No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Scripting
 Amministrazione di ISA con VBScript
 Bloccare il Worm Conficker con VBS
 New Topic  Reply to Topic
 Printer Friendly
Author  Topic Next Topic  

lconte
Amministratore del Forum

2017 Posts

Posted - 03/01/2009 :  12:25:28  Show Profile  Reply with Quote
Se ancora non avete applicato la patch MS08-067 consigliabile agire su ISA Server per evitare la propagazione del Worm Conficker.

Nota: Per verificare lo stato di applicazione della patch potete utilizzare MBSA (free).

E' possibile scaricare lo script direttamente dal sito web di J.Harrison (Microsoft) oppure dalla sezione Utility di ISAserver.it. Il nome dello script block_conficker.vbs ver. 1.1. Lo script disponibile per ISA 2006/2004 e Forefront TMG (MBE).


Luca Conte
MCSE:Security MCT MCSA:Security
VMWare VCP
Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post

alan80
Junior Member

63 Posts

Posted - 11/02/2009 :  18:23:18  Show Profile  Reply with Quote
Potreste cortesemente spiegarmi come posso applicare questo script, visto che la rete severamente compromessa da "conficker"...a seguito del mancato aggiornamento dell'antivirus aziendale?

Grazie,

Michelangelo
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 11/02/2009 :  19:47:13  Show Profile  Reply with Quote
Ciao Alan,
il filtro agisce solo sul traffico HTTP che attraversa ISA Server.
Per configurarlo ti basta lanciare lo script sulla macchina ISA Server. Doppio clic sul file block_conficker.vbs ed il gioco fatto.
Lo script esporta la configurazione di ISA Server in un file con nome block_conficker_Backup.xml nella stessa cartella dove hai salvato lo script.

La versione attualmente disponibile la 1.3. Chi avesse lanciato la 1.1 deve lanciare la 1.3 che rimuove le vecchie signature ed aggiunge le nuove. Il filtro HTTP opera sia sulle Access Rule che sulle Web Publishing rule - es. OWA -.

Se hai bisogno di un supporto professionale scrivimi tranquillamente via mail.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

kekko81
New Member

33 Posts

Posted - 20/03/2009 :  16:09:01  Show Profile  Reply with Quote
Ciao a tutti

Ho applicato lo scrip 1.3 su isa server 2004, non sono del tutto sicuro che funzioni per; ho provato

h**p://74.208.64.145/search?q=0 seguendo la sintassi di conficker,

e isa mi restituisce il messaggio
Error Code 10060: Connection timeout
Source: Firewall

ho provato anche il sito di google sempre usando questa sintassi, il sito si apre, quando crendo non dovrebbe; ho mandato una mail a Jim Harrison, chiedendo spiegazioni e lui dice you should see a 502 response with Blocked by HTTP filter (12217) cosa che invece non accade, che posso fare?

Grazie
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 21/03/2009 :  16:50:34  Show Profile  Reply with Quote
Verifica le signature create nel tuo HTTP Filter...

Non mancare ai prossimi Workshop Security Technical Days - Da Marzo/Maggio - organizzati da ISAserver.it a Bologna. Puoi iscriverti direttamente da qui.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

kekko81
New Member

33 Posts

Posted - 21/03/2009 :  21:42:06  Show Profile  Reply with Quote
Scusami Luca che devo verificare? non sono pratico
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 24/03/2009 :  10:02:07  Show Profile  Reply with Quote
Con il tasto destro del mouse fai clic cul protocollo HTTP in una delle tue regole, seleziona Configure HTTP e poi vai nella sezione Signature.
Li devi trovare le firme inserite dallo script di Jim:
CONFICKER-1
CONFICKER-2

Analizzandone il contenuto (Edit), vedi la signature inserita che deve essere:
Conficker-1 -> search?q=%d&aq=7
Conficker-2 -> search?q=%d

Entrambe attive per il metodo Request URL.

Non mancare ai prossimi Workshop Security Technical Days - Da Marzo/Maggio - organizzati da ISAserver.it a Bologna. Puoi iscriverti direttamente da qui.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

kekko81
New Member

33 Posts

Posted - 24/03/2009 :  12:39:49  Show Profile  Reply with Quote
Le voci ci sono e sono selezionate, quando clicco ok per chiudere mi dice, the sum of maximum Url length and the maximum query lenght must be a value less than the maximum headers lenght

Qualcosa non funziona :)
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 24/03/2009 :  12:51:16  Show Profile  Reply with Quote
Nella sezione General del filtro HTTP i valori presenti sono quelli di default, che sono:
Maximum Header... : 32768
Allow Any Payload (selezionato)
Maximum Url...: 10240
Maximum Query...: 10240
Nessun altra opzione attiva.

Nessuna impostazione nelle altre sezioni.

Non mancare ai prossimi Workshop Security Technical Days - Da Marzo/Maggio - organizzati da ISAserver.it a Bologna. Puoi iscriverti direttamente da qui.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

kekko81
New Member

33 Posts

Posted - 24/03/2009 :  14:25:55  Show Profile  Reply with Quote
Queste sono le pagine di configurazione che tu mi hai indicato

[URL=http://img17.imageshack.us/my.php?image=31520239.jpg][/URL]

[URL=http://img16.imageshack.us/my.php?image=69034275.jpg][/URL]

cosi facendo se cerco http://www.google.it/search?q=0

mi si apre la pagina di google con la ricerca di 0

non dovrebbe esser bloccata?


Ti volevo ringraziare per la tua disponibilit
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 24/03/2009 :  18:27:11  Show Profile  Reply with Quote
La stringa e' search?q=%d e non search?q=0; infatti quando ISA intercetta questa stringa nella URL genera l'errore 502 - Request was rejected by the HTTP Filter. In caso contrario no.

Non mancare ai prossimi Workshop Security Technical Days - Da Marzo/Maggio - organizzati da ISAserver.it a Bologna. Puoi iscriverti direttamente da qui.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

kekko81
New Member

33 Posts

Posted - 24/03/2009 :  19:10:43  Show Profile  Reply with Quote
Oltre ISA, a lavoro usiaamo anche websense,
tramite mail ci avverte di aver bloccato + volte richieste del tipo

URL: h++p://205.188.161.4/search?q=0

Categoria: Hacking (Pirateria informatica)

ora la questione , mettiamo il caso websense non conosca il sito, io con questo script non posso evitare che la richiesta venga inoltrata?
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 24/03/2009 :  21:21:50  Show Profile  Reply with Quote
La questione quindi e' un'altra. Conficker non entra in ballo, cosi' come lo script di Jim.
Il tuo problema e', in base alla segnalazione Websense, come bloccare con ISA richieste del tipo search?q=0.
La risposta e' semplice, nel tuo HTTP filter aggiungi una NUOVA signature identica, come struttura, a quella di conficker ma con il campo signature diverso. Invece di search?q=%d ci metti il tuo search?q=0.

Non mancare ai prossimi Workshop Security Technical Days - Da Marzo/Maggio - organizzati da ISAserver.it a Bologna. Puoi iscriverti direttamente da qui.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

kekko81
New Member

33 Posts

Posted - 24/03/2009 :  22:13:45  Show Profile  Reply with Quote
Far cos grazie, ma secondo te il search?q=0 non da attribiure a conficker?

avevo letto su http://mtc.sri.com/Conficker

Both Conficker A and B query the list of random domains generated for any available files to be downloaded. The list of domains is queried every 3 hours starting on 26 November 2008 for version A and every 2 hours starting on January 1, 2009 for version B. The worm first tries to resolve the domain name to an IP address. If that succeeds, it proceeds by sending an HTTP request in the form of a string

* http://domainname/search?q=n\&aq=7} (for Conficker A)
* http://domainname/search?q=n} (for Conficker B)

A me sembra in pieno la variante B...

poi magari il sito dice tutte fesserie
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 25/03/2009 :  00:16:10  Show Profile  Reply with Quote
Lo script di Jim fa riferimento alle informazioni presenti nella analisi pubblicata nel Microsoft Malware Protection Center.
Se vuoi bloccare altri pattern ti basta aggiungere a mano le signature come ti ho indicato.


Non mancare ai prossimi Workshop Security Technical Days - Da Marzo/Maggio - organizzati da ISAserver.it a Bologna. Puoi iscriverti direttamente da qui.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

kekko81
New Member

33 Posts

Posted - 27/03/2009 :  19:23:16  Show Profile  Reply with Quote
Grazie Luca, ha funzionato.

Sono riuscito a bloccare i siti con la sintassi /search?q=0

c' solo un problema, i siti vengono bloccati solo se cercati tramite nome, mi spiego meglio.

se cerco http://www.google.it/search?q=0

vengo bloccato da isa per il filtro HTTP
se cerco invece

http://74.125.77.99/search?q=0 la ricerca va a buon fine

dove sbaglio?
Go to Top of Page

frhell
New Member

33 Posts

Posted - 28/03/2009 :  12:33:23  Show Profile  Reply with Quote
ho applicato lo script block conficker 1.3 di jim sul mio ISA.
Da un paio di giorni proprio su ISA che il conficker si attacca.
Al momento non ho nessun antivirus sulla macchina ISA..(su tutte le altre ovviamente s..). Ho buttato su anche Webmonitor per ISA,ma non cambiato niente..Per risolvere i blocchi ai siti MS,antivirus,ecc. devo dare un passata al server ISA stesso con il conficker removal di Symantec e riavviare..
cosa mi consigliate?
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 28/03/2009 :  12:50:09  Show Profile  Reply with Quote
per kekk081:
Controlla i Log di ISA e verifica che venga applicata la corretta Access rule.

Non mancare ai prossimi Workshop Security Technical Days - Da Marzo/Maggio - organizzati da ISAserver.it a Bologna. Puoi iscriverti direttamente da qui.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

frhell
New Member

33 Posts

Posted - 28/03/2009 :  14:02:41  Show Profile  Reply with Quote
ok,ma cosa dovrei controllare di preciso?
che logging abilito?
Lato antivirus quindi meglio non installare niente sul server ISA?
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 28/03/2009 :  15:08:32  Show Profile  Reply with Quote
Per la questione ISA/antivirus leggi qui:
Gli Antivirus File/Process/Memory-Scanner ha senso installarli su ISA Server?

Dal mio punto di vista l'unica cura certa per bonificare un server di frontiera e' il rebuild completo.

L'aspetto piu' importante e' comunque capire COME arrivato conficker sul tuo ISA.


Non mancare ai prossimi Workshop Security Technical Days - Da Marzo/Maggio - organizzati da ISAserver.it a Bologna. Puoi iscriverti direttamente da qui.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

frhell
New Member

33 Posts

Posted - 28/03/2009 :  15:23:30  Show Profile  Reply with Quote
se non arriva via http perch ho la policy http di jim, da cos'altro pu arrivare?
A livello di monitoring tu cosa abiliteresti per provare a capirlo?
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 28/03/2009 :  15:37:51  Show Profile  Reply with Quote
Su come Conficker si propaga puoi far riferimento al Malware Protection Center di Microsoft.
Sugli host infetti, ti basta, in prima battuta, vedere quelli bloccati dal filtro HTTP.
Se poi il tuo ISA e' "infetto", inizia da lui la bonifica.

Non mancare ai prossimi Workshop Security Technical Days - Da Marzo/Maggio - organizzati da ISAserver.it a Bologna. Puoi iscriverti direttamente da qui.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

frhell
New Member

33 Posts

Posted - 30/03/2009 :  16:31:25  Show Profile  Reply with Quote
il problema che la bonifica che faccio dura poco..e non riesco a capire come bloccarlo su ISA. Che sia uno dei primi che si sia beccato la nuova versione C o D di conficker?
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 30/03/2009 :  16:38:54  Show Profile  Reply with Quote
Ciao,

una brutta bestia e una volta entrato non semplice rimuoverlo.

Se hai AD o cmq un sistema di autenticazione centralizzata, individua i PC da dove partono i brute force sulla autenticazione, isolali dalla rete e dove puoi formatta.

ISA ti puo' proteggere solo dalla navigazione, ma non dagli utenti interni (Pennine, allegati email, CD .....)

Inoltre scarica e fai girare questo tool :

http://www.microsoft.com/security/malwareremove/default.mspx


Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page
   Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso pi efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it  parte del network GITCA - Global IT Community Association