PT. Hawk Teknologi Solusi

Silahkan Cari Disini

Rabu, 17 Desember 2008

Mengatasi Worm Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec) dengan Mikrotik

Huh...
dua hari sudah aku dikerjain worm
dimulai dari telepon Mr. Denis MIT Hotel Menara Peninsula Tgl 17 Des 2008 yang melaporkan jaringan hotel kena virus yang mengakses url http:// trafficconverter . biz beliau minta url tersebut di blok disisi ISP Datautama.

Ok langkah pertama lempar semua traffic 80 ke proxy squid lalu saya filter url tersebut, berhasil?
ternyata tidak itu hanya sementara

Hari ini Tanggal 18 Des 2008 dapat email dari Mas Priyo bahwa limiter international dua kali di reboot karena CPU Loadnya tinggi sekali mh..... ada apa ini? pasti flood wah ini serangan
tapi sampe jam 14 lebih masih belum juga ditemukan siapa yang ngeflood semua normal2 saja di torch mh... kenapa ya, belum lagi selesai Mas Firman Pasuruan nanyain RB433AH nya sudah di pasang belum di cyber :( , belum makan pula , ditambah email internal yang menjengkelkan pingin rasanya matiin handphone terus kabur ke S*A huehehehehe , ya uda makan dulu di warteg terdekat kantor, krismon nih cari minuman import aja kagak ade hiks.

Ternyata memang makanan memberikan kekuatan baru dan ide-ide baru , ok baca lagi deh penjelasan tentang tingkah laku worm sialan itu di : http://www.ca.com/securityadvisor/virusinfo/virus.aspx?id=75911

atau kalau mau referensi yang sudah berbahasa Indonesia bisa dibaca di:
http://vaksin.com/2008/1208/conficker/conficker.htm
thanks Pak Alfons atas artikelnya, padahal bos vaksin sudah menyampaikan ke saya adanya serangan virus ini hehehe tapi baru sadar kalau sudah kena getahnya hehehe.

mh...
ada ide "tuing"
ok kalau mengandung loadadv . exe dst-addressnya cemplungin aja ke address-list terus di drop di firewall chain forward ok mainkan

berikut adalah screenshootnya

1. buat mangle


in interface adalah interface dalam yang menghadap ke jaringan kita



isi content dengan " loadadv . exe " lihat gambar , di destination address-list isi ! ournetwork, maksudnya agar content tsb hanya di cek kalau destinationnya bukan address-list ournetwork.


kalau ada content " loadadv . exe " masukkin ke dst-address-list = worm-dst

2. Buat firewall rule chain forward




dst-address-list pilih "worm-dst"



action drop
lalu ok
jangan lupa taro di paling atas ya

dengan demikian maka kalau ada destination address yang ditangkap karena digunakan untuk mendownload file " loadadv . exe " maka akan didrop sehingga proses download file jahanam tersebut tidak dapat dilakukan.

hasilnya:
1. MRTG turun ke level 10-11Mbps


2. di address-list terdapat ip2 yang digunakan untuk download loadadv . exe . tapi hati-hati, sistem mangle dengan content "loadadv . exe" ini juga cukup galak jadi kalau ada yang mengetikkan " loadadv . exe " dengan titik antara loadadv dan exe tanpa spasi pasti kena cekal juga destination addressnya hehehe makanya saya tulis " loadadv spasi . spasi exe " biar gak kecekal :)


10 komentar:

Unknown mengatakan...

Mr. Har... tq so much for the tuts ,

Ps: I already asked Mr.Priyo about your book. He said he didn't have. How could a Data Utama branch manager doesnt have your book?
hihihihihih...............


warm regards

Unknown mengatakan...

pak kalau seumpama ada user iseng nyari "loadadv . exe" di google apa nggak google'nya ikut ke block ??

Harijanto Pribadi mengatakan...

Sorry Mr. Priyo is very busy man so he didn't have time to by my book or may be he doesn't have money to buy my book because my book is very expensive for him lol "just kidding" .

kalau ada user iseng nyari "loadadv . exe" ya googlenya ke blok juga hehehehe

Anonim mengatakan...

bro, gw agak bingung dikit:
1. kalo in interface itu WAN apa LAN ??
btw gw pake mikrotik untuk Office

thq
al.hermansyah@gmail.com

Harijanto Pribadi mengatakan...

dalam contoh di artikel ini interrace "in" berarti LAN nya

Novel mengatakan...

Pak, dikantor saya juga kena virus ini dan kebetulan juga saya pake mikrotik... loadadv . exe maksudnya apa.. maklum newbie neh hehehe

duh virus keplek neh

echozeck mengatakan...

nice post gan

echozeck mengatakan...

nice post gan:D

semutz mengatakan...

hehe .. keren boss .. cman permasalahannya di konfiker open port http acak .. bukan hanya port2 itu aja .. jd saya pilih aman skr .. allow port2 yang standart buat browsing ceting dll .. selebihnya blok.. yang penting aman :D
thanks yah :D
punc4k kemana nih :P

Anonim mengatakan...

saya agak bingung membaca kalimat ini

di address-list terdapat ip2 yang digunakan untuk download loadadv . exe . tapi hati-hati, sistem mangle dengan content "loadadv . exe" ini juga cukup galak jadi kalau ada yang mengetikkan " loadadv . exe " dengan titik antara loadadv dan exe tanpa spasi pasti kena cekal juga destination addressnya hehehe makanya saya tulis " loadadv spasi . spasi exe " biar gak kecekal :)

http://2.bp.blogspot.com/_nzWcXcVYSRs/SUjnrLW_iJI/AAAAAAAAAVs/l_sIxGi8CZg/s1600-h/mangleloadadv6.png
pada gambar ini anda mengisi dengan loadadv.exe

sedangkan di akhir blog anda mengisi loadadv spasi . spasi exe

jadi yg mana yg benar ?