cafepost
Goto Top

Conficker Virus im Netzwerk ( PFsense , Snort )

Hallo Zusammen ,

ich hab denn conficker virus in meinem Netzwerk ,
in meinem netz sind ca 100 user und einige handys online.

ich habe auf meiner PFsense Firewall Snort installiert ,
kann ich mit snort jetzt den pc ausfindig machen und automatisch blocken ?

wenn ja wie ?

ich hab schon einen richtigen Stress mit meinen Provider der mich wöchentlich sperrt .

Danke für die Hilfe

Rene

Content-ID: 277538

Url: https://administrator.de/forum/conficker-virus-im-netzwerk-pfsense-snort-277538.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

wiesi200
wiesi200 16.07.2015 um 15:48:17 Uhr
Goto Top
Hallo,

schon mal den Spaß über dein Netzwerk laufen lassen?
http://www.mcafee.com/us/downloads/free-tools/conficker-detection.aspx
kaiand1
kaiand1 16.07.2015 um 15:54:53 Uhr
Goto Top
Nun wenn du den schon meheren Wochen hast und nicht los wirst....
Firewall so einstellen das nur die WIchtigen Ports offen sind und rest Sperren.
Alle PCs "einsammeln" und komplett neu Aufziehen.
Dabei Daten alles Sichern, Scannen und neue PWDs verteilen.
Dazu Handys auch Checken da dort ggfs auch was sein kann zumal die ja auch meist eigendes Internet haben und dadurch die Firewall von dir umgehen und so auch Schaden können.
Und wenn dein Provider Druck macht (was ja Richtig ist) kann es sein das dieser dir die Leitung erstmal länger kappt und dann stehst du da...
Währe ggfs Wochenendschicht um den Ablauf nicht groß zu stören ;)
Notfalls externe Dienstleister holen der dies übernimmt.

Dazu geben die Suchmaschienen deiner Wahl viele Infos über den Wurm aus sowie deren Behandlung...
Nur um mal paar zu nennen

https://support.microsoft.com/de-de/kb/962007 Warnung vor dem Wurmvirus Win32/Conficker
http://www.chip.de/bildergalerie/Die-besten-Tools-um-den-Conficker-Wurm ...
http://www.heise.de/security/artikel/Die-Infoseite-zu-Conficker-270120. ...
http://www.heise.de/security/meldung/Deutsche-Forscher-entwickeln-Netzw ...
http://www.netzwelt.de/news/79610-conficker-programme-entfernen-compute ...
http://www.tecchannel.de/sicherheit/spam/1986704/conficker_das_groesste ...
https://de.wikipedia.org/wiki/Conficker
Ravers
Ravers 16.07.2015 um 16:09:43 Uhr
Goto Top
Hi,

hatte auch den verdammten Conficker, der mich reichlich geärgert hat.

Meine Erfahrung mit dem Schlingel - ein Tool kann nix ausrichten.
Habe alle Tools, die den Conficker entfernen können damals durchlaufen lassen (auf jedem PC; hab leider diese Woche die Tools alle gelöscht - war aber schon ne Weile - sprich mehrere Jahre- her) - erst danach war einiger maßen Ruhe. Jedes Tool hat verschiedene Versionen vom Conficker erkannt und zum Teil erfolgreich gelöscht. Hab aber div. Wochen damit verbracht (ohne Wochenendarbeit und externe Dienstleister - Umgebung: 150+ Geräte) und nach dem entfernen die entsprechenden Updates installiert. Bei dem ein oder anderen musste ich auch öfters Hand anlegen.
Netzwerkkarte währenddessen natürlich deaktivieren!

Ist echt ein fieses Ding, dachte er wär mittlerweile verschwunden aus dem Netz.

Teuteuteu!!

greetz
ravers
Lochkartenstanzer
Lochkartenstanzer 16.07.2015 aktualisiert um 18:11:51 Uhr
Goto Top
Moin,

Da gibt es eigentlich nur eins:

  • Netz runterfahren,
  • Alles vom Netz nehmen
  • zuerst die Server duchchecken/säubern/neu aufsetzen.
  • dann die Clients durchgehen und je nach Fall prüfen und ggf. neu aufsetzen.
  • Die Mobilen Geräte in eine separate Zone packen
  • Erst wenn alles gesäubert ist, Netz wieder hochfahren.

Solange Du das nicht so machst, wirst Du immer wieder Systeme haben, die sich gegenseitig anstecken.

lks

PS. Bereite dich schon mal auf ein sehr langes Wochenende vor. face-smile

PPS: ein Tipp: Setze einen pxe-server auf und boote von dort alle Kisten mit desinfect. Dann kannst Du das Wochenende mit einer Kiste bier und viel Warterei verbringen. face-smile
cafepost
cafepost 16.07.2015 um 16:28:45 Uhr
Goto Top
Danke erstmal .... da hab ich ja was zum tun . wie schön !!!
108012
108012 16.07.2015 um 19:51:47 Uhr
Goto Top
Danke erstmal .... da hab ich ja was zum tun . wie schön !!!
Das kommt erst danach!!! Denn wenn Du das seit Wochen hast sind auch alle Backups verseucht
und die Arbeit die seit Wochen gesichert (Backup) wurde will keiner nochmal verrichten!
Einen Server anlegen mittels Disinfec´t vom heise Verlag und von dort aus sicher alles scannen!
Die eigenen USB Sticks mal überprüfen!!!
Glaub mir bitte der Spaß geht danach erst richtig los.

Ich würde das auch so machen wollen wie @Lochkartenstanzer es aufgeschrieben hat
und zusätzlich noch;
- Backups kontrollieren (Auf jeden Fall)
- UTM Device kaufen oder aber andere Hardware (stärker, viel stärker) für die pfSense
und dann HAVP, Squid & SquidGuard, Snort installieren.
- Alle Klienten und Server mit einem AV Schutz ausstatten ja auch für Linux PCs,WSs und
Server gibt es so etwas!
- Mal darüber nachdenken ob es eventuell Sinn macht eine DMZ aufzusetzen in der alle
Server mit Internetkontakt "stehen" und nur via Squid mit dem Internet kommunizieren
- OSSec auf den Hosts installieren und Snort Sensoren im Netzewerk verteilen die an jeweils
einen Server melden und der gibt dann Alarm wenn sich etwas tut.
- Jeden Freitag das von MS mitgelieferte Tool einmal laufen lassen bevor man den PC
ausschaltet und nach Hause geht! oder sogar durch einen anderen richtigen AV Scanner!?
- VLANs anlegen und diese mittels Switch ACLs absichern.
- Auf einer Hardware die potent genug, ich wiederhole die potent genug ist, DPI aktivieren
eventuell gleich auf der pfSense?
- pfSense kann viel und mittels Paketen noch mehr aufgebohrt werden, nur man kann das
auch alles auf eigene Server verteilen, dann hat man etwas für die alten "Schätzchen"
und als Sensor kann auch ein Alix oder Alix APU Board fungieren.
- USB Ports per GPO und mittels USB Schlössern sperren
- Nur USB Tastatur und Maus zulassen

Gruß
Dobby
cafepost
cafepost 17.07.2015 um 12:18:30 Uhr
Goto Top
Hallo Leute ,

ich komme jetzt nochmal zu meiner frage :


---> ich habe auf meiner PFsense Firewall Snort installiert, kann ich mit snort jetzt den ( die ) pc ausfindig machen und automatisch blocken ?
---> wenn ja wie ?


Dank Rene
Lochkartenstanzer
Lochkartenstanzer 17.07.2015 um 12:30:58 Uhr
Goto Top
Zitat von @cafepost:

Hallo Leute ,

ich komme jetzt nochmal zu meiner frage :


---> ich habe auf meiner PFsense Firewall Snort installiert, kann ich mit snort jetzt den ( die ) pc ausfindig machen und
automatisch blocken ?

Und was soll das bringen? Solange Du Dein netz nicht entsecht hast, wirst Du nach und nach Deinen ganzen Systeme wegblocken müssen. Da ist es einafche, einfach den Interent-Stecker zu ziehen.

lks
cafepost
cafepost 17.07.2015 um 12:54:54 Uhr
Goto Top
Hy ,

du hast ja recht ....

aber : mein Netzwerk ist über ein ganze Stadt verteilt ( verbunden über viele viele Wlan Antennen ) , ca 100 User und öffentliche Hotspot .
die meisten User sind hinter einen Router, nur der Hotspot ist frei zugänglich ( Captive Portal )

das heist ich kann die User nicht besuchen , ich muss die pc im Netzwerk finden , sperren und die User über das Problem informieren.

Danke Rene
108012
108012 17.07.2015 um 16:55:53 Uhr
Goto Top
aber : mein Netzwerk ist über ein ganze Stadt verteilt (verbunden über viele viele Wlan
Antennen ) , ca 100 User und öffentliche Hotspot .
Und wie willst Du die bitte denn mit Snort alle erwischen?

die meisten User sind hinter einen Router, nur der Hotspot ist frei zugänglich
( Captive Portal )
Wenn die hinter einem Router sind und der macht NAT wird das nie etwas mit Snort!

das heist ich kann die User nicht besuchen , ich muss die pc im Netzwerk finden ,
sperren und die User über das Problem informieren.
Das wird wohl eine never ending story!

Wie bitte sind denn die PC hinter Ihren Routern mit Dir verbunden?
Alle via WLAN? und die benutzen dann alle Deinen Internetzugang?

Kannst Du uns mal bitte aufklären was das für ein Netzwerk sein soll?

Gruß
Dobby
Lochkartenstanzer
Lochkartenstanzer 17.07.2015 um 17:05:01 Uhr
Goto Top
Zitat von @cafepost:


aber : mein Netzwerk ist über ein ganze Stadt verteilt ( verbunden über viele viele Wlan Antennen ) , ca 100 User und
öffentliche Hotspot .
die meisten User sind hinter einen Router, nur der Hotspot ist frei zugänglich ( Captive Portal )

das heist ich kann die User nicht besuchen , ich muss die pc im Netzwerk finden , sperren und die User über das Problem
informieren.


O.k. Sieht so aus, als ob Du damit geld verdienst udn als Dienstleister auftritts, SDann soltlest Du Dir halt jemanden dazuholen, der sich damit auskennt..

lks

PS: verteilsz Du wenigstens feste Ip-Adressen auf basis der Macs oder grapschen die sich munter eien freie IP-Adresse? Im ersteren fall kannst Du die snaro.-logs auswerten und die Dinger sperren. Im zweiten fall hast Du viel Arbeit vor Dir,
Pjordorf
Pjordorf 17.07.2015 um 20:22:40 Uhr
Goto Top
Hallo,

Zitat von @cafepost:
jetzt den ( die ) pc ausfindig machen
Du hast dir die Links schon alle mal richtig durchgelesen, oder? Das auffinden ist eben nicht das leichteste. Und a wir dein Netz weder kennen noch wissen was du da tatsächlich machst / hast, wirst du deine Fragen erst beantwortet bekommen wenn wir dir eine passendere Antwort geben können. Nachdem nun feststeht das du da so etwas wie Freifunk oder ein MESH Netz hast was infiziert ist und die Clients fast alle sich auch noch hinter NAT verbergen ... Was machst du da? ur Kohle einstreichen aber nix wissen was dein netz macht oder wie du es sauber hältst? Sorry, aber .. Wie sollen wir dir helfen wenn wir die Basics eben nicht kennen. Schon mal versucht und festgestellt was ein Aufwand es ist die Rechner hinter ein NAT ausfindig zu machen? Es geht, Ja, aber der Aufwand ist doch nur in Feldversuchen und Machbarkeitsstudien vertretbar. Von den verschiedensten OSen und An Fälligkeiten der ganzen Conficker Varianten mal zu schweigen. Frag mal bei ner Uni an ob die kein Bock haben daraus eine Studie zu machen..... Für ein Forum ist das wohl mehr als ein nicht zu stemmendes Projekt....

Wenn du meinst als ISP im Ort aufzutreten und dein NETZ ist jetzt die Quelle des Übels .... was tust du da?

Hast du dich denn mal überhaupt mit der Wirkungsweise des Conficker, seine Ziele und Möglichkeiten diese zu erreichen mal alle abgeklopft - alleine zu Verstehen wie der Conficker sich trotzdem - und das obwohl Firewall, Antivirus und Co. - noch da ist, ist doch schein eine Wochenlange frickelei....

Sorry, aber ich hab den Eindruck du nimmst das alles gar nicht ernst. Ist vermutlich ganz gut das ich einen großen Bogen um dein Wirkungsbereich machen kann face-smile

Gruß,
Peter

[Nachtrag]
In den Links sind doch etliche Möglichkeiten aufgezeigt den Conficker aufzuspüren, nur geht das dort alles von ein Privates LAN aus.
[/Nachtrag]
cafepost
cafepost 19.07.2015 um 14:32:46 Uhr
Goto Top
Hallo Leute ,


ich möchte jetzt mal kurz ein paar Sachen klarstellen :

ich bin kein Dienstanbieter und mit meinem Projekt verdiene ich kein Geld .

Unser Verein (der nicht gewinnorientiert agiert) stellt seinen Mitgliedern einfach Internet zur Verfügung .
meine Zeit und Arbeit ( auch hier in Forum zu diskutieren ) ist gratis .

kurz zu meinem Netz , hat ja wohl einer nicht verstanden :
alle Mitglieder haben einen eigenen Router und sind mit der Wan Schnittstelle mit Pfsense verbunden .
( wird wohl egal sein ob mit Funk oder Kabel !!! )
alle User haben eine fixe Ip auf die WAN mac von ihrem Router. ( was dahinter gemacht wird weiß ich ja nicht )

ISP ---> pfsense ---> FUNK ---> ROUTER ---> Netzwek vom Vereinsmiedglied

es gibt auch ein paar öffentliche Hotspots, die GRATIS genutzt werden können ,
die befinden sich in einer eigenen VLAN Umgebung .

nein, ich habe mich noch nicht mit confiker auseinandergesetzt .
warum auch ? Ich habe mein Netz seit 8 Jahren online und hatte so ein Problem bis jetzt nicht .

das ist auch der Grund, warum ich hier Hilfe suche und das Problem im laufenden Betrieb lösen möchte .
Sollte ich von euch keine Hilfe bekomme, bedanke ich mich für die vielen Infos und werde den Beitrag als gelöst markieren.

LG Rene
Lochkartenstanzer
Lochkartenstanzer 19.07.2015 um 14:40:17 Uhr
Goto Top
Zitat von @cafepost:

ich möchte jetzt mal kurz ein paar Sachen klarstellen :

Und warum schreibst Du das nicht gleich in Deine Frage hinein? Auch wenn viele heir kristallkugeln haben, die vieles erraten können, können die meisten hier trotzdem nciht hellsehen.

Wenn das so ist:

Schalte in deinem snort die tetectin von conficker ein, z.B. mit dem plugin udn lasse das mitloggen.

Lese Deine Logs zeitnah und blokieren einfach die IPs/MAcs des btroffenen Anschlußssen zeitnah. Die betroffenen werden sich dann schon bei Dir melden, wnn ncihts mehr geht.

Dann verdonnerst Du denjenigen, daß er seine Kisten säubert.

lks

Undm wenn das "freie" WLAn betrioffen sin sollte, solltest Du Dir Gedanken machen, ob es eien gute Idee ist, daß so frei zu lassen.
cafepost
cafepost 19.07.2015 um 15:06:29 Uhr
Goto Top
Danke ....

nur das plugin steht nicht mehr zum dow.
108012
108012 19.07.2015 aktualisiert um 18:22:20 Uhr
Goto Top
ISP ---> pfsense ---> FUNK ---> ROUTER ---> Netzwek vom Vereinsmiedglied
Und wie soll man dann heraus finden was die Mitglieder alles hinter dem NAT Router
so für verseuchte Geräte haben!? Und vor allen Dingen wie soll man die reinigen?

es gibt auch ein paar öffentliche Hotspots, die GRATIS genutzt werden können ,
die befinden sich in einer eigenen VLAN Umgebung .
Na das hat ja gut funktioniert!

nein, ich habe mich noch nicht mit confiker auseinandergesetzt .
warum auch ? Ich habe mein Netz seit 8 Jahren online und hatte
so ein Problem bis jetzt nicht .
Wenn immer mehr Vereinsmitglieder damit verseucht sind und dann
auch immer andere PCs verseuchen und dann eventuell einige und
nicht nur ein ISP sagen dass sie "Euch" in das Internet lassen.
Denn im Endeffekt verseuchen Eure Mitglieder ja denn auch mehrere
Zugänge von mehreren ISPs und die haben sich dann wohl ein paar
Gedanken gemacht zu gemacht als Du und das eventuell zu unser
Aller Glück.

das ist auch der Grund, warum ich hier Hilfe suche und das Problem
im laufenden Betrieb lösen möchte .
NAja danach sieht es ja wohl zur Zeit nicht so gut aus.

Gruß
Dobby


: Hinweis : Hierbei handelt es sich nicht um eine technische- oder eine Rechtsberatung sondern nur um einen lockeren Informations- und Meinungsaustausch unter Forumsmitgliedern.
cafepost
cafepost 19.07.2015 um 22:29:48 Uhr
Goto Top
Hallo Dobby ,

was hast du für ein Problem ?

ich glaube du hast meinen Beitrag nicht verstanden .
ich kann auf deine Gescheiten Antworten verzichten .

danke
Ravers
Ravers 21.07.2015, aktualisiert am 28.07.2015 um 14:59:39 Uhr
Goto Top
Hi,

nun mal ruhig Brauner! face-wink

Meine o.g. Antwort hast du vermutlich gelesen. Bei mir war jedoch der Vorteil das ALLE Pc`s bei mir vor der Nase standen und ich es mit etwas hängen und würgen tatsächlich im laufenden Betrieb lösen konnte. Auch hatten wir nie Probleme mit unseren ISP`s. Weiterhin hab ich das Problem vor Jahren gehabt, heutige Versionen sind sicherlich nicht freundlicher.

Bei dir sieht die Sache aufgrund der Konstellation ganz anders aus, und wenn ich das Thread verfolge muß ich aber auch feststellen, das du das Problem verkennst!

Das "Ding" ist nicht ein Möchtegern-Virus, sondern der kann schon einiges an Schaden anrichten. Wie willst du es im laufenden Betrieb lösen wenn auf jedenfall (!!) beim Säubern das Netzwerk deaktiviert sein muß. Selbst dann ist es noch nicht trivial den Rechner zu säubern. Es reicht nicht mal eben Stinger oder so drüberlaufen zu lassen und gut ist.
Mein damaliger Virenscanner (BuisnessAV hat gar nix gefunden, erhöhte Netzwerkaktivitäten und z.T. langsam laufende PC`s haben mich drauf aufmerksam gemacht.

Auch wenn du das Problem nie hattest (auch nach 8 Jahren) - ich hatte das Problem nach ca. 28 Jahren - aber ich hatte es und musste mich damit auseinander setzten.

Also: Auch wenn der ein oder andere Forumsteilnehmer vielleicht etwas unfreundlich rüber kommt will er damit evtl. seine Meinung etwas mehr ausdruck verleihen, was m.E. wohl nötig ist.

Denn auch ich muß dir sagen: Online wirst du das Thema wohl nicht in den Griff bekommen, da ist deine Netzwerkkonstellation zu komplex und mit einem Standardvirenscan (und mehr wirst du deinen Usern wohl nicht abverlangen können) wird es wahrscheinlich nicht reichen!! Grad mit AviraFree-Edition etc.
Lasse mich gerne eines Besseren belehren, jedoch hatte ich das Problem recht schnell analysieren können und konnte aktiv werden. Wie lange ist er bei dir schon Unterwegs?? Du hast geschrieben " Stress mit meinen Provider der mich wöchentlich sperrt"
Demnach hast du ihn schon länger und ich vermute mittlerweile einige infizierte Rechner, der Virus hätte bereits schon im Vorfeld auffallen können.
Wie auch immer: teuteuteu face-wink

greetz
ravers
108012
108012 21.07.2015 um 20:43:15 Uhr
Goto Top
Also: Auch wenn der ein oder andere Forumsteilnehmer vielleicht etwas unfreundlich rüber kommt
will er damit evtl. seine Meinung etwas mehr ausdruck verleihen, was m.E. wohl nötig ist.
In Relation zu dem Schaden der entstehen kann und hier im Forum sind eben recht viele Leute
berufsmäßig damit beschäftigt, ihre Netzwerke genau davor zu bewahren, ist das doch gar nicht
so "böse" rüber gekommen! Klar kann man alle sein Mitglieder mal eben anschreiben und Ihnen
nahelegen das sie mal eben eine c´t kaufen und die disinfec´t drüber laufen lassen.

Nur sollten die dann auch alle vom Netz gehen und dann sollte doch auch schon alles
wieder laufen, oder? Nur eben nichts tun und dann auch noch beleidigt sein wenn jemand
das Problem mal auf den Punkt bringt, das so eine Virenschleuder vom Netz kommt bzw.
wieder bereinigt wird, ist gleich wieder Holland in Flammen! Verstehe ich irgend wie nicht
so richtig.

Gruß
Dobby