Sejak munculnya serangan worm Conficker , Downandup, Kido secara sporadis ke seluruh jaringan internet di seluruh dunia membuat para network administrator dan security engineer kerepotan untuk menangkal dengan ulah cacing ganas ini, seperti kita ketahui OS windows tidak memiliki tingkat security yg baik serta memiliki banyak celah yang mudah ditembus karena cacat bawaan OS windows , default service Netbios 135-139 dan SMB 445 yang tetap terbuka meskipun Windows udah dipatch, atau diupgrade
Worm ini mampu mengubah/menambah fungsi internal windows (TCP) untuk memblok akses situs-situs keamanan (security/antivirus), dengan memfilter alamat yang mempunyai karakter/text tertentu. Dan untuk menghilangkan efek tersebut tidak mudah, karena boleh dibilang sudah tingkat low level programming.
Worm ini didesign untuk melindungi diri dari deteksi antivirus dengan menggunakan teknik tertentu yang jarang digunakan, melindungi diri dari upaya untuk dihapus, mematikan windows update, restore point sebelum infeksi, mematikan trafik jaringan tertentu, mengoptimalkan fitur windows Vista untuk memudahkan penyebaran, mampu menginjeksi explorer.exe, svchost.exe dan services.exe dan lainnya.
Situs-situs yang di blok cukup banyak, meliputi web yang menggunakan text seperti berikut ( bisa di blok atau selalu memunculkan pesan Time Out ketika membuka situsnya) :
•virus
•spyware
•malware
•rootkit
•defender
•microsoft
•symantec
•norton
•mcafee
•trendmicro
•sophos
•panda
•etrust
•f-secure
•kaspersky
•f-prot
•nod32
•eset
•grisoft
•avast
•avira
•comodo
•clamav
•norman
•pctools
•rising
•sunbelt
•threatexpert
•wilderssecurity
•windowsupdate
•avp
•avg
Untuk mengatasi aksi si cacing ganas ini , kami sarankan gunakan fitur filter dari firewall yang sudah tersedia di Mikrotik Router, silahkan copy paste script blokir worm, virus berikut dari terminal/konsol di Mikrotik Router
/ip firewall filter
add chain=forward connection-state=established comment="allow established connections"
add chain=forward connection-state=related comment="allow related connections"
add chain=forward connection-state=invalid action=drop comment="drop invalid connections"
add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop Blaster Worm"
add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop Messenger Worm"
add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster Worm"
add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Conficker Worm"
add chain=virus protocol=tcp dst-port=593 action=drop comment="Drop Kido Worm"
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom"
add chain=virus protocol=tcp dst-port=1214 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester"
add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server"
add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast"
add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx"
add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid"
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm"
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus"
add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop Dumaru.Y"
add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop Beagle"
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop Beagle.C-K"
add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment="Drop MyDoom"
add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop Backdoor OptixPro"
add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm"
add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm"
add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser"
add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B"
add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop Dabber.A-B"
add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop Dumaru.Y"
add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop MyDoom.B"
add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus"
add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2"
add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop SubSeven"
add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot, Agobot, Gaobot"
Agar script filter firewall ini bisa bekerja secara optimal dan akurat memblokir worm, virus maka tambahkan rule baru chain=forward dari list virus dan action=jump
add chain=forward action=jump jump-target=virus comment="jump to the virus chain"
Sehingga nampak bisa dilihat pada gambar, apabila paket atau koneksi yang berjalan tidak sesuai dengan rule chain=virus maka segera diproses kembali ke chain=forward, selamat mencoba :)
thanx a lots yah tar informasinya !!!!
ReplyDeletesama2 semoga sukses boss
ReplyDeleteuda di test blum mas
ReplyDeleteiya dong sblom posting udah pasti ditest bang
ReplyDeletemanta tapppp
ReplyDeleteThanks berat mo saya coba neh resep mujarab nya
ReplyDeletekayaknya Copas aja nih .. hi hi
ReplyDeleteBTW bagus, nice info , Memasyarakatkan Mikrotik dan meMrikotikkan Masyarakat
thanks atas infonya,sangat membantu..
ReplyDeletewah, sepertinya pas coba script ini browsing jadi lancar.. thanks berat bosss!
ReplyDeletethanx a lots yah tar informasinya !!!!
ReplyDeleteijin copy. salam kenal gan. N jgn lupa mampir" ke blog ane http://hariyanto-bjsr.blogspot.com
ReplyDelete