Vírus ou programa p2p que troca o Mac Address [RESOLVIDO]

1. Vírus ou programa p2p que troca o Mac Address [RESOLVIDO]

Alexandro Ferreira dos Santos
NeoRickHunter

(usa Debian)

Enviado em 22/08/2016 - 17:06h

Olá.
Descobri em minha rede uma estação que tem seu mac adress trocado pelo menos duas vezes por semana.
Tenho uma routerboard ahx-1100 onde controlo os acessos, e faço marcação de pacotes para bloqueio de p2p.
Sempre bloqueio as maquinas que pegam IPs em um range genérico que tenho e não em uma das minhas subredes departamentais.
Alguém já se deparou com esta situação e pode dar uma luz sobre o software que pode estar causando isto? Já analisei a maquina e removi o programa p2p, mas mesmo assim a situação se repetiu.
Formatei o equipamento, e agora vou ver se resolveu durante a semana.


  


2. Re: Vírus ou programa p2p que troca o Mac Address [RESOLVIDO]

Carlos A. P. Cunha
Carlos_Cunha

(usa Deepin)

Enviado em 22/08/2016 - 19:09h

Isso esta ocorrendo em um "linux" ?
Se for Windows Formate(como ja fez), deve corrigir o problema, rsrs

#-------------------------------------------------------------------------------------#

"Linux is cool"


3. Re: Vírus ou programa p2p que troca o Mac Address

Ricardo Groetaers
ricardogroetaers

(usa Linux Mint)

Enviado em 24/08/2016 - 10:55h

NeoRickHunter escreveu:
Alguém já se deparou com esta situação e pode dar uma luz sobre o software que pode estar causando isto?

Homo Sapiens. Cópias desse virus, superabundando em estágio pré adulto tem muita facilidade de aprender ou mesmo decorar os procedimentos necessários. Quem tiver saco para isso pode ver um exemplo em:
http://www.techtudo.com.br/dicas-e-tutoriais/noticia/2015/01/como-mudar-o-endereco-mac-de-um-disposi...
Se procurar vai achar mais.




4. Re: Vírus ou programa p2p que troca o Mac Address [RESOLVIDO]

Alexandro Ferreira dos Santos
NeoRickHunter

(usa Debian)

Enviado em 26/08/2016 - 00:12h

ricardogroetaers escreveu:

NeoRickHunter escreveu:
Alguém já se deparou com esta situação e pode dar uma luz sobre o software que pode estar causando isto?

Homo Sapiens. Cópias desse virus, superabundando em estágio pré adulto tem muita facilidade de aprender ou mesmo decorar os procedimentos necessários. Quem tiver saco para isso pode ver um exemplo em:
http://www.techtudo.com.br/dicas-e-tutoriais/noticia/2015/01/como-mudar-o-endereco-mac-de-um-disposi...
Se procurar vai achar mais.



Amigo, com certeza não é obra de alguém que muda o mac, pois quem usa não tem conhecimento para isto. E a sala fica trancada fora do horário comercial. Tenho certeza que isto era feito por software malicioso.


5. Re: Vírus ou programa p2p que troca o Mac Address [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 26/08/2016 - 06:12h

Tenso o.O

Mudar MAC Address no Linux com ifconfig é fácil.

Você já peneirou os scripts iniciais da sua máquina para ver se acha a string do MAC que se altera em algum diretório?
Ou conferiu os arquivos todos que sofreram alteração a partir da data que mais ou menos começou a ocorrer isto?

Algum manejo dos comandos find e grep pode ajudar.

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden



6. Re: Vírus ou programa p2p que troca o Mac Address [RESOLVIDO]

ctw6av
ctw6av

(usa Nenhuma)

Enviado em 26/08/2016 - 11:08h

Este script tapa olho vai monitorar, logar e reestabelecer o mac original assim que ele for mudado. Para isso ele usa um programa chamado macchanger, faça o download do macchanger e depois use o script abaixo:


#!/bin/bash

iface=$(echo $1)
default=$(cat /sys/class/net/$iface/address)

while true; do
if [ "$(cat /sys/class/net/$iface/address 2>/dev/null)" != "$default" ]; then
echo "mac alterado: '$(cat /sys/class/net/$iface/address 2>/dev/null)'" >> /root/maclogs.log
ifconfig '$iface' down 2>/dev/null
macchanger -m $default $iface &>/dev/null
ifconfig $iface up
echo -e "mac reestabelecido: $(cat /sys/class/net/$iface/address 2>/dev/null)" >> /root/maclogs.log
echo -e "data: $(date +%d\/%m\/%y\ %H:%M:%S)\n" >> /root/maclogs.log
fi
sleep 2
done


Saída no /root/maclogs.log ficará assim:
mac alterado: 'ca:1a:09:21:da:ba'
mac reestabelecido: 74:29:af:a1:ef:21
data: 26/08/16 10:00:53

mac alterado: '66:ec:fc:b5:0b:84'
mac reestabelecido: 74:29:af:a1:ef:21
data: 26/08/16 10:01:14


Faça isso até descobrir oque/qual programa está fazendo isso, se a internet não voltar após reestabelecer o mac reinicie o gerenciador de rede.

Espero que possa ajudar.

----------------------------------------------------------
A Internet... foi projetada no espírito da confiança. Nem os protocolos de rede
de comunicações nem o software que comanda os sistemas computacionais
conectados a rede foram arquitetados para operação num ambiente no qual estão sob
ataque.
----------------------------------------------------------


7. Re: Vírus ou programa p2p que troca o Mac Address [RESOLVIDO]

Alexandro Ferreira dos Santos
NeoRickHunter

(usa Debian)

Enviado em 28/08/2016 - 23:08h

ctw6av escreveu:

Este script tapa olho vai monitorar, logar e reestabelecer o mac original assim que ele for mudado. Para isso ele usa um programa chamado macchanger, faça o download do macchanger e depois use o script abaixo:


#!/bin/bash

iface=$(echo $1)
default=$(cat /sys/class/net/$iface/address)

while true; do
if [ "$(cat /sys/class/net/$iface/address 2>/dev/null)" != "$default" ]; then
echo "mac alterado: '$(cat /sys/class/net/$iface/address 2>/dev/null)'" >> /root/maclogs.log
ifconfig '$iface' down 2>/dev/null
macchanger -m $default $iface &>/dev/null
ifconfig $iface up
echo -e "mac reestabelecido: $(cat /sys/class/net/$iface/address 2>/dev/null)" >> /root/maclogs.log
echo -e "data: $(date +%d\/%m\/%y\ %H:%M:%S)\n" >> /root/maclogs.log
fi
sleep 2
done


Saída no /root/maclogs.log ficará assim:
mac alterado: 'ca:1a:09:21:da:ba'
mac reestabelecido: 74:29:af:a1:ef:21
data: 26/08/16 10:00:53

mac alterado: '66:ec:fc:b5:0b:84'
mac reestabelecido: 74:29:af:a1:ef:21
data: 26/08/16 10:01:14


Faça isso até descobrir oque/qual programa está fazendo isso, se a internet não voltar após reestabelecer o mac reinicie o gerenciador de rede.

Espero que possa ajudar.

----------------------------------------------------------
A Internet... foi projetada no espírito da confiança. Nem os protocolos de rede
de comunicações nem o software que comanda os sistemas computacionais
conectados a rede foram arquitetados para operação num ambiente no qual estão sob
ataque.
----------------------------------------------------------




A estação não é Linux, e sim Windows, versão 7.
Formatei o equipamento, e até agora não tive mais reclamações.
Vou aguardar mais uns 4 dias e se não houver mais reclamações, vou encerrar o tópico.

ctw6av, Obrigado pelo script, apesar de eu não ter utilizado, achei muito bom.







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts