O vírus DNS-Killer é um dos piores pesadelos já enfrentados até hoje pelos provedores com sistema operacional em Mikrotik, Linux, FreeBsd ou Unix, pois é muito difícil de localizá-lo. Geralmente eles vem nos sites dizendo ser recadastramento de bancos. Tem efeito menos devastador em servidores Windows ou Novell.
Existem varias versões dele, mas são variações do Trojan.Flush.M. Este vírus ou Trojan backdoor, coloca um arquivo na maquina de um cliente da rede, que envia arquivos de lixo pela porta 53 de DNS. Cada operadora deixa uma pequena banda para uso de DNS, geralmente 8, 16, 32 ou até mesmo 64K, dependo do modem utilizado. Mesmo com cerca de 100 clientes ativos, esta banda raramente atinge os 2Kbps, pois os arquivos de DNS são textos e de no Maximo 128 bytes cada um.
Se a porta 53 estiver com o Upload todo tomado por transferência de arquivo, não será possível fazer a requisição de paginas pela conversão dos IPs de DNS, e irá gerar sempre código 404 (Pagina não encontrada), porem se tentar varias vezes a mesma pagina, as vezes ela abre. A porta 53 passa direto por todos os Firewalls.
Para localizar se seu sistema está com este vírus, entre no Mikrotik em QUEUE TREE e verifique o consumo de Upload de DNS, se estiver constantemente acima de 2K, com certeza algum de seus clientes tem o mesmo instalado.
Vá depois em QUEUE Simple e verifique qual dos clientes esta com o Upload constante, mesmo sem ter nada no Download. Veja com o Torch neste cliente e verifique se esta com consumo constante na porta 53 e no IP do se servidor de DNS. Normalmente cada requisição de DNS leva menos de 0,5 Segundo. Uma piscada no Torch.
Reduza a banda de upload deste cliente para 1K e verifique no Queue Tree se melhorou a taxa de transferência de DNS e se a navegação melhorou.
Muitas vezes o lixo que esta sendo enviado, faz com que a mesma pagina fique sendo baixas inúmeras vezes, matando também toda a faixa de download disponível.
Uma possibilidade é no IP->Firewall->Address List bloquear a faixa de IP 85.255.112.0/20 (AlfaNet Spolka z.o.o - Polônia) e procure na maquina do cliente em Windows/System32/Driver/ os arquivos ndis*.sys veja se a data deles é de 2010 ou anterior. The ArcNet NDIS Protocol Driver. Coloque o mouse sobre eles e veja se aparece a assinatura da Microsoft, se não aparecer, provavelmente ele foi substituído por um falso.
Segundo a Microsoft a melhor opção para retirar este vírus é formatar a maquina infectada, instalar todos os programas a partir dos CDs originais, e NÂO retornar nenhum dos backups anteriores.
Agora se seu Mikrotik utiliza apenas aquelas regras básicas encontradas no site Under-Linux, muito provavelmente você não terá estas opções de DNS em Queue Tree ou no Queue Simple.
Se você utiliza sistema de HotSpot ou de DHCP ativo, será muito difícil de localizar qual a maquina que está infectada.
Servidores de DNS Recomendados.
208.67.222.222
208.67.220.220
8.8.8.8
8.8.4.4
4.2.2.2
75.7.64.62
e também o próprio Gateway do Mikrotik, porem com certas restrições.
Nenhum comentário:
Postar um comentário