Keganasan virus Conficker saat ini membuat banyak pihak gelisah dan juga heboh. Tidak hanya perorangan namun juga berbagai perusahaan. Dalam Seminar Conficker yang diadakan oleh Vaksincom di Club House, Rabu (28/1), Harijanto Pribadi, seorang teknisi IT dari PT Data Utama berbagi kepanikannya dalam menghadapi Conficker yang menyerang sistem IT kliennya, Hotel Menara Peninsula, beberapa waktu lalu.
Gejala awal yang tampak adalah virus terus mengakses URL http://trafficconverter.biz dan meminta URL tersebut di-block di sisi ISP DatautamaNet karena jaringan mereka menjadi sangat penuh. Hari kemudian mencoba me-redirect semua traffic port 80 ke proxy lalu menolak URL tersebut. Ternyata tidak efektif.
Manajer Operasional hotel kemudian melaporkan bahwa Limiter International DatautamaNet di-reboot dua kali karena CPU load yang sangat tinggi. Analisis awalnya adalah flooding tetapi ternyata dari hasil analisa tidak ditemukan tanda-tanda flooding yang akurat.
"Semua normal-normal saja tetapi CPU load sangat tinggi. Ini di luar kewajaran," ujar Hari. Setelah berkonsultasi, Hari melakukan Drop Win32/Conficker.A Traffic dengan menggunakan mikrotik.
Teknik ini menyelamatkan traffic supaya jaringan di perusahaan tidak lumpuh secara menyeluruh. Hari mengatakan traffic download file loadadv.exe adalah salah satu ciri terinfeksinya jaringan oleh Worm: Win32/Comficker.A. Hari kemudian melakukan konfigurasi mikrotik sebagai firewall traffic Win32/Conficker.A.
Berikut langkah-langkah yang dilakukan Hari:
1. Buat Mangle Rule untuk menandai packet. In interface adalah interface yang menghadap ke jaringan kita/LAN.
2. Isi content dengan loadadv.exe di destination address-list. Ournetwork, maksudnya agar content tersebut hanya dicek kalai destinasinya bukan address-list-ournetwork.
3. Kalau ada content loadadv.exe dimasukkan ke dst-address-list = worm-dst.
4. Buat firewall rule chain Forward.
5. Dst-address-list pilih Worm-dst.
6. Action drop, lalu ok, jangan lupa diletakkan di paling atas.
Dengan teknik ini, walaupun URL berubah-ubah, sebanyak apapun selama file yang dicari adalah loadadv.exe maka IP URL tersebut akan di-drop oleh Mikrotik. Hanya saja, sistem mangle dengan content loadadv.exe ini cukup galak.
Jika mengetik loadadv.exe di destinasi lain maka destinasi akan di-block juga. Walaupun misalnya hanya karena Anda mengetik loadadv.exe di kotak search google, IP address google.com pun akan dianggap worm-dst sehingga akan di-block setiap kali akan diakses kembali. [LIN]
0 komentar:
Post a Comment
saran, komentar dan kritikan anda sangat berharga buat saya, terima kasih.