|
|
 |
|
|
| 1. Re: 悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
  |
|
 |
|
HP : 0 / 624
MP : 279 / 10631
EXP : 98%
|
|
Horce :) 远离手机的人
成员等级: 25
发表总数: 838
金币总数: 9
所属组别: 高级成员
注册日期: 2003/03/14
|
XXXX等若干地市某些网段出现异常情况。某个网段(vlan)的网络应用不正常,无法正常访问网络资源。
经过我们分析,该网段内某台终端感染了BKDR_NPFECT.A病毒,感染后的终端会回应网段内所有的arp请求,引起三层交换机及同网段其它终端上产生错误的arp记录,从而影响该网段的网络应用。
路由器上的记录如下,可以看到所有mac地址都变成了问题终端的mac地址:
XXX#show ip arp
Internet 10.76.60.123 0 000a.e6e0.9ee4 ARPA FastEthernet0/0.10
Internet 10.76.60.125 0 000a.e6e0.9ee4 ARPA FastEthernet0/0.10
Internet 10.76.60.114 0 000a.e6e0.9ee4 ARPA FastEthernet0/0.10
Internet 10.76.60.112 0 000a.e6e0.9ee4 ARPA FastEthernet0/0.10
Internet 10.76.60.118 0 000a.e6e0.9ee4 ARPA FastEthernet0/0.10
Internet 10.76.60.90 0 000a.e6e0.9ee4 ARPA FastEthernet0/0.10
Internet 10.76.60.88 0 000a.e6e0.9ee4 ARPA FastEthernet0/0.10
Internet 10.76.60.92 0 000a.e6e0.9ee4 ARPA FastEthernet0/0.10
Internet 10.76.60.79 0 000a.e6e0.9ee4 ARPA FastEthernet0/0.10
Internet 10.76.60.66 0 000a.e6e0.9ee4 ARPA FastEthernet0/0.10
Internet 10.76.60.67 0 000a.e6e0.9ee4 ARPA FastEthernet0/0.10
Internet 10.76.60.64 0 000a.e6e0.9ee4 ARPA FastEthernet0/0.10
Internet 10.76.60.65 0 000a.e6e0.9ee4 ARPA FastEthernet0/0.10
Internet 10.76.60.70 0 000a.e6e0.9ee4 ARPA FastEthernet0/0.10
Internet 10.76.60.71 0 000a.e6e0.9ee4 ARPA FastEthernet0/0.10
该病毒的详细信息见:
http://www.trendmicro.com/vinfo/virusencyc...ECT%2EA&VSect=P
我们内网也出现此情况,经我们分析和趋势诊断就是BKDR_NPFECT.A,根据案例趋势已更新病毒代码,在3.281就可以直接清除此病毒.之后没有发生相关安全事件.
 |
|
|
|
| 2. RE: 悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
|
|
 |
|
HP : 0 / 18
MP : 2 / 150
EXP : 73%
|
|
新手上路
成员等级: 1
发表总数: 8
金币总数: 24
所属组别: 普通成员
注册日期: 2006/03/20
|
我想确定一下您的这个链接就可以查杀该病毒吧 |
|
|
|
| 3. Re:悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
|
|
|
|
|
HP : 0 / 436
MP : 130 / 7624
EXP : 44%
|
|
名动江湖
成员等级: 18
发表总数: 392
金币总数: 894
所属组别: 中级成员
注册日期: 2003/01/14
|
是的,这个是趋势科技的免费杀毒软件,病毒库可以在网站上随时更新 |
|
|
|
| 4. Re:悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
|
|
|
|
|
HP : 0 / 18
MP : 2 / 150
EXP : 73%
|
|
新手上路
成员等级: 1
发表总数: 8
金币总数: 24
所属组别: 普通成员
注册日期: 2006/03/20
|
much thx |
|
|
|
| 5. Re:悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
|
|
|
|
|
HP : 0 / 15
MP : 2 / 208
EXP : 60%
|
|
新手上路
成员等级: 1
发表总数: 7
金币总数: 23
所属组别: 普通成员
注册日期: 2004/04/19
|
主交换上开启
terminal monitor
terminal logging
后可看到发作时多个VLAN同时报MAC冲突,我查了那MAC都提示从下属单位上连口过来的
有叫华为公司帮忙看看,他们报到深圳那边测,后来说是还未公布的病毒... |
|
|
|
| 6. Re:悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
|
|
 |
|
HP : 0 / 228
MP : 41 / 2835
EXP : 12%
|
|
江湖豪客
成员等级: 10
发表总数: 123
金币总数: 143
所属组别: 普通成员
注册日期: 2004/10/8
|
最近我在公司抓了四五台机,应该是同一类木马。但是不同时期表现形式不同。
总结如下:
A,会发现所有交换机端口out流量异常增大,抓包看到大量主机发出同一序列号的包给同一IP。
个人感觉,这个故障状态类似ARP欺骗的攻击。由于故障机器发出请求但不回应,导致大量重传包向网络广播。
但是不明白为什么在故障机器IP和mac正常,交换机arp表也正常的情况下IP-->IP的包会广播向所有端口。
B,发现网络上有一个非法IP地址出现 "0.136.136.16" 此地址的MAC地址为虚拟。偶然机会下发现 此虚拟MAC地址
为实际故障机器MAC地址+1 。这样就很方便找到故障机器了。
C,在发现B中非法IP地址的机器,有时候就会产生ARP欺骗,即楼上几位提到的sh arp下看到大量IP对应同一MAC地址。
同时在网关上日志记录有大量重复的与网关地址产生的IP冲突。
解决,此三种情况感觉是同一类木马造成。B情况类似休眠状态。尝试过杀毒杀木马,但是一般在三、四天后故障主机又恢复故障。
所以现在发现此类机器我们只有重装其系统一个办法。
看看兄弟们还有什么好办法没?
CCIELAB考试讨论位子讨论QQ群 41800360 mail:swords@tom.com
花儿灿烂的开,
如不观,如不赏。
如不采,如不折,
花自凋零。
无奈伤春逝 |
|
|
|
| 7. Re:悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
|
|
|
|
|
HP : 0 / 120
MP : 16 / 1569
EXP : 82%
|
|
江湖小虾
成员等级: 5
发表总数: 49
金币总数: 70
所属组别: 普通成员
注册日期: 2004/07/29
|
如果改本机的arp表,肯定起作用的,跟闪亮晨星做的实验差不多,但结果相反,改了后就不可以访问了。
转帖一篇ARP病毒原理与防范方案,还有在win下的ARP病毒免疫补丁。
中国路由网上的。晕,网页不让复制,我另存为后把代码去掉后复制过来是乱码,还是给链接吧
http://www.router.net.cn/softrouter/Router...00604/4233.html |
|
|
|
| 8. Re: Re:悬赏500Gil:分析最近出现的一种ARP攻击网络病毒... |
|
|
 |
|
HP : 0 / 37
MP : 4 / 379
EXP : 50%
|
|
初涉江湖
成员等级: 2
发表总数: 14
金币总数: 28
所属组别: 普通成员
注册日期: 2005/07/30
|
看了上面各位大侠的发表,小弟终于有点头绪了。上个月小弟也碰到了类似事情,搞的一头雾水。
当初问题是这样子的,我们2f办公室里的某一网段经常时段时续,一开始以为是接入层交换机2950
出了问题,但是看log并没有什么异样的信息,重起交换机过一回又出现类似问题,那时非常的郁闷(被一群人骂)。
后来抓包发现故障机子,不停的发arp广播,并在4507上面看到如下信息(跟上面提到的类似):
NB4507#show arp | in 000d.6193.7090
Internet 10.5.12.53 15 000d.6193.7090 ARPA Vlan5
Internet 10.5.12.52 0 000d.6193.7090 ARPA Vlan5
Internet 10.5.12.190 4 000d.6193.7090 ARPA Vlan5
NB4507#show arp | in 000d.6193.7090
Internet 10.5.12.53 23 000d.6193.7090 ARPA Vlan5
Internet 10.5.12.107 0 000d.6193.7090 ARPA Vlan5
Internet 10.5.12.114 6 000d.6193.7090 ARPA Vlan5
Internet 10.5.12.190 0 000d.6193.7090 ARPA Vlan5
也有发现跟江湖异人类似的地趾 "0.136.136.16",不过好像并没有实际故障机器MAC地址+1之说吧。
我当初解决方法也是重装那台机子,网络恢复正常,但是并没有搞清楚原因,现在才知原来为病毒所致,
但是我们公司用的是symantec c/s模式的防毒机制,好像并没有什么用,发现不了!
|
|
|
|
| 9. Re:悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
|
|
|
|
|
HP : 0 / 1
MP : 0 / 0
EXP : 0%
|
|
新手上路
成员等级: 1
发表总数: 1
金币总数: 11
所属组别: 普通成员
注册日期: 2006/04/18
|
我们这边网内也出现了类似的情况,同时找到了问题机器,出现的问题跟上面大家说的差不多,抓包也出现了0.136.136.16的IP;
另外安装的杀毒软件是KV2005,病毒库一周更新一次,当时杀出来的病毒是:Trojan/PWS.Lmir.xx,后面的xx包括:ly/mi/jf这几个;
防火墙是卡巴个人防火墙,系统是XP,出问题之前是SP1,之后打了SP2以及所有在线更新。
杀毒的时候出现的情况是:之前普通模式下杀毒,大部分都不能杀掉;进入安全模式杀毒,除了一个以外就都杀掉了,最后的那个是进入了DOS下面干掉了;
杀掉以后问题仍然存在,但是该机器上网一点问题都没有,受影响的仍然是VLAN内的其他机器;
所以我的感觉是:仍然没有找到源头。
这几天将这几个放在隔离区的文件拷贝出来,因为对于代码的理解不多,所以看不出什么东西;而那个要在DOS才能干掉的文件是否在这几个文件内还不清楚,因为当初没有这个意识,所以没有保存下来;
同时这几个文件都是显示TXT的文件,大小在48K。
后面我们这边只能用了一个权宜之计:设计了一个VLAN给病毒机器(当时不方便重新安装系统,幸亏这样才得以保存样本,但是已经被破坏,不过相信最主要的还在,看下面的),修改了IP以后上网,卡巴出现了提示框(当时不是我在操作,所以不敢肯定,但是估计应该不错),是关于IE版本变换!
所以我们估计是仍然存在脚本对explorer.exe文件进行修改,同时在别的论坛看过的资料显示:杀掉了explorer.exe进程以后就不再出现发包的情况。
另外还有一点:在任务管理器里面偶然发现一个cmd.exe进程,然而保证是必然没有手动打开过命令行窗口
提供以上信息给大家参考,看能想到什么办法解决该问题不。 |
|
|
|
| 10. Re:悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
|
|
|
|
|
HP : 0 / 96
MP : 12 / 1217
EXP : 85%
|
|
江湖游客
成员等级: 4
发表总数: 37
金币总数: 68
所属组别: 普通成员
注册日期: 2004/09/13
|
我公司里有遇到过几次。
中国最大网络安全技术数据库....目标,呵呵
|
|
|
|
| 11. Re:悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
|
|
 |
|
HP : 103 / 1033
MP : 956 / 16153
EXP : 33%
|
|
名动江湖
成员等级: 42
发表总数: 2868
金币总数: 1,178
所属组别: 核心成员
注册日期: 2003/09/4
|
继续关注,能否解释一下这个现象是否正常。
运行OmniPeek实时捕获,在Messages窗口,如果只选择黄色感叹号图标,
会连续出现类似的信息:
Duplicate IP addresses detected! IP: 207.46.26.54; Physical 1: Pentacom:75:7F:FC; Physical 2: Cisco:07:AC:0C
Duplicate IP addresses detected! IP: 60.191.30.81; Physical 1: Cisco:07:AC:0C; Physical 2: Pentacom:75:7F:FC
其中私有和公网的IP地址都有出现,而后面2个物理地址为核心交换机两个HSRP IP的MAC地址。
请熟悉朋友们帮忙分析一下,谢谢。 |
|
|
