AustriaWien 10 Geschrieben 20. Januar 2014 Melden Teilen Geschrieben 20. Januar 2014 Hi, laut einem Blacklist-Anbieter ist unser Netzwerk mit Conficker befallen und deswegen die öffentliche IP auf der Blacklist gelistet.Es wurden alle Rechner mit mehreren unterschiedlichen Produkten gescannt - kein Fund. Nun habe ich den gesamten Netzwerkverkehr ins Internet mitprotokolliert und nach Verkehr mit Port 445 (angeblich Benutzt Conficker diesen Port) gesucht - kein Fund. Weiss jemand wonach ich noch in einem solchen Log suchen kann um Conficker-Netzwerkverkehr zu erkennen? Danke vorab, lgD. Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 20. Januar 2014 Melden Teilen Geschrieben 20. Januar 2014 Normalerweise bekommt man doch vom Blacklist Anbieter entsprechende Hinweise, oder gibt's da diesmal nix? Zitieren Link zu diesem Kommentar
rood 0 Geschrieben 21. Januar 2014 Melden Teilen Geschrieben 21. Januar 2014 Hallo zusammen Ich habe seit letzten Donnerstag das selbe Problem. cbl.abuseat.org hat unsere IP gelistet mit der Info: "IP Address xxx.xxx.xxx.xxx is listed in the CBL. It appears to be infected with a spam sending trojan, Proxy or some other form of botnet. This IP is infected with the Conficker botnet. More Information about COnficker can be obtained from Wikipedia." Unser F-Secure zeigt mir nirgends im Netz etwas an... Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 21. Januar 2014 Melden Teilen Geschrieben 21. Januar 2014 http://cbl.abuseat.org/advanced.html gelesen? ;) As we describe in What will A/V software do for me? running an A/V tool or two on your machines doesn't mean anything. The success rate of A/V tools in finding modern spambot infections is very low. In fact: horrible, bad, frightening and almost completely and totally useless. Therefore, an A/V tool saying your computer is "clean" doesn't mean anything anymore. Sorry, but that's just how it is these days. You may get lucky and a new or updated A/V tool might just find it. But don't count on it. Eventuell mal alles durchgehen, was dort steht. Bye Norbert Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 21. Januar 2014 Melden Teilen Geschrieben 21. Januar 2014 Dürfen bei dir Clients per SMTP Mails rausschicken? Ich würde erst mal an der Firewall schauen was da los ist bzw. unnötige Ports sperren. Zitieren Link zu diesem Kommentar
AustriaWien 10 Geschrieben 21. Januar 2014 Autor Melden Teilen Geschrieben 21. Januar 2014 Die Infos bei http://cbl.abuseat.org/advanced.html wurden ursprünglich für Spambots geschrieben die über Port 25 raussenden. Netzwerkverkehr mitschreiben - nachsehen welche Source-IPs an Destination-Port 25 senden - und der Übeltäter war gefunden. Conficker ist aber (leider) kein Spambot, d.h. er hat nichts mit Port 25 zu tun. Wenn ich wüßte nach welchem Port ich suchen könnte, oder eine sonstige Eigenheit, dann wäre die Suche einfacher. Jedoch ist die Aussage der o.a. Seite ".. and you should be looking for ANY traffic .." nicht sehr hilfreich ;-) Im Moment versuche ich mich in dieser Richtung: http://rhosted.blogspot.co.at/2009/09/conficker-network-traffic-wireshark.html Und wenn nicht mir, evtl. hilft es mcseboardern mit ähnlichen Problemen B-) lg D. Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 21. Januar 2014 Melden Teilen Geschrieben 21. Januar 2014 (bearbeitet) Liest du deinen eigenen Link eigentlich? If you have been directed to this page for a "sinkhole malware" detection, such as Zeus, Spyeye, TDSS, or Torpig, be aware that these are NOT detected by port 25 traffic. The CBL lookup for these detections will generally tell you which port the detection was on, and the IPs where the infected machine connected to. With these detections, we're detecting traffic on ports other than port 25. Therefore, when reading this page for those listings, keep in mind these are not port 25 (usually port 443, 8800, 80 etc), and you should be looking for ANY traffic to the IPs mentioned in the lookup page. ich habs dir mal fett markiert. Da steht wie du erkannt hast, "ANY" Traffic. Und das findet man im Allgemeinen nur durch Firewall Logs. Unabhängig vom Protokoll. Hat also wie gesagt nix mit Port 25 SMTP oder Spambots zu tun. Bye Norbert bearbeitet 21. Januar 2014 von NorbertFe Zitieren Link zu diesem Kommentar
AustriaWien 10 Geschrieben 21. Januar 2014 Autor Melden Teilen Geschrieben 21. Januar 2014 Klaro lese ich meine Links. Auch Deine ;) Deswegen hatte ich ja geschrieben - Conficker ist kein Spambot, d.h. er hat nichts mit Port 25 zu tun. Aber egal. Denn ich habe mittlerweile herausgefunden womit er zu tun hat. Nach durchforsten von ca. 2GB Logfiles der nächtlichen Aufzeichnungen des Netzwerkverkehrs konnte ich nämlich den Bösewicht ausfindig machen.Wenn man's weiss wonach man suchen muß ists ja einfach ;) In meinem Fall war es:Netzwerkverkehr nach DNS mit Destination IP 8.8.8.8 (wird von mir ansonsten nicht verwendet) filtern, und schon ergeben sich 252 Packets wie z.B.:192.168.1.126 8.8.8.8 tzokykbx.ws192.168.1.126 8.8.8.8 oxmyu.org192.168.1.126 8.8.8.8 pinhz.net192.168.1.126 8.8.8.8 xwojcwvy.cn192.168.1.126 8.8.8.8 pyxsi.com @rood: Hilft Dir das auch weiter? lg D. Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 21. Januar 2014 Melden Teilen Geschrieben 21. Januar 2014 Aber 8.8.8.8 ist soweit ich weiß der Google dns Server. Da dürfte eher die Frage sein, was von diesem Client aus noch so angefragt wurde. Aber gut, wenn du ihn gefunden hast. Bye Norbert Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 21. Januar 2014 Melden Teilen Geschrieben 21. Januar 2014 Wenn du jetzt noch wissen willst ob mehr Rechner betroffen sind, mach mal DNS nach extern für die Client-PCs zu. Falls noch jemand betroffen ist, solltest du ja anfragen sehen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.