(MIKROTIK) Conficker dan Bagaimana Mengenalinya

Sebenarnya sudah cukup banyak tulisan yang dibuat mengenai conficker:

1. Apa itu conficker
2. BLocking virus conficker
3. DownLoad domain conficker
4. MembLok akses untuk downLoad content conficker

Tulisan yang akan disajikan di bawah ini pendekatannya hampir sama dengan cara 2 dan 3 cuma scriptingnya tidak dilakukan di mikrotik melainkan di laptop ubuntu penulis. Data domain conficker diambil dari http://www.epicwinrar.com/conficker/domains.txt. Cara kerjanya:

1. Download data domain conficker.
2. Buat script untuk query setiap domain conficker.
3. Extract domain yang exist dan alamat ipnya.
4. Sortir ip conficker yg diperoleh dari domain yang exist untuk mencari ip conficker yang terbanyak atau yang mempunyai nilai terbanyak yang muncul (modulus).
5. Berdasarkan ip conficker yang diperoleh dari no 4 di atas, cari datanya di dns cache mikrotik.
6. Jika ada data yang valid maksudkan ip tersebut ke ip firewall address-list untuk diproses lebih lanjut.

Sebenarnya langkah ini bisa lebih singkat yakni sampai nomor 3 saja, langkah selanjutnya adalah masukan domain conficker yang exist tersebut seperti yang dijelaskan di http://wiki.mikrotik.com/wiki/Conficker-Virus-Blocking. Domain conficker yang exist ada sekitar 30ribu lebih. Apa ini mau semuanya dimasukkan ke ip firewall address-list ? Karena belum tentu lho domain conficker ini meski ada (exist) dan juga aktif sebagai inang conficker. Beberapa domain conficker sudah diambil alih dan dihandle oleh badan yang namanya Conficker Holding Account. Ini lah query domain conficker qvqgzdwrnnr.info. Disitu jelas tertulis data2 pemegang domain. Masakan ini alamat yang buat virus conficker kan ndak mungkin toh ? Padahal Microsoft menjanjikan uang $250,000 bagi siapa yang bisa membekuk si biang kerok ini.

Domain ini kalo kita pakai opendns malah aksesnya diblok:

Sebenarnya yang penting di sini adalah bukanlah mencari dan memilah ini domain conficker exist dan aktif tetapi mencari client-client mana yang terkena virus conficker dan aktif melakukan request ke domain2 conficker meski domain yang dituju sudah tidak exist atau dormant sehingga bisa diambil tindakan:

1. Memberitahu client bahwa jaringan atau pcnya terkena virus conficker.
2. Jika client mengeluh koneksi internet lambat, itu karena virus conficker di sisi dia.

Tambahan lagi apakah mikrotik tidak terkena dampak dari sebaran virus conficker ini? Dns cache mikrotik di sini sudah 2x kejadian pada hari yang sama mengalami cache size dns terpakai semua, sebagai akibatnya request dns dari client lambat atau gagal! Untuk itu langkah pencegahan di sisi mikrotik:

1. Besarkan DNS Cache
    code :
    /ip dns set cache-size=10240

2.  Buat schedule untuk meng-flush dns cache apabila pemakaiannya melebihi nilai tertentu. Script
     di bawah akan flush dns cache bila ukurannya lebih dari 5120KiB. Tinggal buat schedulenya.
     code :
     :local a [ /ip dns get cache-used ];
   :if ($a>=5120) do { /ip dns cache flush };
 

Berdasarkan langkah no 5, maka diperoleh alamat ip address yang diduga sumber penyebar virus conficker (seperti yang dijelaskan di atas, beberapa domain conficker meski exist di internet tetapi sudah tidak aktif):

1. 64.70.19.33
2. 66.90.81.140
3. 72.167.51.186
4. 74.208.46.216
5. 74.208.64.145
6. 83.68.16.6
7. 97.74.200.45
8. 143.215.143.11
9. 149.20.56.32
10. 199.2.137.252
11. 205.188.161.4
12. 221.7.91.31
    

Yang bercetak merah terdapat keberadaanya di dnscache mikrotik. Gambar ini diperoleh di dns cache mikrotik 3.30 dengan filter kolom data mengandung ip 221.7.91.31:

Rupanya "ip conficker" ini menjadi tujuan favorit client yang terkena virus conficker di antara kumpulan ip-ip address di atas. Langkah terakhir adalah membuat rule di ip firewall address-list dan ip firewall filter:

code :

/ip firewall address
add address=64.70.19.33 list=conficker
add address=66.90.81.140 list=conficker
add address=72.167.51.186 list=conficker
add address=74.208.46.216 list=conficker
add address=74.208.64.145 list=conficker
add address=83.68.16.6 list=conficker
add address=97.74.200.45 list=conficker
add address=143.215.143.11 list=conficker
add address=149.20.56.32 list=conficker
add address=199.2.137.252 list=conficker
add address=205.188.161.4 list=conficker
add address=221.7.91.31 list=conficker

code :

/ip firewall filter
add chain=forward action=add-src-to-address-list dst-address-list=conficker address-list=src-conficker \
address-list-timeout=3d comment="ADD to address-list src-conficker"

Sesuaikan timeout sesuai keinginan juragan. Taruh filter ini di baris sebelum baris forward atau jump forward:

code :

/ip firewall filter print
...
54 ;;; ADD src-add to conficker
   chain=forward action=add-src-to-address-list dst-address-list=conficker 

   address-list=src-conficker address-list-timeout=3d
55 chain=forward action=jump jump-target=tcp protocol=tcp
56 chain=forward action=jump jump-target=udp protocol=udp
57 chain=forward action=jump jump-target=icmp protocol=icmp
Ini isi ip firewall address-list setelah beberapa jam. Banyak juga "tangkapannya".

Selanjutnya, jadi masih ada langkah lagi setelah langkah terakhir di atas, adalah cek di masing-masing PC (sebaiknya semua PC) apakah benar-benar terkena virus conficker dengan mengunjungi alamat ini:

http://www.confickerworkinggroup.org...feyechart.html

Kesimpulannya untuk apa buat langkah2 njelimet di atas kalau untuk cek apakah windowsnya terkena conficker atau tidak cukup hanya dengan buka situs di atas ?

..SeLamat Mencoba..

Sumber :  http://www.forummikrotik.com/articles/8992-conficker-dan-bagaimana-mengenalinya.html

Anda sedang membaca artikel tentang (MIKROTIK) Conficker dan Bagaimana Mengenalinya dan anda bisa menemukan artikel (MIKROTIK) Conficker dan Bagaimana Mengenalinya ini dengan url https://khaizhar.blogspot.com/2011/04/mikrotik-conficker-dan-bagaimana.html,anda boleh menyebar luaskannya atau mengcopy paste-nya jika artikel (MIKROTIK) Conficker dan Bagaimana Mengenalinya ini sangat bermanfaat bagi teman-teman anda,namun jangan lupa untuk meletakkan link (MIKROTIK) Conficker dan Bagaimana Mengenalinya sumbernya.