Follow us on...
Follow us on G+ Follow us on Twitter Follow us on Facebook Watch us on YouTube
Register
Page 2 of 2 FirstFirst 12
Results 16 to 24 of 24
  1. awarmanf's Avatar
    Status
    Offline
    Member Array
    Join Date
    Apr 2008
    Posts
    222
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0

    Jump to Comments

    Conficker dan bagaimana mengenalinya

    23 Comments by awarmanf Published on 19-12-2009 19:51
    Sebenarnya sudah cukup banyak tulisan yang dibuat mengenai conficker:

    Tulisan yang akan disajikan di bawah ini pendekatannya hampir sama dengan cara 2 dan 3 cuma scriptingnya tidak dilakukan di mikrotik melainkan di laptop ubuntu penulis. Data domain conficker diambil dari . Cara kerjanya:
    1. Download data domain conficker.
    2. Buat script untuk query setiap domain conficker.
    3. Extract domain yang exist dan alamat ipnya.
    4. Sortir ip conficker yg diperoleh dari domain yang exist untuk mencari ip conficker yang terbanyak atau yang mempunyai nilai terbanyak yang muncul (modulus).
    5. Berdasarkan ip conficker yang diperoleh dari no 4 di atas, cari datanya di dns cache mikrotik.
    6. Jika ada data yang valid maksudkan ip tersebut ke ip firewall address-list untuk diproses lebih lanjut.

    Sebenarnya langkah ini bisa lebih singkat yakni sampai nomor 3 saja, langkah selanjutnya adalah masukan domain conficker yang exist tersebut seperti yang dijelaskan di . Domain conficker yang exist ada sekitar 30ribu lebih. Apa ini mau semuanya dimasukkan ke ip firewall address-list ? Karena belum tentu lho domain conficker ini meski ada (exist) dan juga aktif sebagai inang conficker. Beberapa domain conficker sudah diambil alih dan dihandle oleh badan yang namanya Conficker Holding Account. Ini lah query domain conficker . Disitu jelas tertulis data2 pemegang domain. Masakan ini alamat yang buat virus conficker kan ndak mungkin toh ? Padahal Microsoft menjanjikan uang $250,000 bagi siapa yang bisa membekuk si biang kerok ini.
    Domain ini kalo kita pakai opendns malah aksesnya diblok:
    Click here to enlarge
    Sebenarnya yang penting di sini adalah bukanlah mencari dan memilah ini domain conficker exist dan aktif tetapi mencari client-client mana yang terkena virus conficker dan aktif melakukan request ke domain2 conficker meski domain yang dituju sudah tidak exist atau dormant sehingga bisa diambil tindakan:
    1. Memberitahu client bahwa jaringan atau pcnya terkena virus conficker.
    2. Jika client mengeluh koneksi internet lambat, itu karena virus conficker di sisi diaClick here to enlarge.

    Tambahan lagi apakah mikrotik tidak terkena dampak dari sebaran virus conficker ini? Dns cache mikrotik di sini sudah 2x kejadian pada hari yang sama mengalami cache size dns terpakai semua, sebagai akibatnya request dns dari client lambat atau gagal! Untuk itu langkah pencegahan di sisi mikrotik:
    1. Besarkan dns cache.
      Code:
      /ip dns set cache-size=10240
    2. Buat schedule untuk meng-flush dns cache apabila pemakaiannya melebihi nilai tertentu. Script di bawah akan flush dns cache bila ukurannya lebih dari 5120KiB. Tinggal buat schedulenya, up to you juragan Click here to enlarge.
      Code:
      :local a [ /ip dns get cache-used ];
      :if ($a>=5120) do { /ip dns cache flush };

    Berdasarkan langkah no 5, maka diperoleh alamat ip address yang diduga sumber penyebar virus conficker (seperti yang dijelaskan di atas, beberapa domain conficker meski exist di internet tetapi sudah tidak aktif):
    1. 64.70.19.33
    2. 66.90.81.140
    3. 72.167.51.186
    4. 74.208.46.216
    5. 74.208.64.145
    6. 83.68.16.6
    7. 97.74.200.45
    8. 143.215.143.11
    9. 149.20.56.32
    10. 199.2.137.252
    11. 205.188.161.4
    12. 221.7.91.31

    Yang bercetak merah terdapat keberadaanya di dnscache mikrotik. Gambar ini diperoleh di dns cache mikrotik 3.30 dengan filter kolom data mengandung ip 221.7.91.31:
    Click here to enlarge
    Rupanya "ip conficker" ini menjadi tujuan favorit client yang terkena virus conficker di antara kumpulan ip-ip address di atas. Langkah terakhir adalah membuat rule di ip firewall address-list dan ip firewall filter:
    Code:
    /ip firewall address
    add address=64.70.19.33  list=conficker
    add address=66.90.81.140  list=conficker
    add address=72.167.51.186  list=conficker
    add address=74.208.46.216  list=conficker
    add address=74.208.64.145  list=conficker
    add address=83.68.16.6  list=conficker
    add address=97.74.200.45  list=conficker
    add address=143.215.143.11  list=conficker
    add address=149.20.56.32  list=conficker
    add address=199.2.137.252  list=conficker
    add address=205.188.161.4  list=conficker
    add address=221.7.91.31  list=conficker
    Code:
    /ip firewall filter
    add chain=forward action=add-src-to-address-list dst-address-list=conficker address-list=src-conficker \
         address-list-timeout=3d comment="ADD to address-list src-conficker"
    Sesuaikan timeout sesuai keinginan juragan. Taruh filter ini di baris sebelum baris forward atau jump forward:
    Code:
    /ip firewall filter print
    ...
    54   ;;; ADD src-add to conficker
         chain=forward action=add-src-to-address-list dst-address-list=conficker address-list=src-conficker  address-list-timeout=3d 
    55   chain=forward action=jump jump-target=tcp protocol=tcp 
    56   chain=forward action=jump jump-target=udp protocol=udp 
    57   chain=forward action=jump jump-target=icmp protocol=icmp
    Ini isi ip firewall address-list setelah beberapa jam. Banyak juga "tangkapannya" Click here to enlarge:
    Click here to enlarge
    Selanjutnya, jadi masih ada langkah lagi setelah langkah terakhir di atas, adalah cek di masing-masing PC (sebaiknya semua PC) apakah benar-benar terkena virus conficker dengan mengunjungi alamat ini:

    Kesimpulannya untuk apa buat langkah2 njelimet di atas kalau untuk cek apakah windowsnya terkena conficker atau tidak cukup hanya dengan buka situs di atas ? Hehehe ...

    Selamat berburu Click here to enlarge

    Posting ini juga disimpan di blog penulis:
    Last edited by awarmanf; 20-12-2009 at 10:26.

  2. The Following 34 Users Say Thank You to awarmanf For This Useful Post:

    + Show/Hide list of the thanked


  3. Total Comments 23

    Comments

  4. #16
    Status
    Offline
    oik_oik's Avatar
    Newbie
    Join Date
    Sep 2009
    Location
    wong mbatu
    Posts
    59
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    mantappppClick here to enlargeClick here to enlarge gan juragan....
    atas tutorialx......

    pi yg ini kok........wkwkwkwkwkwwkwk
    makin mantap....
    Click here to enlarge Originally Posted by awarmanf Click here to enlarge
    Selanjutnya, jadi masih ada langkah lagi setelah langkah terakhir di atas, adalah cek di masing-masing PC (sebaiknya semua PC) apakah benar-benar terkena virus conficker dengan mengunjungi alamat ini:

    Kesimpulannya untuk apa buat langkah2 njelimet di atas kalau untuk cek apakah windowsnya terkena conficker atau tidak cukup hanya dengan buka situs di atas ? Hehehe ...

    Selamat berburu Click here to enlarge

    Posting ini juga disimpan di blog penulis:
    Click here to enlargeClick here to enlargeClick here to enlargeClick here to enlarge

  5. The Following User Says Thank You to oik_oik For This Useful Post:


  6. #17
    Status
    Offline
    hard-ian's Avatar
    Newbie
    Join Date
    Feb 2011
    Location
    Central Java
    Posts
    21
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Ikut ikutan ngucapi termikasih bos, Makasih atas infonya. Langsung ke TKP

  7. #18
    Status
    Offline
    khai's Avatar
    Baru Gabung
    Join Date
    Nov 2009
    Posts
    15
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by awarmanf Click here to enlarge
    Sebenarnya sudah cukup banyak tulisan yang dibuat mengenai conficker:

    Tulisan yang akan disajikan di bawah ini pendekatannya hampir sama dengan cara 2 dan 3 cuma scriptingnya tidak dilakukan di mikrotik melainkan di laptop ubuntu penulis. Data domain conficker diambil dari . Cara kerjanya:
    1. Download data domain conficker.
    2. Buat script untuk query setiap domain conficker.
    3. Extract domain yang exist dan alamat ipnya.
    4. Sortir ip conficker yg diperoleh dari domain yang exist untuk mencari ip conficker yang terbanyak atau yang mempunyai nilai terbanyak yang muncul (modulus).
    5. Berdasarkan ip conficker yang diperoleh dari no 4 di atas, cari datanya di dns cache mikrotik.
    6. Jika ada data yang valid maksudkan ip tersebut ke ip firewall address-list untuk diproses lebih lanjut.

    Sebenarnya langkah ini bisa lebih singkat yakni sampai nomor 3 saja, langkah selanjutnya adalah masukan domain conficker yang exist tersebut seperti yang dijelaskan di . Domain conficker yang exist ada sekitar 30ribu lebih. Apa ini mau semuanya dimasukkan ke ip firewall address-list ? Karena belum tentu lho domain conficker ini meski ada (exist) dan juga aktif sebagai inang conficker. Beberapa domain conficker sudah diambil alih dan dihandle oleh badan yang namanya Conficker Holding Account. Ini lah query domain conficker . Disitu jelas tertulis data2 pemegang domain. Masakan ini alamat yang buat virus conficker kan ndak mungkin toh ? Padahal Microsoft menjanjikan uang $250,000 bagi siapa yang bisa membekuk si biang kerok ini.
    Domain ini kalo kita pakai opendns malah aksesnya diblok:
    Click here to enlarge
    Sebenarnya yang penting di sini adalah bukanlah mencari dan memilah ini domain conficker exist dan aktif tetapi mencari client-client mana yang terkena virus conficker dan aktif melakukan request ke domain2 conficker meski domain yang dituju sudah tidak exist atau dormant sehingga bisa diambil tindakan:
    1. Memberitahu client bahwa jaringan atau pcnya terkena virus conficker.
    2. Jika client mengeluh koneksi internet lambat, itu karena virus conficker di sisi diaClick here to enlarge.

    Tambahan lagi apakah mikrotik tidak terkena dampak dari sebaran virus conficker ini? Dns cache mikrotik di sini sudah 2x kejadian pada hari yang sama mengalami cache size dns terpakai semua, sebagai akibatnya request dns dari client lambat atau gagal! Untuk itu langkah pencegahan di sisi mikrotik:
    1. Besarkan dns cache.
      Code:
      /ip dns set cache-size=10240
    2. Buat schedule untuk meng-flush dns cache apabila pemakaiannya melebihi nilai tertentu. Script di bawah akan flush dns cache bila ukurannya lebih dari 5120KiB. Tinggal buat schedulenya, up to you juragan Click here to enlarge.
      Code:
      :local a [ /ip dns get cache-used ];
      :if ($a>=5120) do { /ip dns cache flush };

    Berdasarkan langkah no 5, maka diperoleh alamat ip address yang diduga sumber penyebar virus conficker (seperti yang dijelaskan di atas, beberapa domain conficker meski exist di internet tetapi sudah tidak aktif):
    1. 64.70.19.33
    2. 66.90.81.140
    3. 72.167.51.186
    4. 74.208.46.216
    5. 74.208.64.145
    6. 83.68.16.6
    7. 97.74.200.45
    8. 143.215.143.11
    9. 149.20.56.32
    10. 199.2.137.252
    11. 205.188.161.4
    12. 221.7.91.31

    Yang bercetak merah terdapat keberadaanya di dnscache mikrotik. Gambar ini diperoleh di dns cache mikrotik 3.30 dengan filter kolom data mengandung ip 221.7.91.31:
    Click here to enlarge
    Rupanya "ip conficker" ini menjadi tujuan favorit client yang terkena virus conficker di antara kumpulan ip-ip address di atas. Langkah terakhir adalah membuat rule di ip firewall address-list dan ip firewall filter:
    Code:
    /ip firewall address
    add address=64.70.19.33  list=conficker
    add address=66.90.81.140  list=conficker
    add address=72.167.51.186  list=conficker
    add address=74.208.46.216  list=conficker
    add address=74.208.64.145  list=conficker
    add address=83.68.16.6  list=conficker
    add address=97.74.200.45  list=conficker
    add address=143.215.143.11  list=conficker
    add address=149.20.56.32  list=conficker
    add address=199.2.137.252  list=conficker
    add address=205.188.161.4  list=conficker
    add address=221.7.91.31  list=conficker
    Code:
    /ip firewall filter
    add chain=forward action=add-src-to-address-list dst-address-list=conficker address-list=src-conficker \
         address-list-timeout=3d comment="ADD to address-list src-conficker"
    Sesuaikan timeout sesuai keinginan juragan. Taruh filter ini di baris sebelum baris forward atau jump forward:
    Code:
    /ip firewall filter print
    ...
    54   ;;; ADD src-add to conficker
         chain=forward action=add-src-to-address-list dst-address-list=conficker address-list=src-conficker  address-list-timeout=3d 
    55   chain=forward action=jump jump-target=tcp protocol=tcp 
    56   chain=forward action=jump jump-target=udp protocol=udp 
    57   chain=forward action=jump jump-target=icmp protocol=icmp
    Ini isi ip firewall address-list setelah beberapa jam. Banyak juga "tangkapannya" Click here to enlarge:
    Click here to enlarge
    Selanjutnya, jadi masih ada langkah lagi setelah langkah terakhir di atas, adalah cek di masing-masing PC (sebaiknya semua PC) apakah benar-benar terkena virus conficker dengan mengunjungi alamat ini:

    Kesimpulannya untuk apa buat langkah2 njelimet di atas kalau untuk cek apakah windowsnya terkena conficker atau tidak cukup hanya dengan buka situs di atas ? Hehehe ...

    Selamat berburu Click here to enlarge

    Posting ini juga disimpan di blog penulis:
    mantabbbb....

    ijin copas ya om..buat posting ke bLog...Click here to enlarge

  8. The Following User Says Thank You to khai For This Useful Post:


  9. #19
    Status
    Offline
    Billik-Q's Avatar
    Baru Gabung
    Join Date
    Feb 2011
    Posts
    8
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0

    Thumbs up makaci om

    makaci ya om jadi nambah ni ilmunya.......Click here to enlargeClick here to enlargeClick here to enlarge

  10. #20
    Status
    Offline
    mudzano's Avatar
    Baru Gabung
    Join Date
    Dec 2010
    Location
    Jakarta, Indonesia, Indonesia
    Posts
    7
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Nice Info nih.........ijin Copas Oomm.....

  11. #21
    Status
    Offline
    ikirlavens's Avatar
    Baru Gabung
    Join Date
    Dec 2009
    Posts
    5
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge mantap gan.. sekarang kompi saya dah bebas dari conficker berkat trik dari ts

  12. #22
    Status
    Offline
    bangibet's Avatar
    Baru Gabung
    Join Date
    Jun 2009
    Posts
    10
    Reviews
    Read 0 Reviews
    Downloads
    1
    Uploads
    0
    Feedback Score
    0
    kok error seperti ini ya om?
    Code:
    if ($a>=10240) do { /ip dns flush };  
    syntax error (line 1 column 6
    Click here to enlarge

  13. #23
    Status
    Offline
    christian.s's Avatar
    Baru Gabung
    Join Date
    Mar 2011
    Posts
    5
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    ijin menyimak

  14. #24
    Status
    Offline
    hardy6889's Avatar
    Baru Gabung
    Join Date
    Jul 2012
    Posts
    13
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Gan.. Ane Mau nanya sedikit nih..

    :local a [ /ip dns get cache-used ];
    :if ($a>=5120) do { /ip dns cache flush };
    Maksud "local" di dalam scip.

    Itu adalah nama Interface yah??

 

 
Page 2 of 2 FirstFirst 12

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Similar Articles

  1. ---Sekedar berbagi link---Conficker Virus Blocking
    By sum14rdi in forum Scripting @ Mikrotik
    Replies: 8
    Last Post: 05-08-2011, 22:46
  2. Replies: 12
    Last Post: 09-07-2010, 10:45
  3. Mikrotik Terjangkit Virus Conficker
    By aidiiz_gent in forum Beginner Basics
    Replies: 12
    Last Post: 08-08-2009, 12:30
  4. Bagaimana create MOTD ?
    By F0B in forum Wireless Networking
    Replies: 1
    Last Post: 29-03-2009, 19:19
  5. bagaimana nehh??
    By Anugrah in forum General Networking
    Replies: 2
    Last Post: 17-09-2007, 12:19

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •