[SORU] Ağda Tespit Edemediğim, Network'ta Kısayol Oluşturan Virüs???

Siz Windows sistemlerinizden şüphe etmelisiniz. Ağınızda trojan var ve yüksek ihtimal yaygın durumda, antivirus durumunuz dan bahsetmemişsiniz. 
Domain olsa dahi öğrenemeyebilirdiniz çünkü bu tip uygulamalar user kontrollü create yöntemiyle oluşturmaz sadece dosya ve kısayolları. Ağınızı wan ve lan'dan yalıtarak cihazlarınızı taratın hangi/hangilerinden kaynaklandığını tespit etmeye çalışın. Ayrıca Lan disk'leri üzerinde gelişmiş bir Os olsa dahi kullanabilen çok az antivirus, trojan mevcut. Bunun için de ki dosyalarda virus olması demek ona bağlanabilen her yere otomatik bulaşabilir demektir.

Öncelikle cvbın için teşekkürler, yalnız şu cümlen ile 

"Ağınızı wan ve lan'dan yalıtarak cihazlarınızı taratın hangi/hangilerinden kaynaklandığını tespit etmeye çalışın" 

ne demek istediğiniz anlamadım? Nasıl çözebilirim bu durumu detaylı açıklayabilirseniz sevinirim?

Teşekkür Ederim Tekrardan... 

wan dan ayırmak : internet bağlantısını kesmek

lan dan ayırmak : local network bağlantısını kesmek

bu işlemlerden sonra localadmin olarak pc leri tek tek virüs trojen malware tespiti yapmak, network trafiğini dinleyerek te birşeyler yakalanabilir

benim anladığım bu 🙂 

Ağ çalışırken tespit etmeliyim. Ağı durdurma imkanım yok sürekli çalışan bir sistem altında bu pc ler

Evet Mücahid bey güzel açmış ifadeyi. 🙂
Sistem durdurma imkanı, gece veya hafta sonu için de mümkün değil sanırım ancak bu sizin tespit ve temizleme etkinliğiniz için önemliydi. Şöyle düşünün bir Pc'nin antivirüssel müdahalesi, temizliği min. 1 saat alıyor ki şu an anladığım kadarıyla virus ismini hangi tip de faaliyette bulunduğunu dahi tespit etmemiş durumdasınız. 1 Client temizlik aşamasında kullanılmaması demek bu, kısa sürede çözüm için 60 pc üzerinde düşünün bunu. Server temizliği de aynı şekilde performans kaybettirecektir. Dediğiniz şekliyle böyle kısayollar oluşturmayı önemli hiç bir etkinliği olmayan Autocad virusu de yapabiliyor vakti zamanında etkinliği ciddi olan sasser trojan'ları da yapabiliyor. Öncelikle nasıl bir tehditle karşı karşıyasınız şüphelendiğiniz cihazlara antivirusler kurarak tespit etmeye çalışın. Ağ dinleyerek sonuca ulaşma işi biraz teknik bilgi gerektirir ve bulaşan pc, dosyaları net olarak bulamadığınızda girişebilirsiniz. Internet bağlantısını kesin çünkü şuan ağınızdan dışarıya saldırı oluyor mu bilmiyorsunuz. Kesin çünkü siz temizledikçe kontrolünüz dışında çalışan bu programcıklar dosya alış verişi sağlayacaklar, tekrar bulaşacaklar. Bazı trojanlar bir şekilde makinelere antivirus kurmayı başarsanız bile (kopyalanan, indirilen .exe'leri hemen bozanları vardır. Installation'ları tamamlatmazlar) internet iletişim sayesinde tüm ofis dosyalarınızı kaybetmenize sebep olabilir. Lan yani dahili network bağlantılarının kesilmesi çünkü şuan ki trojanların %99.8'i ağ erişimi bulduklarında tekrar tekrar kendilerini kopyalarlar. Kurduğunuz antiviruslerin realtime protection'ları da anlık lan transferinde etkinlik gösteremeyebilir. Atıyorum siz 5 pc'de virus tespit ettiniz bunları kullanıcıları çalışıyor network bağlantıları devam ediyorken tek tek temizlemeniz bir işe yaramayabilir, tekrar bulaşabilirler. Bu da iş-vakit kaybı, müdahale verimsizliği demektir.
Bunların hepsini cihazlara neyin bulaştığını bilmeden ifade ediyorum. Şu kadarını söyleyeyim siz bunu tespit etseniz, bulaşan dosyaları temizleseniz dahi trojan, rootkit'ler tekrar kendilerini aktif edebileceklerdir. Ağ, cihazları durdurmadan yapacağınız bu temizleme gayreti ise toplamda cihazların dosya yedeklerini alarak tekrar kurmaktan çok daha uzun zaman alabilir.

Tavsiyem firma ölçeğinden bağımsız bu şekilde bir sistem de mutlaka ücretsiz de olsa bir firewall ve server-client mimarili antivirus bulunmalı, mail attachment ve usb sürücüleri daim taramalı. Lan sürücüleri üzerinde ki dosyaları yazma hakkı olan herhangi bir client'dan taratıp, temizleyebilirsiniz.
Sanırım yeterli olmuştur.

Gayet açıklayıcı oldu, teşekkür ederim emeğinize sağlık. Sadece şunu ek olarak sormak istiyorum, "Ağı dinleyebilmek adına" ağda network içi tüm ip adreslerinin dökümleri ve nerelere bağlandıkları veya hangi protkollerle çalıştıkları gibi takip edebileceğim bir program öneriniz varmı? Aynı zaman da Sonicwall TZ-210 firewall ile yönetiyorum..

daha once benzer bir durum basımıza gelmisti

2003 r2 file server kullanıyor idik

.lnk uzantılı dosya yaratılmasını 2003 r2 üzerinde engellyip bunu yapmak isteyenide loglayınca clientin hangisi oldugu ortaya cıkmıstı.

Domain yapılandırması ile bunu engelmemem mümkündür, ama sizin bahsettiğiniz domain e dahil bir bilgisayarın paylaşımında yaratılan dosyaların engellemesi ile bulunabilir. Benim sistemimde bir çok bilgisayarın paylaşımı mevcut değişitirilebilir özelliktedir. Ama hiç bir bilgisayarın paylaşımına öyle .lnk virüsü bulaşmıyor SADECE VE SADECE LAN DİSK E  bulaşıyor anlamış değilim, server üzerinden 1 ve daha fazla programın exe sini kullanıyor tüm terminaller serverde bir tane bile yok veya farklı paylaşım yapan bir pc de 1 tane bile yok sadece dediğim gibi landisk te var bu sorun

benim tecrübemce 

lnk, rar, exe, scr uzantılarını yayıyordu. Ama sistemde zzz, rrr vb. farklı uzantılarla çalışan kuluçkaları vardı.

aşağıdaki yöntemle ağı durdurmadan erişimleri loglayabilirsin. buna görede kimlerden virüs yayılıyor görebilirsin. 

paylaşım bulunan bir bilgisayarda

Yönetimsel Araçlar - Yerel Güvenlik İlkesi  - Gelişmiş ilkesi yapılandırması - Sistem denetim ilkeleri - Nesne erişimi altında Ayrıntılı dosya paylaşımı

öğesini başarı ve başarısızlık olarak yapılandırırsan Güvenlik loguna kim hangi dosya ile işlem yapmış loglanır.

Ama burada paylaşım aktiviteniz çoksa log boyutunu büyütün ben 20GB öneririm çünkü çok fazla kayıt girecektir.  

logda 5145 event idsini takip edeceksin 

Öncelikle cvbın için teşekkür ederim ioz, yalnız yukarıdaki yazılarımda da belirttiğim gibi, paylaşım verdiğim hiç bir pc de ben bu lnk gibi virüslerin oluşumuna rastlamadım, zaten rastlasaydım hangi kullanıcıdan geldiğini görürdüm çünkü domain var.. sadece western dijital 3tb lan disk var sadece ethernet ile paylaşımda, o disk üzerinde oluşuyor bu virüsler

Sisteminiz hakkında daha fazla bilgi vermeniz çözüm adına faydalı olacaktır. Net veriler olmadan ihtimaller üzerine gidiyoruz.
Lan disk'inizi her hangi bir ortam dan tarattınız mı? Şüpheli dosya var mı? Bilgisayarlara ağ sürücüsü olarak mı bağlı? Antivirus çözümünüz nedir? Herhangi bir cihazınızda antivirus + combofix gibi araçlar ile tespit yaptınız mı?
Ağı dinleyerek çözüme ulaşmak için ise wireshark, tshark gibi araçlar ile dinleme yapabilirsiniz tabi bunun için biraz ağ ve paket bilgisi olması gerekiyor. Forumdan bunla ilgili arama yapabilirsiniz. Yada Kaspersky gibi üreticilerin ağı denetletebileceğiniz endpoint security gibi uygulamaları var trial olarak kullanılabilir.

Öncelikle cvbın için teşekkür ederim ioz, yalnız yukarıdaki yazılarımda da belirttiğim gibi, paylaşım verdiğim hiç bir pc de ben bu lnk gibi virüslerin oluşumuna rastlamadım, zaten rastlasaydım hangi kullanıcıdan geldiğini görürdüm çünkü domain var.. sadece western dijital 3tb lan disk var sadece ethernet ile paylaşımda, o disk üzerinde oluşuyor bu virüsler

Hocam doğru çözüm doğru sistemle olur. Trend Micro firmasından komple ağ için merkezi antivirüs sistemi satın alın maliyetleri de oldukça uygun. Bir daha böyle sorununuz kalmasın bu tür yapıları merkezi kurallar ile yapmazsanız iş uzar gider.

Helyum Bilgisayar İlhan Bey Cebi : 05307743415 arayın Çözümparktan Ertan ERBEK yönlendirdi deyin merkezi antivirüs çözümü alın. Bu işten başka türlü kurtulamaz ve virüsün ağ üzerindeki gelişimini izleyemezsiniz. Merkezi çözümde kullanıcıların AV devre dışı bırakmasını önleyip bu tür sistemler için tamir yerine silmeyi seçin olsun bitsin.

Ertan bey öncelikle cvbınız için teşekkür ederim, yanlız ben 4-5 yıldır sistemi virüs programı kullanmadan, domain destekli ve zaman zaman windows bakım ve çeşitli free taramalarla 4-5 yıllık süreci sorunsuz geçirdim. Her yıl ben yönetime, 3000 tl civarında ücret ödettiremem, diyceksiniz ki yönetim ödemek zorunda.. Belki haklı olabilirsiniz ama ben tecrübeme güvenerek bu sistemi korudum ve şuanki sorunu da basit görüyorum, ufak bir gözlem yapmaya ihtiyacım var o da hangi pc den ise o pcde detaylı inceleme yapıp nereden bulaştığına ulaşmak.. Bu nedenle işin basitine kaçıp bir server yönetimli vürüs programı almak çözüm olacaktır ve hatta daha güvenli olacaktır belki ama, aman aman dosya sakladığımız yok özel bilgi girdiğimiz yok sadece bir otomasyon programı kullanılıyor.. 

Hocam çok basit bir şey söyliyeceğim tecrübeme dayanarak

Bundan bir kaç yıl önce yazılmış olan firefox 3, 2 milyon kod satırına sahip projenin arkasında binlerce kişi duruyor, salt bir kişi bu sistemin buglarını bulmaya kalksa ömrü tükenir 😀 ki birçok virüs programı bile olası tehtitleri bulma konusunda başarısız olanları da DB den bakıyorlar gelin görün ki DB deki kodbile kandırılıyor hele code line buglarından yararlanan malware, spyware dedimi olay kopup gidiyor

Bence size bir Antivirüs firması ile tanışın ayrıca İlhan beyn o denli bir fiyat vereceğini sanmıyorum. Bazen kaar zarar hesabı sadece para ile yapılmaz. Ama siz diyorsanız ki bu durumdan dolayı kaybolan, kaybolabilecek veri iş kaybı ve zaman kaybı önemli değil o zaman cidden yüksek mevla olur :D.

Ertan bey öncelikle cvbınız için teşekkür ederim, yanlız ben 4-5 yıldır sistemi virüs programı kullanmadan, domain destekli ve zaman zaman windows bakım ve çeşitli free taramalarla 4-5 yıllık süreci sorunsuz geçirdim. Her yıl ben yönetime, 3000 tl civarında ücret ödettiremem, diyceksiniz ki yönetim ödemek zorunda.. Belki haklı olabilirsiniz ama ben tecrübeme güvenerek bu sistemi korudum ve şuanki sorunu da basit görüyorum, ufak bir gözlem yapmaya ihtiyacım var o da hangi pc den ise o pcde detaylı inceleme yapıp nereden bulaştığına ulaşmak.. Bu nedenle işin basitine kaçıp bir server yönetimli vürüs programı almak çözüm olacaktır ve hatta daha güvenli olacaktır belki ama, aman aman dosya sakladığımız yok özel bilgi girdiğimiz yok sadece bir otomasyon programı kullanılıyor.. 

Bu cümleler üzerine rahatlıkla profesyonel bir bilişimci mantığı olmadığını söyleyebilirim. Şu kadar söyleyebilirim, gerçekten bir çok sistem ile karşılaşmış, tecrübeli olsa idiniz bu yolu seçmezdiniz. Lütfen yanlış anlamayın. Siz şuan çözüm odaklı yaklaşamıyorsunuz. Sebep, sonuç ilişkisine takılıyorsunuz. Karşınızda ki şeyler bilindik, manage edilebilen, basit uygulamalar değil.
Sadece şu basit örneği vermeme müsaade edin son 1 yıl da ciddi sıkıntı yaşadı insanlar, geri dönülemez noktalara düştüler sebebi ise bütçe den bağımsız sistemlerini koruma gerekliliği hissetmemeleri veya profesyonel ellere teslim etmemeleri. Birileri sektörden bağımsız hemen hemen her il de sistemlerine girdiler firmaların dataları geri getirilemez şekilde ellerine geçirdiler...
Yapınız bir intranet değilse ve kullanıcı serbestliği varsa antivirus kullanmaya mecbursunuz.

profesyonel kavramı kişiden kişiye kurumdan kuruma değişir. kimlik doğrulama , yetkilendirme , güvenik taraması , iyileştirme bu dört şartın sağlanmadığı ağ güvensizdir,profesyonel değildir. örneğin kişi free av seçerken başka bir kişi her yıl aidat ödediği bir av seçer.buraya kadarki mesajlar lisanslı av almanın kesin ve profesyonel çözüm olduğu izlenimi  veriyor ama asla değil. burada yine imkanlar dahilinde profesyonel olabilirsiniz.bütçe varsa Cisco NAC kesin ve kalıcı çözüm sunarken aksi durum zaman ve iş kaybı getirir . av ler sadece biraz zaman kazandırır. şahsi düşüncemdir mesajım yanlış anlaşılmaz umarım.

switchinizde mirror imkanınız varmı ?

antivirüs konusunda gelince ibrahim beyde gayet mantıklı yazmış 

yani bende  antivirüs olmadan bir makinadan virüs temizleyebilirim. Ama ne kadar verimli olur? antivirüse verirsin bir kaç saate hedi bilemedin 1 gecede sana ne var ne yok söyler. Ama ben elle çalıştığımda bu hem bana hemde müşterime gereksiz hem zaman,hemde mali külfettir. 

eğer internet flash disk vs kullaınyorsanız hadi interneti gayet iyi filtrelediniz. sorun yok. Ama flash disklerden kaçmak neredeyse imkansız.

size önerim malverabytes ücretsiz sürümünü kurun. o sizi bu dertten kurtarır. hemde para vermemiş olursunuz.