dua hari sudah aku dikerjain worm
dimulai dari telepon Mr. Denis MIT Hotel Menara Peninsula Tgl 17 Des 2008 yang melaporkan jaringan hotel kena virus yang mengakses url http:// trafficconverter . biz beliau minta url tersebut di blok disisi ISP Datautama.
Ok langkah pertama lempar semua traffic 80 ke proxy squid lalu saya filter url tersebut, berhasil?
ternyata tidak itu hanya sementara
Hari ini Tanggal 18 Des 2008 dapat email dari Mas Priyo bahwa limiter international dua kali di reboot karena CPU Loadnya tinggi sekali mh..... ada apa ini? pasti flood wah ini serangan
tapi sampe jam 14 lebih masih belum juga ditemukan siapa yang ngeflood semua normal2 saja di torch mh... kenapa ya, belum lagi selesai Mas Firman Pasuruan nanyain RB433AH nya sudah di pasang belum di cyber :( , belum makan pula , ditambah email internal yang menjengkelkan pingin rasanya matiin handphone terus kabur ke S*A huehehehehe , ya uda makan dulu di warteg terdekat kantor, krismon nih cari minuman import aja kagak ade hiks.
Ternyata memang makanan memberikan kekuatan baru dan ide-ide baru , ok baca lagi deh penjelasan tentang tingkah laku worm sialan itu di : http://www.ca.com/securityadvisor/virusinfo/virus.aspx?id=75911
atau kalau mau referensi yang sudah berbahasa Indonesia bisa dibaca di:
http://vaksin.com/2008/1208/conficker/conficker.htm
thanks Pak Alfons atas artikelnya, padahal bos vaksin sudah menyampaikan ke saya adanya serangan virus ini hehehe tapi baru sadar kalau sudah kena getahnya hehehe.
mh...
ada ide "tuing"
ok kalau mengandung loadadv . exe dst-addressnya cemplungin aja ke address-list terus di drop di firewall chain forward ok mainkan
berikut adalah screenshootnya
1. buat mangle
in interface adalah interface dalam yang menghadap ke jaringan kita
isi content dengan " loadadv . exe " lihat gambar , di destination address-list isi ! ournetwork, maksudnya agar content tsb hanya di cek kalau destinationnya bukan address-list ournetwork.
kalau ada content " loadadv . exe " masukkin ke dst-address-list = worm-dst
2. Buat firewall rule chain forward
dst-address-list pilih "worm-dst"
action drop
lalu ok
jangan lupa taro di paling atas ya
dengan demikian maka kalau ada destination address yang ditangkap karena digunakan untuk mendownload file " loadadv . exe " maka akan didrop sehingga proses download file jahanam tersebut tidak dapat dilakukan.
hasilnya:
1. MRTG turun ke level 10-11Mbps
2. di address-list terdapat ip2 yang digunakan untuk download loadadv . exe . tapi hati-hati, sistem mangle dengan content "loadadv . exe" ini juga cukup galak jadi kalau ada yang mengetikkan " loadadv . exe " dengan titik antara loadadv dan exe tanpa spasi pasti kena cekal juga destination addressnya hehehe makanya saya tulis " loadadv spasi . spasi exe " biar gak kecekal :)
