O Sality tem dado muita dor de cabeça para muitos Administradores de Rede. Neste post vou mostrar como detectar se alguma máquina da rede esta infectada com este vírus.
Este vírus tem vários apelidos, veja a figura abaixo:
Como parte de sua atividade de infecção ele tenta estabelecer algumas conexões nos IP´s e portas mostrado na figura abaixo:
Sabendo disso vamos acessar o Gateway da rede e rodar um tcpdump com a sintaxe abaixo:
#tcpdump -n -i any host 122.224.6.48 or host 173.192.153.178 or host 60.190.222.139 or host 64.79.73.154 or host 91.217.162.104 or host 91.217.162.178 or host 222.170.127.203
Com isso toda conexão que queira ser estabelecida nos IP´s acima serão detectados pelo tcpdump, assim podemos saber as máquinas da rede que possivelmente estão infectadas com o Sality.
by Osvaldo H Peixoto
Nenhum comentário:
Postar um comentário