Задать вопрос
@Ridcally

Как вычислить ПО ботнета на компе?

Я человек далекий от глубокого понимания IT, так, почитываю хабр из интереса, но нужна меня заставила обратится к понимающим людям, ибо я уже ничего не понимаю.

Итак, ситуация такова:

Провайдер:
Виявлена проблема з безпекою вашого домашнього комп'ютера
Ваш комп'ютер здійснює вірусну мережеву активність з серверами управління Ботнет. Рекомендуємо перевірити комп'ютер антивірусним програмним забезпеченням для виявлення та знищення електронних шкідників.

Якщо ігнорувати проблему, то інфікований комп'ютер може бути потенційною проблемою безпеки ваших персональних даних. А також - спричиняти некоректну роботу операційної системи в цілому.

Я:
Что это значит? Никаких конкретных данных о том, что мой компьютер является частью ботнета - нет.
У меня установлен ESET Smart Security 8.0.312.3 Update 12151 2015-08-25
При этом с 21.08 все устройства были отключены, и чисто физически не могли осуществлять никакой активности в сети.

Провайдер:
2015-08-25 12:50:00 с вашего IP адреса *** были зафиксированы запросы на IP 188.209.54.12 (сервер-источник управления ботнетами).

Я:
Однако лог роутера за это промежуток никаких чужих подключений не показывает:

Aug 21 22:09:19 rlx-linux daemon.warn dnrd[14582]: [14582] Received tcp message is too big to process
Aug 21 22:09:19 rlx-linux daemon.warn dnrd[14583]: [14583] Received tcp message is too big to process
Aug 21 22:09:20 rlx-linux daemon.warn dnrd[14584]: [14584] Received tcp message is too big to process
Aug 25 20:56:43 rlx-linux user.notice syslog: RT-N10E:ntp starts
Aug 25 22:56:43 rlx-linux user.notice syslog: RT-N10E:ntp client success
Aug 26 00:08:43 rlx-linux user.warn kernel: wlan0: A wireless client is associated - 1C:B0...
Aug 26 00:08:43 rlx-linux user.warn kernel: wlan0: WPA2-AES PSK authentication in progress...
Aug 26 00:08:43 rlx-linux user.warn kernel: wlan0: A wireless client is associated - 1C:B0...

Провайдер:
В редких случаях бывает что это не исходящий, а входящий запрос. Так как роутер включен, управляющий сервер мог пытаться отправить команду.
Отдельно хотелось бы отметить: было замечено, что на старых прошивках роутеров Асус, существует уязвимость, посредством которых часто получают доступ к оборудованию. Учитывая что у вас, судя по всему, открыт удаленный доступ на оборудование, рекомендуем обновить прошивку и не использовать стандартный, 80й, порт.

Я:
Черт, опять сообщение о вирусной активности!

Провайдер:
В 2015-08-27 21:45:00 на ip адрес 154.35.175.201 была активность, в количестве 30-ти соединений, с Вашего ip-адреса.

Антивирус опять ничего не видит, я тоже.
При этом роутер почему-то дублирует клиентов, не знаю, связано ли это, но в клиентах по два подключения с одного родного мака но с двумя разными присвоенными ip.

Помогите, люди добрые, что делать, куда смотреть?
  • Вопрос задан
  • 830 просмотров
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 1
@CyberGrom
Если все устройства были выключены кроме роутера, и внешний ip прописан именно на нем, то и проблема логично именно в нем. Быть может, если роутер часть ботнета, он выходит раз в какое-то время на связь с управляющими серверами, и ему в ответ дают задание. Попробуйте отключить WAN порт роутера от интернета и подключите его к компьютеру, при этом временно пропишите на компьютере адрес гейта вашего провайдера. Запустите wireshark и просто следите за трафиком со своего ip прописанного на роутере. Велика вероятность поймать такие обращения.

ps: Дайте подробности, какая прошивка на роутере, и какой конкретно роутер. Если стоит не родная прошивка, то как вариант откатится на родную последней версии.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы