Jak sprawdzić czy komp jest zainfekowany?

Oglądając moje logi systemowe nagminnie widzę, że goście wchodzą na mój sajt z pytaniem "jak się włamać", "jak zostać hackerem", "gghack". Chwilę później z tego samego adresu IP usiłuje się przesłać wirus.

Przedstawiam najprostszy sposób sprawdzenia, czy nasz komputer jest zainfekowany:

Połączenie do sieci zazwyczaj odbywa się przez modem (neo, dsl, sdi, kablówki), kartę sieciową (lokalne sieci LAN) - w każdym razie jakieś urządzenie z mrugającymi diodami. Jedną z tych diód jest ACT / Activity - dioda pokazująca czy na łączu jest jakiś ruch.

Wystarczy wyłączyć wszelkie programy połączone z netem i sprawdzić czy ta dioda miga - nie powinna mrugać zbyt często. Jeżeli mrugnie raz na kilka sekund - to znaczy, że Windows się rozgłasza w sieci = normalna sytuacja.

Jeżeli jednak mamy wszystko wyłączone a dioda miga kilka razy na sekundę - to znaczy że prawdopodobnie mamy wirusa i należy system przeskanować jakimś antywirem.

Większość producentów oprogramowania AV ma na stronie wystawioną wersję demo - można sobie ściągnąć i zainstalować - wystarczy do jednorazowego wyczyszczenia sprzętu. Zresztą - jak goście pracują na nielegalnym Windowsie to niech też ukradną AV i firewalla.

Jak uprościć życie działowi abuse

Korzystając z http://www.senderbase.org (w senderbase są hosty w ogóle wysyłające pocztą, nie tylko wirusy) sprawdziłem sobie ile IPków jest listowanych w klasach /16 należących do Tepsy (tyle ile mi się chciało szukać).

najpierw przyjrzyjmy się neostradom
83.20/16 10
83.21/16 256
83.22/16 588
83.23/16 785
83.24/16 1629
83.25/16 1796
83.26/16 1271
83.27/16 2074
83.28/16 1348
83.29/16 1724
83.30/16 1466
83.31/16 1223

suma: 14170 IPków jest sporo zawyżona ze wzgledu na dynamiczny charakter sieci, tak na oko to 3/5 z listowanych ma daily magnitude równe 0.

a teraz reszta (można przyjąć, że to są statyczne ipki internetdsli, sdi i polpaków)

80.48/16 348
80.49/16 149
80.50/16 78
80.51/16 518
80.52/16 27
80.53/16 1013
80.54/16 106
80.55/16 835

83.16/16 705
83.17/16 502

217.96/16 242
217.97/16 257
217.98/16 158
217.99/16 164

suma: 5102 IPków.

O ile przy IPkach dynamicznych skojarzenie numeru IP z konkretnym abonentem jest trudne, o tyle reszta, czyli 5102 IPków (niektórzy abonenci mają więcej niż 1 IP) jest podane wręcz na tacy.

Ponieważ senderbase listuje hosty wysyłające pocztę, a nie tylko spam i wirusy, to należałoby się przyjrzeć jakiemuś RBLowi, np CBL czy DSBL.org, czy też ROKSO które udostępniają listy IPków. Ale gdy już mamy taką listę IPków:

Gdyby abuse tepsy raczyło poświęcić na każdego IPka 20 minut z życia admina, w ciągu których można czy to zadzwonić, czy to wysłać liścik miłosny, to jedna osoba musiałaby tyrać przez 213 dni roboczych (nie uwzględniając przerw na kawę itp.)
Gdyby zaś po prostu dogadać się z webmasterem i zmirrorować listę IPków, a następnie wysłać wszystkim userom w kopercie z fakturą zaproszenie do odwiedzenia odpowiedniej strony na której możnaby się sprawdzić, to byłoby to znacznie szybciej a co za tym idzie - przy mniejszych nakładach finansowych.
Może by warto podsunąć IM (nie dotyczy tylko tepsy) takie fajne narzędzie przy okazji zgłaszania spamu?

Na pewno by się to przydało multimedii, bo ich zakres 81.190.0.0/16 znajduje się dziś (2005-03-13) dość wysoko w statystykach spamcopa...