно определить наличие троянов - могут не
> подозревать о том, что на них кто-то что-то определяет.
>
> Тазик может быть роутером ;-)
>
> Конечная задача - отключать к черту от сети каждую винду, зараженную
> вирусом ;-)
>
> Если кто-то что-то слышал о том, что такое реализуемо и есть для этого
> готовые тулзы - просьба сообщить.

snort. но есть одно но. все подобные тулзы не будут работать на всю сеть если 
в сети нет свечей, только хабы

-- 
Valery V. Inozemtsev

Powered by ALT Linux Sisyphus (20050208)
ftp://ftp.altlinux.ru/pub/people/shrek/

[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]

^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [Comm] Детект вирусной активности в локальной сети
  2005-02-10  8:52 ` Valery V. Inozemtsev
@ 2005-02-10  8:57   ` Valery V. Inozemtsev
  2005-02-10  9:03     ` Alexey I. Froloff
  0 siblings, 1 reply; 11+ messages in thread
From: Valery V. Inozemtsev @ 2005-02-10  8:57 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 404 bytes --]

<skip>
> > Если кто-то что-то слышал о том, что такое реализуемо и есть для этого
> > готовые тулзы - просьба сообщить.
>
> snort. но есть одно но. все подобные тулзы не будут работать на всю сеть
					^^^^^^^^^^^^^^^^^^^
					хотел сказать "будут работать"
> если в сети нет свечей, только хабы

-- 
Valery V. Inozemtsev

Powered by ALT Linux Sisyphus (20050208)
ftp://ftp.altlinux.ru/pub/people/shrek/

[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]

^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [Comm] Детект вирусной активности в локальной сети
  2005-02-10  7:55 [Comm] Детект вирусной активности в локальной сети Anton Farygin
                   ` (2 preceding siblings ...)
  2005-02-10  8:52 ` Valery V. Inozemtsev
@ 2005-02-10  9:00 ` Maxim Tyurin
  2005-02-11  9:15 ` [Comm] " Michael Shigorin
  4 siblings, 0 replies; 11+ messages in thread
From: Maxim Tyurin @ 2005-02-10  9:00 UTC (permalink / raw)
  To: community

Anton Farygin <rider@altlinux.com> writes:

> Всем привет.
>
> Есть задача - детект вирусной активности на машинах под Windows.
>
> При чем детектить нужно с отдельного юниксового тазика (ALT Linux).
>
> При чем машины, на которых нужно определить наличие троянов - могут не
> подозревать о том, что на них кто-то что-то определяет.

Могут или должны не подозревать?
Т.е. сенсор можно ставить на Win?

>
> Тазик может быть роутером ;-)
>
> Конечная задача - отключать к черту от сети каждую винду, зараженную
> вирусом ;-)
>
> Если кто-то что-то слышал о том, что такое реализуемо и есть для этого
> готовые тулзы - просьба сообщить.

Prelude + Argus помогает в таком случае. Только я не знаю где есть
готовые правила для вирусов и троянов.

-- 

With Best Regards, Maxim Tyurin aka Bungarus
JID:	MrKooll@jabber.pibhe.com



^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [Comm] Детект вирусной активности в локальной сети
  2005-02-10  8:57   ` Valery V. Inozemtsev
@ 2005-02-10  9:03     ` Alexey I. Froloff
  2005-02-10  9:09       ` Valery V. Inozemtsev
  0 siblings, 1 reply; 11+ messages in thread
From: Alexey I. Froloff @ 2005-02-10  9:03 UTC (permalink / raw)
  To: ALT Linux Community

[-- Attachment #1: Type: text/plain, Size: 530 bytes --]

* Valery V. Inozemtsev <shrek@> [050210 11:58]:
> > snort. но есть одно но. все подобные тулзы не будут работать на всю сеть
> 					^^^^^^^^^^^^^^^^^^^
> 					хотел сказать "будут работать"
> > если в сети нет свечей, только хабы
В свичёваной сети можно заставить их работать.

-- 
Regards, Sir Raorn.
-------------------
> Ещё неплохо бы доложить о проделанной работе в upstream.
Только делать это надо аккуратно, чтобы они там не догадались, что это
типовая ошибка, описанная в документации. :)
		-- ldv in devel@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [Comm] Детект вирусной активности в локальной сети
  2005-02-10  9:03     ` Alexey I. Froloff
@ 2005-02-10  9:09       ` Valery V. Inozemtsev
  2005-02-10  9:18         ` Alexey I. Froloff
  0 siblings, 1 reply; 11+ messages in thread
From: Valery V. Inozemtsev @ 2005-02-10  9:09 UTC (permalink / raw)
  To: ALT Linux Community

[-- Attachment #1: Type: text/plain, Size: 560 bytes --]

В сообщении от 10 Февраль 2005 12:03 Alexey I. Froloff написал(a):
> * Valery V. Inozemtsev <shrek@> [050210 11:58]:
> > > snort. но есть одно но. все подобные тулзы не будут работать на всю
> > > сеть
> >
> > 					^^^^^^^^^^^^^^^^^^^
> > 					хотел сказать "будут работать"
> >
> > > если в сети нет свечей, только хабы
>
> В свичёваной сети можно заставить их работать.

поделись рецептом, у меня не работает (хотя я с этим не очень то и разбирался)

-- 
Valery V. Inozemtsev

Powered by ALT Linux Sisyphus (20050208)
ftp://ftp.altlinux.ru/pub/people/shrek/

[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]

^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [Comm] Детект вирусной активности в локальной сети
  2005-02-10  9:09       ` Valery V. Inozemtsev
@ 2005-02-10  9:18         ` Alexey I. Froloff
  2005-02-10  9:25           ` Valery V. Inozemtsev
  0 siblings, 1 reply; 11+ messages in thread
From: Alexey I. Froloff @ 2005-02-10  9:18 UTC (permalink / raw)
  To: ALT Linux Community

[-- Attachment #1: Type: text/plain, Size: 524 bytes --]

* Valery V. Inozemtsev <shrek@> [050210 12:10]:
> > > 					хотел сказать "будут работать"
> > > > если в сети нет свечей, только хабы
> > В свичёваной сети можно заставить их работать.
> поделись рецептом, у меня не работает (хотя я с этим не очень то и разбирался)
Er...  Свичи должны быть "умные".  Можно весь трафик на
определённый порт завернуть.

-- 
Regards, Sir Raorn.
-------------------
За Сизифом не угонишься: напишешь одно, а на следующий день там уже может
оказаться другое.
		-- ldv in sisyphus@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [Comm] Детект вирусной активности в локальной сети
  2005-02-10  9:18         ` Alexey I. Froloff
@ 2005-02-10  9:25           ` Valery V. Inozemtsev
  0 siblings, 0 replies; 11+ messages in thread
From: Valery V. Inozemtsev @ 2005-02-10  9:25 UTC (permalink / raw)
  To: ALT Linux Community

[-- Attachment #1: Type: text/plain, Size: 605 bytes --]

В сообщении от 10 Февраль 2005 12:18 Alexey I. Froloff написал(a):
> * Valery V. Inozemtsev <shrek@> [050210 12:10]:
> > > > 					хотел сказать "будут работать"
> > > >
> > > > > если в сети нет свечей, только хабы
> > >
> > > В свичёваной сети можно заставить их работать.
> >
> > поделись рецептом, у меня не работает (хотя я с этим не очень то и
> > разбирался)
>
> Er...  Свичи должны быть "умные".

хм... у меня они к сожалению дешевые

> Можно весь трафик на 
> определённый порт завернуть.

-- 
Valery V. Inozemtsev

Powered by ALT Linux Sisyphus (20050208)
ftp://ftp.altlinux.ru/pub/people/shrek/

[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]

^ permalink raw reply	[flat|nested] 11+ messages in thread

* [Comm] Re: Детект вирусной активности в локальной сети
  2005-02-10  7:55 [Comm] Детект вирусной активности в локальной сети Anton Farygin
                   ` (3 preceding siblings ...)
  2005-02-10  9:00 ` Maxim Tyurin
@ 2005-02-11  9:15 ` Michael Shigorin
  4 siblings, 0 replies; 11+ messages in thread
From: Michael Shigorin @ 2005-02-11  9:15 UTC (permalink / raw)
  To: community

On Thu, Feb 10, 2005 at 10:55:17AM +0300, Anton Farygin wrote:
> Есть задача - детект вирусной активности на машинах под
> Windows.  При чем детектить нужно с отдельного юниксового
> тазика (ALT Linux).  При чем машины, на которых нужно
> определить наличие троянов - могут не подозревать о том, что на
> них кто-то что-то определяет.  Тазик может быть роутером ;-)
> Конечная задача - отключать к черту от сети каждую винду,
> зараженную вирусом ;-) Если кто-то что-то слышал о том, что
> такое реализуемо и есть для этого готовые тулзы - просьба
> сообщить.

Тулза называется iptables, а превентивная мера -- блокирование
(и логгинг попыток) исходящего трафика по :25.

Это 80%-я мера, но работает.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 11+ messages in thread

end of thread, other threads:[~2005-02-11  9:15 UTC | newest]

Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-02-10  7:55 [Comm] Детект вирусной активности в локальной сети Anton Farygin
2005-02-10  8:13 ` Dmitry Lebkov
2005-02-10  8:24 ` Mike Lykov
2005-02-10  8:52 ` Valery V. Inozemtsev
2005-02-10  8:57   ` Valery V. Inozemtsev
2005-02-10  9:03     ` Alexey I. Froloff
2005-02-10  9:09       ` Valery V. Inozemtsev
2005-02-10  9:18         ` Alexey I. Froloff
2005-02-10  9:25           ` Valery V. Inozemtsev
2005-02-10  9:00 ` Maxim Tyurin
2005-02-11  9:15 ` [Comm] " Michael Shigorin

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git