Follow us on...
Follow us on G+ Follow us on Twitter Follow us on Facebook Watch us on YouTube
Register
Page 1 of 2 12 LastLast
Results 1 to 15 of 24
  1. awarmanf's Avatar
    Status
    Offline
    Member Array
    Join Date
    Apr 2008
    Posts
    222
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0

    Jump to Comments

    Conficker dan bagaimana mengenalinya

    23 Comments by awarmanf Published on 19-12-2009 19:51
    Sebenarnya sudah cukup banyak tulisan yang dibuat mengenai conficker:

    Tulisan yang akan disajikan di bawah ini pendekatannya hampir sama dengan cara 2 dan 3 cuma scriptingnya tidak dilakukan di mikrotik melainkan di laptop ubuntu penulis. Data domain conficker diambil dari . Cara kerjanya:
    1. Download data domain conficker.
    2. Buat script untuk query setiap domain conficker.
    3. Extract domain yang exist dan alamat ipnya.
    4. Sortir ip conficker yg diperoleh dari domain yang exist untuk mencari ip conficker yang terbanyak atau yang mempunyai nilai terbanyak yang muncul (modulus).
    5. Berdasarkan ip conficker yang diperoleh dari no 4 di atas, cari datanya di dns cache mikrotik.
    6. Jika ada data yang valid maksudkan ip tersebut ke ip firewall address-list untuk diproses lebih lanjut.

    Sebenarnya langkah ini bisa lebih singkat yakni sampai nomor 3 saja, langkah selanjutnya adalah masukan domain conficker yang exist tersebut seperti yang dijelaskan di . Domain conficker yang exist ada sekitar 30ribu lebih. Apa ini mau semuanya dimasukkan ke ip firewall address-list ? Karena belum tentu lho domain conficker ini meski ada (exist) dan juga aktif sebagai inang conficker. Beberapa domain conficker sudah diambil alih dan dihandle oleh badan yang namanya Conficker Holding Account. Ini lah query domain conficker . Disitu jelas tertulis data2 pemegang domain. Masakan ini alamat yang buat virus conficker kan ndak mungkin toh ? Padahal Microsoft menjanjikan uang $250,000 bagi siapa yang bisa membekuk si biang kerok ini.
    Domain ini kalo kita pakai opendns malah aksesnya diblok:
    Click here to enlarge
    Sebenarnya yang penting di sini adalah bukanlah mencari dan memilah ini domain conficker exist dan aktif tetapi mencari client-client mana yang terkena virus conficker dan aktif melakukan request ke domain2 conficker meski domain yang dituju sudah tidak exist atau dormant sehingga bisa diambil tindakan:
    1. Memberitahu client bahwa jaringan atau pcnya terkena virus conficker.
    2. Jika client mengeluh koneksi internet lambat, itu karena virus conficker di sisi diaClick here to enlarge.

    Tambahan lagi apakah mikrotik tidak terkena dampak dari sebaran virus conficker ini? Dns cache mikrotik di sini sudah 2x kejadian pada hari yang sama mengalami cache size dns terpakai semua, sebagai akibatnya request dns dari client lambat atau gagal! Untuk itu langkah pencegahan di sisi mikrotik:
    1. Besarkan dns cache.
      Code:
      /ip dns set cache-size=10240
    2. Buat schedule untuk meng-flush dns cache apabila pemakaiannya melebihi nilai tertentu. Script di bawah akan flush dns cache bila ukurannya lebih dari 5120KiB. Tinggal buat schedulenya, up to you juragan Click here to enlarge.
      Code:
      :local a [ /ip dns get cache-used ];
      :if ($a>=5120) do { /ip dns cache flush };

    Berdasarkan langkah no 5, maka diperoleh alamat ip address yang diduga sumber penyebar virus conficker (seperti yang dijelaskan di atas, beberapa domain conficker meski exist di internet tetapi sudah tidak aktif):
    1. 64.70.19.33
    2. 66.90.81.140
    3. 72.167.51.186
    4. 74.208.46.216
    5. 74.208.64.145
    6. 83.68.16.6
    7. 97.74.200.45
    8. 143.215.143.11
    9. 149.20.56.32
    10. 199.2.137.252
    11. 205.188.161.4
    12. 221.7.91.31

    Yang bercetak merah terdapat keberadaanya di dnscache mikrotik. Gambar ini diperoleh di dns cache mikrotik 3.30 dengan filter kolom data mengandung ip 221.7.91.31:
    Click here to enlarge
    Rupanya "ip conficker" ini menjadi tujuan favorit client yang terkena virus conficker di antara kumpulan ip-ip address di atas. Langkah terakhir adalah membuat rule di ip firewall address-list dan ip firewall filter:
    Code:
    /ip firewall address
    add address=64.70.19.33  list=conficker
    add address=66.90.81.140  list=conficker
    add address=72.167.51.186  list=conficker
    add address=74.208.46.216  list=conficker
    add address=74.208.64.145  list=conficker
    add address=83.68.16.6  list=conficker
    add address=97.74.200.45  list=conficker
    add address=143.215.143.11  list=conficker
    add address=149.20.56.32  list=conficker
    add address=199.2.137.252  list=conficker
    add address=205.188.161.4  list=conficker
    add address=221.7.91.31  list=conficker
    Code:
    /ip firewall filter
    add chain=forward action=add-src-to-address-list dst-address-list=conficker address-list=src-conficker \
         address-list-timeout=3d comment="ADD to address-list src-conficker"
    Sesuaikan timeout sesuai keinginan juragan. Taruh filter ini di baris sebelum baris forward atau jump forward:
    Code:
    /ip firewall filter print
    ...
    54   ;;; ADD src-add to conficker
         chain=forward action=add-src-to-address-list dst-address-list=conficker address-list=src-conficker  address-list-timeout=3d 
    55   chain=forward action=jump jump-target=tcp protocol=tcp 
    56   chain=forward action=jump jump-target=udp protocol=udp 
    57   chain=forward action=jump jump-target=icmp protocol=icmp
    Ini isi ip firewall address-list setelah beberapa jam. Banyak juga "tangkapannya" Click here to enlarge:
    Click here to enlarge
    Selanjutnya, jadi masih ada langkah lagi setelah langkah terakhir di atas, adalah cek di masing-masing PC (sebaiknya semua PC) apakah benar-benar terkena virus conficker dengan mengunjungi alamat ini:

    Kesimpulannya untuk apa buat langkah2 njelimet di atas kalau untuk cek apakah windowsnya terkena conficker atau tidak cukup hanya dengan buka situs di atas ? Hehehe ...

    Selamat berburu Click here to enlarge

    Posting ini juga disimpan di blog penulis:
    Last edited by awarmanf; 20-12-2009 at 10:26.

  2. The Following 34 Users Say Thank You to awarmanf For This Useful Post:

    + Show/Hide list of the thanked


  3. Total Comments 23

    Comments

  4. #2
    Status
    Offline
    ponywaterhouse's Avatar
    Forum Guru
    Join Date
    Jul 2007
    Posts
    1,507
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    thx sharing info nya..

  5. The Following User Says Thank You to ponywaterhouse For This Useful Post:


  6. #3
    Status
    Offline
    uburcumi's Avatar
    :: Gw Banget Cing ::
    Join Date
    Jun 2009
    Location
    www.mikrotikservice.net
    Posts
    2,281
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    2 (100%)
    MANTAP....SUKA DAH CARA MAENNYA BAPAK SATU INI....KPAN PAK KE JEMBER....PINGIN NIMBRUNG BARENG NEH...DI TUNGGU JUGA MA SI TOMZ'S SATPAM Click here to enlarge

    @OM MOMOD:PINDAHIN KE ARTIKEL DUNK....
    Last edited by uburcumi; 27-01-2010 at 10:46.

  7. #4
    Status
    Offline
    clovanzo's Avatar
    Member Senior
    Join Date
    Sep 2007
    Posts
    408
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Nice boss, keep posting Click here to enlarge

  8. #5
    Status
    Offline
    TESSACELL.NET's Avatar
    Member
    Join Date
    Dec 2009
    Posts
    142
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    makasih atas artikelnya...jadi nambah lagi nih ilmunya..ijin untuk langsung diterapkan bossssssss...

  9. #6
    Status
    Offline
    putra A's Avatar
    Newbie
    Join Date
    Jan 2010
    Posts
    58
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    wahhh muuuaanntappp euuuuyyy....

  10. #7
    Status
    Offline
    budakbaheula's Avatar
    Member Senior
    Join Date
    Jan 2010
    Location
    Sukabumi-Bandung
    Posts
    482
    Reviews
    Read 0 Reviews
    Downloads
    1
    Uploads
    0
    Feedback Score
    0
    ikut nambahin ilmu bos.....Click here to enlarge

    jadi lbh ngetri asal muasalnya,,,taunya cuma drop drop drop drop drop..akhirnya ogud yg ngdrop.

    haturnuhun bpk awarmanf

  11. #8
    Status
    Offline
    uburcumi's Avatar
    :: Gw Banget Cing ::
    Join Date
    Jun 2009
    Location
    www.mikrotikservice.net
    Posts
    2,281
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    2 (100%)
    kemaren ada cerita menyedihkan dg dorp conficker ini...Click here to enlargekapan2 aja ta input lagi...Click here to enlarge

  12. #9
    Status
    Offline
    tnt
    tnt's Avatar
    Member Senior
    Join Date
    Aug 2009
    Location
    Jember, Indonesia
    Posts
    416
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    boss,, ane coba pke mikrotik versi 4 koq ga mau ya??
    waktu ane ssh, yg biasane pke[tab], dia ga mau kluar pilihane ga jalan,, padahal waktu pke yg versi 3.20 mau lho... Click here to enlarge
    mohon pencerahan...
    makasih... Click here to enlarge

  13. #10
    Status
    Offline
    rajuraz's Avatar
    Baru Gabung
    Join Date
    Apr 2008
    Posts
    4
    Reviews
    Read 0 Reviews
    Downloads
    1
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by awarmanf Click here to enlarge
    Sebenarnya sudah cukup banyak tulisan yang dibuat mengenai conficker:

    Tulisan yang akan disajikan di bawah ini pendekatannya hampir sama dengan cara 2 dan 3 cuma scriptingnya tidak dilakukan di mikrotik melainkan di laptop ubuntu penulis. Data domain conficker diambil dari . Cara kerjanya:
    1. Download data domain conficker.
    2. Buat script untuk query setiap domain conficker.
    3. Extract domain yang exist dan alamat ipnya.
    4. Sortir ip conficker yg diperoleh dari domain yang exist untuk mencari ip conficker yang terbanyak atau yang mempunyai nilai terbanyak yang muncul (modulus).
    5. Berdasarkan ip conficker yang diperoleh dari no 4 di atas, cari datanya di dns cache mikrotik.
    6. Jika ada data yang valid maksudkan ip tersebut ke ip firewall address-list untuk diproses lebih lanjut.

    Sebenarnya langkah ini bisa lebih singkat yakni sampai nomor 3 saja, langkah selanjutnya adalah masukan domain conficker yang exist tersebut seperti yang dijelaskan di . Domain conficker yang exist ada sekitar 30ribu lebih. Apa ini mau semuanya dimasukkan ke ip firewall address-list ? Karena belum tentu lho domain conficker ini meski ada (exist) dan juga aktif sebagai inang conficker. Beberapa domain conficker sudah diambil alih dan dihandle oleh badan yang namanya Conficker Holding Account. Ini lah query domain conficker . Disitu jelas tertulis data2 pemegang domain. Masakan ini alamat yang buat virus conficker kan ndak mungkin toh ? Padahal Microsoft menjanjikan uang $250,000 bagi siapa yang bisa membekuk si biang kerok ini.
    Domain ini kalo kita pakai opendns malah aksesnya diblok:
    Click here to enlarge
    Sebenarnya yang penting di sini adalah bukanlah mencari dan memilah ini domain conficker exist dan aktif tetapi mencari client-client mana yang terkena virus conficker dan aktif melakukan request ke domain2 conficker meski domain yang dituju sudah tidak exist atau dormant sehingga bisa diambil tindakan:
    1. Memberitahu client bahwa jaringan atau pcnya terkena virus conficker.
    2. Jika client mengeluh koneksi internet lambat, itu karena virus conficker di sisi diaClick here to enlarge.

    Tambahan lagi apakah mikrotik tidak terkena dampak dari sebaran virus conficker ini? Dns cache mikrotik di sini sudah 2x kejadian pada hari yang sama mengalami cache size dns terpakai semua, sebagai akibatnya request dns dari client lambat atau gagal! Untuk itu langkah pencegahan di sisi mikrotik:
    1. Besarkan dns cache.
      Code:
      /ip dns set cache-size=10240
    2. Buat schedule untuk meng-flush dns cache apabila pemakaiannya melebihi nilai tertentu. Script di bawah akan flush dns cache bila ukurannya lebih dari 5120KiB. Tinggal buat schedulenya, up to you juragan Click here to enlarge.
      Code:
      :local a [ /ip dns get cache-used ];
      :if ($a>=5120) do { /ip dns cache flush };

    Berdasarkan langkah no 5, maka diperoleh alamat ip address yang diduga sumber penyebar virus conficker (seperti yang dijelaskan di atas, beberapa domain conficker meski exist di internet tetapi sudah tidak aktif):
    1. 64.70.19.33
    2. 66.90.81.140
    3. 72.167.51.186
    4. 74.208.46.216
    5. 74.208.64.145
    6. 83.68.16.6
    7. 97.74.200.45
    8. 143.215.143.11
    9. 149.20.56.32
    10. 199.2.137.252
    11. 205.188.161.4
    12. 221.7.91.31

    Yang bercetak merah terdapat keberadaanya di dnscache mikrotik. Gambar ini diperoleh di dns cache mikrotik 3.30 dengan filter kolom data mengandung ip 221.7.91.31:
    Click here to enlarge
    Rupanya "ip conficker" ini menjadi tujuan favorit client yang terkena virus conficker di antara kumpulan ip-ip address di atas. Langkah terakhir adalah membuat rule di ip firewall address-list dan ip firewall filter:
    Code:
    /ip firewall address
    add address=64.70.19.33  list=conficker
    add address=66.90.81.140  list=conficker
    add address=72.167.51.186  list=conficker
    add address=74.208.46.216  list=conficker
    add address=74.208.64.145  list=conficker
    add address=83.68.16.6  list=conficker
    add address=97.74.200.45  list=conficker
    add address=143.215.143.11  list=conficker
    add address=149.20.56.32  list=conficker
    add address=199.2.137.252  list=conficker
    add address=205.188.161.4  list=conficker
    add address=221.7.91.31  list=conficker
    Code:
    /ip firewall filter
    add chain=forward action=add-src-to-address-list dst-address-list=conficker address-list=src-conficker \
         address-list-timeout=3d comment="ADD to address-list src-conficker"
    Sesuaikan timeout sesuai keinginan juragan. Taruh filter ini di baris sebelum baris forward atau jump forward:
    Code:
    /ip firewall filter print
    ...
    54   ;;; ADD src-add to conficker
         chain=forward action=add-src-to-address-list dst-address-list=conficker address-list=src-conficker  address-list-timeout=3d 
    55   chain=forward action=jump jump-target=tcp protocol=tcp 
    56   chain=forward action=jump jump-target=udp protocol=udp 
    57   chain=forward action=jump jump-target=icmp protocol=icmp
    Ini isi ip firewall address-list setelah beberapa jam. Banyak juga "tangkapannya" Click here to enlarge:
    Click here to enlarge
    Selanjutnya, jadi masih ada langkah lagi setelah langkah terakhir di atas, adalah cek di masing-masing PC (sebaiknya semua PC) apakah benar-benar terkena virus conficker dengan mengunjungi alamat ini:

    Kesimpulannya untuk apa buat langkah2 njelimet di atas kalau untuk cek apakah windowsnya terkena conficker atau tidak cukup hanya dengan buka situs di atas ? Hehehe ...

    Selamat berburu Click here to enlarge

    Posting ini juga disimpan di blog penulis:
    bos, klo pencegahan dari aktifitas botnet bagaimana nich?

  14. The Following User Says Thank You to rajuraz For This Useful Post:


  15. #11
    3agl33y3
    3agl33y3's Avatar
    ijin ngopy boleh bang?
    mau tak post di blog ane, santai aja, tak kasih sumbernya..Click here to enlarge

  16. #12
    Status
    Offline
    tnt
    tnt's Avatar
    Member Senior
    Join Date
    Aug 2009
    Location
    Jember, Indonesia
    Posts
    416
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    koq trit ini berhenti ya???

  17. #13
    Status
    Offline
    nugraha_pratama's Avatar
    Newbie
    Join Date
    Aug 2010
    Posts
    58
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Post yg berguna bang! Thanks infonya... ternyata kompi saya telah bebas conficker Click here to enlarge

  18. #14
    Status
    Offline
    dylavig's Avatar
    Member Super Senior
    Join Date
    Jun 2008
    Location
    Medan
    Posts
    537
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    tks infonya.. mngkn utk pengguna windows-xp perlu patch KB958644 pny.. cmiiw

  19. #15
    Status
    Offline
    serangku's Avatar
    Calon Member
    Join Date
    Feb 2009
    Posts
    70
    Reviews
    Read 0 Reviews
    Downloads
    5
    Uploads
    0
    Feedback Score
    0
    terima kasih sanget ...

 

 
Page 1 of 2 12 LastLast

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Similar Articles

  1. ---Sekedar berbagi link---Conficker Virus Blocking
    By sum14rdi in forum Scripting @ Mikrotik
    Replies: 8
    Last Post: 05-08-2011, 22:46
  2. Replies: 12
    Last Post: 09-07-2010, 10:45
  3. Mikrotik Terjangkit Virus Conficker
    By aidiiz_gent in forum Beginner Basics
    Replies: 12
    Last Post: 08-08-2009, 12:30
  4. Bagaimana create MOTD ?
    By F0B in forum Wireless Networking
    Replies: 1
    Last Post: 29-03-2009, 19:19
  5. bagaimana nehh??
    By Anugrah in forum General Networking
    Replies: 2
    Last Post: 17-09-2007, 12:19

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •