Vírus ou programa p2p que troca o Mac Address [RESOLVIDO]

1. Vírus ou programa p2p que troca o Mac Address [RESOLVIDO]

NeoRickHunter
(usa Debian)

Enviado em 22/08/2016 - 17:06h

Olá.
Descobri em minha rede uma estação que tem seu mac adress trocado pelo menos duas vezes por semana.
Tenho uma routerboard ahx-1100 onde controlo os acessos, e faço marcação de pacotes para bloqueio de p2p.
Sempre bloqueio as maquinas que pegam IPs em um range genérico que tenho e não em uma das minhas subredes departamentais.
Alguém já se deparou com esta situação e pode dar uma luz sobre o software que pode estar causando isto? Já analisei a maquina e removi o programa p2p, mas mesmo assim a situação se repetiu.
Formatei o equipamento, e agora vou ver se resolveu durante a semana.

0 0

Quote

2. Re: Vírus ou programa p2p que troca o Mac Address [RESOLVIDO]

Carlos_Cunha
(usa Linux Mint)

Enviado em 22/08/2016 - 19:09h

Isso esta ocorrendo em um "linux" ?
Se for Windows Formate(como ja fez), deve corrigir o problema, rsrs

#-------------------------------------------------------------------------------------#

"Linux is cool"

0 0

Quote

3. Re: Vírus ou programa p2p que troca o Mac Address

ricardogroetaers
(usa Linux Mint)

Enviado em 24/08/2016 - 10:55h

NeoRickHunter escreveu:
Alguém já se deparou com esta situação e pode dar uma luz sobre o software que pode estar causando isto?

Homo Sapiens. Cópias desse virus, superabundando em estágio pré adulto tem muita facilidade de aprender ou mesmo decorar os procedimentos necessários. Quem tiver saco para isso pode ver um exemplo em:
http://www.techtudo.com.br/dicas-e-tutoriais/noticia/2015/01/como-mudar-o-endereco-mac-de-um-disposi...
Se procurar vai achar mais.

0 0

Quote

4. Re: Vírus ou programa p2p que troca o Mac Address [RESOLVIDO]

NeoRickHunter
(usa Debian)

Enviado em 26/08/2016 - 00:12h

ricardogroetaers escreveu:

NeoRickHunter escreveu:
Alguém já se deparou com esta situação e pode dar uma luz sobre o software que pode estar causando isto?

Amigo, com certeza não é obra de alguém que muda o mac, pois quem usa não tem conhecimento para isto. E a sala fica trancada fora do horário comercial. Tenho certeza que isto era feito por software malicioso.

0 0

Quote

5. Re: Vírus ou programa p2p que troca o Mac Address [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 26/08/2016 - 06:12h

Tenso o.O

Mudar MAC Address no Linux com ifconfig é fácil.

Você já peneirou os scripts iniciais da sua máquina para ver se acha a string do MAC que se altera em algum diretório?
Ou conferiu os arquivos todos que sofreram alteração a partir da data que mais ou menos começou a ocorrer isto?

Algum manejo dos comandos find e grep pode ajudar.

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden

0 0

Quote

6. Re: Vírus ou programa p2p que troca o Mac Address [RESOLVIDO]

ctw6av
(usa Nenhuma)

Enviado em 26/08/2016 - 11:08h

Este script tapa olho vai monitorar, logar e reestabelecer o mac original assim que ele for mudado. Para isso ele usa um programa chamado macchanger, faça o download do macchanger e depois use o script abaixo:

#!/bin/bash



iface=$(echo $1)

default=$(cat /sys/class/net/$iface/address)



while true; do

	if [ "$(cat /sys/class/net/$iface/address 2>/dev/null)" != "$default" ]; then

		echo "mac alterado: '$(cat /sys/class/net/$iface/address 2>/dev/null)'" >> /root/maclogs.log

		ifconfig '$iface' down 2>/dev/null

		macchanger -m $default $iface &>/dev/null

		ifconfig $iface up 

		echo -e "mac reestabelecido: $(cat /sys/class/net/$iface/address 2>/dev/null)" >> /root/maclogs.log

		echo -e "data: $(date +%d\/%m\/%y\ %H:%M:%S)\n" >> /root/maclogs.log

	fi

	sleep 2

done

Saída no /root/maclogs.log ficará assim:

mac alterado: 'ca:1a:09:21:da:ba'

mac reestabelecido: 74:29:af:a1:ef:21

data: 26/08/16 10:00:53



mac alterado: '66:ec:fc:b5:0b:84'

mac reestabelecido: 74:29:af:a1:ef:21

data: 26/08/16 10:01:14

Faça isso até descobrir oque/qual programa está fazendo isso, se a internet não voltar após reestabelecer o mac reinicie o gerenciador de rede.

Espero que possa ajudar.

----------------------------------------------------------
A Internet... foi projetada no espírito da confiança. Nem os protocolos de rede
de comunicações nem o software que comanda os sistemas computacionais
conectados a rede foram arquitetados para operação num ambiente no qual estão sob
ataque.
----------------------------------------------------------

0 0

Quote

7. Re: Vírus ou programa p2p que troca o Mac Address [RESOLVIDO]

NeoRickHunter
(usa Debian)

Enviado em 28/08/2016 - 23:08h

ctw6av escreveu:

Este script tapa olho vai monitorar, logar e reestabelecer o mac original assim que ele for mudado. Para isso ele usa um programa chamado macchanger, faça o download do macchanger e depois use o script abaixo:

#!/bin/bash



iface=$(echo $1)

default=$(cat /sys/class/net/$iface/address)



while true; do

	if [ "$(cat /sys/class/net/$iface/address 2>/dev/null)" != "$default" ]; then

		echo "mac alterado: '$(cat /sys/class/net/$iface/address 2>/dev/null)'" >> /root/maclogs.log

		ifconfig '$iface' down 2>/dev/null

		macchanger -m $default $iface &>/dev/null

		ifconfig $iface up 

		echo -e "mac reestabelecido: $(cat /sys/class/net/$iface/address 2>/dev/null)" >> /root/maclogs.log

		echo -e "data: $(date +%d\/%m\/%y\ %H:%M:%S)\n" >> /root/maclogs.log

	fi

	sleep 2

done

Saída no /root/maclogs.log ficará assim:

mac alterado: 'ca:1a:09:21:da:ba'

mac reestabelecido: 74:29:af:a1:ef:21

data: 26/08/16 10:00:53



mac alterado: '66:ec:fc:b5:0b:84'

mac reestabelecido: 74:29:af:a1:ef:21

data: 26/08/16 10:01:14

A estação não é Linux, e sim Windows, versão 7.
Formatei o equipamento, e até agora não tive mais reclamações.
Vou aguardar mais uns 4 dias e se não houver mais reclamações, vou encerrar o tópico.

ctw6av, Obrigado pelo script, apesar de eu não ter utilizado, achei muito bom.

0 0

Quote