Jump to content

Recommended Posts

Всем привет, от провайдера пришло сообщение что в нашем канале работает BotNet? идет какой то трафик, и их железо определяет nymaim.botnet, у нас везде установлен KES 10.3.0.6294, а вопрос в следующем, если и есть "зомби" в сети, как их найти?

Спасибо!

Share this post


Link to post
Всем привет, от провайдера пришло сообщение что в нашем канале работает BotNet? идет какой то трафик, и их железо определяет nymaim.botnet, у нас везде установлен KES 10.3.0.6294, а вопрос в следующем, если и есть "зомби" в сети, как их найти?

Спасибо!

 

Узнать у провайдера по каким критериям он определил ботнет (адреса, протоколы и т.д.), помониторить на своем фейрволле откуда идет этот трафик, заблокировать этот трафик на своем внешнем фейрволле.

Share this post


Link to post
заблокировать этот трафик на своем внешнем фейрволле.

а смысл говорят трафик идет не к нам, а от нас, а у нас машин около 1000 шт, и наши хосты проверяются КЕС

Share this post


Link to post

вот что нашел на одном хосте

post-289599-1495007069.jpg

это может быть бот? и работает ли он в данный момент?

Share this post


Link to post
а смысл говорят трафик идет не к нам, а от нас, а у нас машин около 1000 шт, и наши хосты проверяются КЕС

 

ну так посмотрите в отчетах веб-антивируса что это за объекты

 

если у вас на внешнем фейрволле или на проксе есть протоколирование, можно посмотреть с каких внутренних хостов лезет наружу траффик с указанными характеристиками (характеристики нужно уточнить у провайдера)

ну и соответственно можно в KES настроить в сетевом экране блокировку этого траффика с фиксацией в журнале

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.