dua hari sudah aku dikerjain worm
dimulai dari telepon Mr. Denis MIT Hotel Menara Peninsula Tgl 17 Des 2008 yang melaporkan jaringan hotel kena virus yang mengakses url http:// trafficconverter . biz beliau minta url tersebut di blok disisi ISP Datautama.
Ok langkah pertama lempar semua traffic 80 ke proxy squid lalu saya filter url tersebut, berhasil?
ternyata tidak itu hanya sementara
Hari ini Tanggal 18 Des 2008 dapat email dari Mas Priyo bahwa limiter international dua kali di reboot karena CPU Loadnya tinggi sekali mh..... ada apa ini? pasti flood wah ini serangan
tapi sampe jam 14 lebih masih belum juga ditemukan siapa yang ngeflood semua normal2 saja di torch mh... kenapa ya, belum lagi selesai Mas Firman Pasuruan nanyain RB433AH nya sudah di pasang belum di cyber :( , belum makan pula , ditambah email internal yang menjengkelkan pingin rasanya matiin handphone terus kabur ke S*A huehehehehe , ya uda makan dulu di warteg terdekat kantor, krismon nih cari minuman import aja kagak ade hiks.
Ternyata memang makanan memberikan kekuatan baru dan ide-ide baru , ok baca lagi deh penjelasan tentang tingkah laku worm sialan itu di : http://www.ca.com/securityadvisor/virusinfo/virus.aspx?id=75911
atau kalau mau referensi yang sudah berbahasa Indonesia bisa dibaca di:
http://vaksin.com/2008/1208/conficker/conficker.htm
thanks Pak Alfons atas artikelnya, padahal bos vaksin sudah menyampaikan ke saya adanya serangan virus ini hehehe tapi baru sadar kalau sudah kena getahnya hehehe.
mh...
ada ide "tuing"
ok kalau mengandung loadadv . exe dst-addressnya cemplungin aja ke address-list terus di drop di firewall chain forward ok mainkan
berikut adalah screenshootnya
1. buat mangle
in interface adalah interface dalam yang menghadap ke jaringan kita
isi content dengan " loadadv . exe " lihat gambar , di destination address-list isi ! ournetwork, maksudnya agar content tsb hanya di cek kalau destinationnya bukan address-list ournetwork.
kalau ada content " loadadv . exe " masukkin ke dst-address-list = worm-dst
2. Buat firewall rule chain forward
dst-address-list pilih "worm-dst"
action drop
lalu ok
jangan lupa taro di paling atas ya
dengan demikian maka kalau ada destination address yang ditangkap karena digunakan untuk mendownload file " loadadv . exe " maka akan didrop sehingga proses download file jahanam tersebut tidak dapat dilakukan.
hasilnya:
1. MRTG turun ke level 10-11Mbps
2. di address-list terdapat ip2 yang digunakan untuk download loadadv . exe . tapi hati-hati, sistem mangle dengan content "loadadv . exe" ini juga cukup galak jadi kalau ada yang mengetikkan " loadadv . exe " dengan titik antara loadadv dan exe tanpa spasi pasti kena cekal juga destination addressnya hehehe makanya saya tulis " loadadv spasi . spasi exe " biar gak kecekal :)
10 komentar:
Mr. Har... tq so much for the tuts ,
Ps: I already asked Mr.Priyo about your book. He said he didn't have. How could a Data Utama branch manager doesnt have your book?
hihihihihih...............
warm regards
pak kalau seumpama ada user iseng nyari "loadadv . exe" di google apa nggak google'nya ikut ke block ??
Sorry Mr. Priyo is very busy man so he didn't have time to by my book or may be he doesn't have money to buy my book because my book is very expensive for him lol "just kidding" .
kalau ada user iseng nyari "loadadv . exe" ya googlenya ke blok juga hehehehe
bro, gw agak bingung dikit:
1. kalo in interface itu WAN apa LAN ??
btw gw pake mikrotik untuk Office
thq
al.hermansyah@gmail.com
dalam contoh di artikel ini interrace "in" berarti LAN nya
Pak, dikantor saya juga kena virus ini dan kebetulan juga saya pake mikrotik... loadadv . exe maksudnya apa.. maklum newbie neh hehehe
duh virus keplek neh
nice post gan
nice post gan:D
hehe .. keren boss .. cman permasalahannya di konfiker open port http acak .. bukan hanya port2 itu aja .. jd saya pilih aman skr .. allow port2 yang standart buat browsing ceting dll .. selebihnya blok.. yang penting aman :D
thanks yah :D
punc4k kemana nih :P
saya agak bingung membaca kalimat ini
di address-list terdapat ip2 yang digunakan untuk download loadadv . exe . tapi hati-hati, sistem mangle dengan content "loadadv . exe" ini juga cukup galak jadi kalau ada yang mengetikkan " loadadv . exe " dengan titik antara loadadv dan exe tanpa spasi pasti kena cekal juga destination addressnya hehehe makanya saya tulis " loadadv spasi . spasi exe " biar gak kecekal :)
http://2.bp.blogspot.com/_nzWcXcVYSRs/SUjnrLW_iJI/AAAAAAAAAVs/l_sIxGi8CZg/s1600-h/mangleloadadv6.png
pada gambar ini anda mengisi dengan loadadv.exe
sedangkan di akhir blog anda mengisi loadadv spasi . spasi exe
jadi yg mana yg benar ?
Posting Komentar