Soru Ağımızdaki bilinmeyen bir solucanın kaldırılması / ortadan kaldırılmasıyla nasıl baş edebilirim?


TL; DR

Küçük ağımızın bir çeşit solucan / virüs bulaştığından eminim. Ancak, sadece Windows XP makinelerimizi etkiliyor gibi görünüyor. Windows 7 makineleri ve Linux (iyi, evet) bilgisayarlar etkilenmemiş gibi görünüyor. Anti-virüs taramaları hiçbir şey göstermiyor, ancak alan adı sunucumuz, çeşitli yönetici ve geçerli kullanıcı hesaplarına, özellikle de yöneticiye yönelik binlerce başarısız giriş denemesi yaptı. Bu tanımlanamayan solucanın yayılmasını nasıl engelleyebilirim?


belirtiler

Windows XP kullanıcılarımızdan bazıları, tamamen aynı olmamasına rağmen, benzer sorunlar bildirmiştir. Hepsi yazılım başlatılan rasgele kapanma / yeniden başlatma deneyimliyorlar. Bilgisayarlardan birinde, sistem yeniden başlatılıncaya kadar, NT-AUTHORITY \ SYSTEM tarafından başlatılan ve bir RPC çağrısı yapmak zorunda olan bir iletişim kutusu açılır. Bu diyalog özellikle eski RPC istismar solucanlarını detaylandıran makalelerde açıklananlarla tamamen aynıdır.

Bilgisayarların ikisi yeniden başlatıldığında, giriş isteminde geri geldiler (etki alanı bilgisayarlarıdır) ancak yönetici olarak oturum açmamış olsalar bile listelenen kullanıcı adı 'yönetici' idi.

Etki alanı çalıştıran Windows Server 2003 makinemizde çeşitli kaynaklardan binlerce giriş denemesi olduğunu fark ettim. Yönetici, yönetici, kullanıcı, sunucu, sahip ve diğerleri dahil olmak üzere tüm farklı giriş adlarını denediler.

Bazıları listelenen IP'leri, bazıları yoktu. Kaynak IP adresine sahip olanlardan (başarısız girişler için) ikisi, yeniden başlatılan iki Windows XP makinesine karşılık gelir. Sadece dün dışarıdan bir IP adresinden başarısız giriş denemesi yaptım. Bir traceroute, dış IP adresinin bir Kanada ISS'sinden geleceğini gösterdi. Oradan hiç bir bağlantımız olmamalıydı (yine de VPN kullanıcılarımız var). Yani hala bir foriegn IP gelen giriş denemelerinde neler olup bittiğinden emin değilim.

Bu bilgisayarlarda bir tür kötü amaçlı yazılımın bulunduğu açıktır ve yaptıklarının bir kısmı, erişim kazanmak için etki alanı hesaplarındaki parolaları numaralandırmaya çalışmaktır.

Şimdiye kadar ne yaptım

Neler olduğunu anladıktan sonra, ilk adımım herkesin güncel bir virüsten korunmadığından emin olmak ve taramaktı. Etkilenen bilgisayarlardan biri, bir zaman aşımına uğramış bir virüsten koruma istemcisiydi, ancak diğer ikisi Norton'ın güncel sürümleriydi ve her iki sistemin tam taramaları hiçbir şey ortaya atmadı.

Sunucunun kendisi düzenli olarak güncel anti-virüs çalışır ve herhangi bir enfeksiyon göstermemiştir.

Dolayısıyla, Windows NT tabanlı bilgisayarların 3 / 4'ü güncel bir virüsten korumaya sahiptir, ancak hiçbir şey algılamamıştır. Ancak, genellikle çeşitli hesaplar için binlerce başarısız giriş denemesinin kanıtladığı bir şeyin devam ettiği konusunda ikna oldum.

Ayrıca, ana dosya paylaşımımızın kökü oldukça açık izinlere sahip olduğunu fark ettim, bu yüzden normal kullanıcılar için + yürütmeyi kısıtladım. Yöneticinin derse tam erişimi vardır. Ayrıca kullanıcıların parolalarını (güçlü olanlara) güncellemelerini sağlamak üzereyim ve sunucuda Yönetici olarak yeniden adlandıracağım ve şifresini değiştireceğim.

Makineyi şebekeden çoktan aldım, biri yenisiyle değiştiriliyor, ama bu şeylerin ağlara yayılabileceğini biliyorum, bu yüzden hala bunun alt kısmına geçmem gerekiyor.

Ayrıca, sunucunun yalnızca belirli portları açık olan bir NAT / Firewall kurulumu vardır. Linux arka planında olduğu gibi, Windows ile ilgili hizmetlerin bazılarını açık, açık portlarla araştırmam gerekiyor.

Şimdi ne olacak?

Yani tüm modern ve güncel anti-virüs hiçbir şey tespit etmedi, ama kesinlikle bu bilgisayarların bir çeşit virüsü olduğuna ikna oldum. Bunu, bu makinelerden kaynaklanan binlerce giriş denemeyle birlikte, XP makinelerinin rastgele yeniden başlatmaları / kararsızlığına dayandırıyorum.

Yapmayı planladığım şey, etkilenen makinelerde kullanıcı dosyalarını yedeklemektir ve daha sonra pencereleri yeniden yüklemek ve yeni sürücüleri biçimlendirmek. Ayrıca, diğer makinelere yayılmak için kullanılmış olabilecek ortak dosya paylaşımlarını güvenceye almak için birkaç önlem alıyorum.

Bütün bunları bildiğimde, bu solucanın ağda başka bir yerde olmamasını sağlamak için ne yapabilirim ve yayılmasını nasıl engelleyebilirim?

Bunun bir çıkış sorusu olduğunu biliyorum, ama burada derinliklerimin dışındayım ve bazı işaretçiler kullanabilirim.

Baktığın için teşekkürler!


13
2017-12-09 20:25


Menşei


olası kopyası Sunucum ACİL DURDURULU - mailq
Tam olarak aynı değil ama çok yaklaşıyor .... - mailq
Başarısız oturum açma işlemini gösteren sunucunuz İnternet erişebilir mi, yoksa yerel ağda mı? - MDMarra
F..king sh.t. Ve kimse seni bunun için öldürmedi mi? - mailq
Neyse ki, öldürmeyi hak eden ben değilim, çoktan gitti. Parçaları almak için buradayım. - Mr. Shickadance


Cevaplar:


Bunlar, bu tür bir süreç için benim genel önerim. Takdir ettim ki, bunlardan bazılarını zaten kapsıyorsunuz, ancak önemli bir şeyi kaçırmaktan iki kez bir şey söylemeniz daha iyi. Bu notlar bir LAN'a yayılan kötü amaçlı yazılımlara yöneliktir, ancak daha küçük enfeksiyonlarla başa çıkmak için kolayca ölçeklendirilebilir.

Çürümeyi durdurmak ve enfeksiyon kaynağını bulmak.

  1. Her sistemin güncel bir yedeğinin ve bu ağdaki işin önemsediği her bir veri bağlantınızın olduğundan emin olun. Bu geri yükleme medyasının tehlikeye düşebileceğine dikkat edin. Böylece, arka tarafınız döndürülür ve ağa tekrar bulaştığında insanlar 3 ay içinde tekrar deneyemezler. Enfeksiyondan önce bir yedeğiniz varsa, bunu güvenle bir tarafa koyun.

  2. Canlı ağı kapat, eğer istersen (muhtemelen bunu en azından temizleme işleminin bir parçası olarak yapmanız gerekecektir). En azından, bu ağın, sunucular da dahil olmak üzere, internette neler olup bittiğini anlayana kadar ciddiye almayı düşünün. Bu solucan bilgi çalmaksa ne olur?

  3. Kendinden geçme. Sadece bu noktada her şeyi temizlemeyi, herkesin şifreleri, vb. Değiştirmeye zorladığını ve “yeterince iyi” olduğunu söylemek cazip gelebilir. Bunu muhtemelen er ya da geç yapmak zorunda kalacaksınızLAN'ınızda neler olup bittiğini anlamıyorsanız, sizi enfeksiyonun ceplerine bırakma olasılığı vardır. (Enfeksiyonu araştırmak istemiyorsanız 6. adıma geçin.)

  4. Virüslü bir makineyi bir tür sanal ortama kopyalayın, Güvenliği ihlal edilmiş konuyu ön yüklemeden önce bu sanal ortamı ana makine de dahil olmak üzere diğer her şeyden ayırın.

  5. Bu ağa tecavüz etmesi ve benzeri araçları kullanması için başka bir çift temiz sanal konuk makinesi oluştur wireshark ağ trafiğini izlemek için (bu linux arka planından yararlanmak için zaman yaratın ve bir diğeri herhangi bir Windows solucanına yakalanmadan tüm bu trafiği izleyebilen bu sanal LAN'da misafir!) ve Proses Monitörü Tüm bu makinelerde meydana gelen değişiklikleri izlemek için. Ayrıca sorunun iyi bir gizlenmiş olabileceğini de göz önünde bulundurun. rootkit - Bunları bulmak için saygın bir araç kullanmayı deneyin, ama bunun yokuş yukarı bir mücadele olduğunu unutmayın, bu yüzden hiçbir şey bulmak orada hiçbir şey olmadığı anlamına gelmez.

  6. (Ana LAN'ı kapatıp açmadığınızı varsayarak) Enfekte makinelere gönderilen / gönderilen trafiğe bakmak için ana LAN'daki wireshark'ı kullanın. Açıklanamayan trafiği herhangi bir makineden potansiyel olarak şüpheli olarak ele alın - Görünür belirtilerin yokluğu, herhangi bir uzlaşma yokluğunun kanıtı değildir.. İş açısından kritik bilgileri çalıştıran sunucular ve iş istasyonları konusunda özellikle endişelenmeniz gerekir.

  7. Sanal davetlilerde herhangi bir virüs bulaşmış süreçleri izole ettikten sonra, Kullandığınız virüsten koruma yazılımını yapan şirkete bir örnek gönderin bu makinelerde. Örnekleri incelemek ve gördükleri herhangi bir yeni kötü amaçlı yazılım için düzeltme yapmak isteyeceklerdir. Aslında, daha önce yapmadıysanız, onlara yardım etmenin bir yolu olabileceğinden, onlarla kişisel hikayenizle iletişime geçmelisiniz.

  8. Orijinal enfeksiyon vektörünün ne olduğunu öğrenmek için çok uğraşın. - Bu solucan, birisinin ziyaret ettiği bir web sitesinin içinde gizlenmiş bir istismar olabilir, birisinin evinden bir bellek çubuğuna getirilmiş veya e-postayla alınmış olabilir, ancak bir kaç şekilde adlandırılabilir. Bu avantaj, bu makineleri yönetici haklarına sahip bir kullanıcı üzerinden riske attı mı? Öyleyse, kullanıcılara gelecekte yönetici hakları vermeyin. Enfeksiyon kaynağının sabitlendiğinden emin olmalısınız ve gelecekte enfeksiyon rotasını daha zorlaştırmak için yapabileceğiniz herhangi bir prosedür değişikliğinin olup olmadığını görmeniz gerekir.

Temizlemek

Bu adımlardan bazıları en tepede görünecek. Muhtemelen bunlardan birkaçı Hangi Üstte, özellikle yalnızca birkaç makinenin gerçekten tehlike altında olduğunu belirlerseniz, ancak ağınızın olabildiğince temiz olmasını garanti etmelisiniz. Patronlar, bu adımlardan bazılarına karşı istekli olmayacak, ama bu konuda yapılacak çok şey yok.

  1. Ağdaki tüm makineleri kapatın. Bütün iş istasyonları. Tüm sunucular. Her şey. Evet, oğlunun işini bitirmesi için babanın işini bitirmesini beklerken oğlunun ağa gizlice girdiği gençlerin dizüstü bilgisayarı bileşüpheli-JavaScript-hareket-Ville'güncel sosyal medya sitesi ne olursa olsun du-jour. Aslında, bunun hakkında düşün, makineyi kapat özellikle. Bir tuğla ile alması gereken buysa.

  2. Her sunucuyu sırayla başlatın. Kendiniz için keşfettiğiniz herhangi bir düzeltmeyi uygulayın veya bir AV şirketi tarafından verildi. Açıklanamayan hesaplar için (hem yerel hesaplar hem de AD hesapları) kullanıcıları ve grupları denetleyin, beklenmedik bir şey için kurulu yazılımları denetleyin ve bu sunucudan gelen trafiği izlemek için başka bir sistemde wireshark kullanın. herhangi Bu noktada sorunlar o zaman sunucuyu yeniden oluşturmayı ciddi olarak düşünmektedir). Birbirinize başlamadan önce her sistemi kapatın, böylece güvenliği ihlal edilen bir makine diğerlerine saldıramaz. Veya onları ağdan çıkarın, böylece aynı anda birkaç tane yapabilirsiniz, ancak birbirleriyle konuşamazlar, hepsi iyi.

  3. Tüm sunucularınızın temiz olduğundan emin olduktan sonra, onları başlatın ve wireshark, işlem izleme, vb. Kullanarak tekrar tekrar herhangi bir garip davranış için onları gözlemleyin.

  4. Her kullanıcı şifresini sıfırla. Ve mümkünse, hizmet hesabı şifreleri de. Evet, acısını biliyorum. Bu noktada "muhtemelen en tepedeki" bölgeye doğru ilerlemek üzereyiz. Araman.

  5. Tüm iş istasyonlarını yeniden oluşturun. Her seferinde bir tane yapın, böylece muhtemelen enfekte olmuş makineler, LAN'da yeni inşa edilenlere saldırarak boşta kalmazlar. Evet bu biraz zaman alacak, bu konuda üzgünüm.

  6. Bu mümkün değilse:

    Tüm "umutlu temiz" iş istasyonlarında sunucular için yukarıda anlattığım adımları gerçekleştir.

    Şüpheli etkinliklerle ilgili tüm ipuçlarını gösterenleri yeniden oluşturun ve tüm "umarım temiz" makineler kapalıyken bunu yapın.

  7. Şimdiye kadar problemler, merkezi olay günlüğü, ağ izleme vb. Sorunları izleyebileceğiniz bir sunucuya sorunları bildiren merkezi AV'yi düşünmemişseniz, bu ağın ihtiyaçları ve bütçeleri için bunlardan hangisinin doğru olduğunu seçin ve seçin, ama burada açıkça bir sorun var, değil mi?

  8. Bu makinelerde kullanıcı haklarını ve yazılım yüklemelerini gözden geçirin ve işlerin nasıl olmasını beklediğinizden emin olmak için düzenli bir denetim oluşturun. Ayrıca, kullanıcıların en kısa zamanda inandırmadan bir şeyleri bildirmeleri konusunda teşvik edilmelerini, haberci çekmek yerine BT sorunlarının düzeltilmesi için bir iş kültürünü teşvik etmelerini sağlayın.


18
2017-12-09 21:39



Ve her şeyden önce, Bay Shickadance, İyi Şanslar. - Dan


Yapacağım her şeyi yaptın (hala bir Windows yöneticisi olsaydım) - Kanonik adımlar (ya da en son Windows'daydım):

  1. Etkilenen makineleri yalıtın.
  2. Anti-virüs tanımlarını güncelle
    AV / Malware / etc'yi çalıştırın. tüm ağda tarar
  3. Etkilenen makineleri havaya uçurun (tamamen temizleyicileri silin) ​​ve yeniden takın.
  4. Kullanıcı verilerini yedeklerden geri yükleyin (temiz olduğundan emin olun).

Virüs / solucan / e-postada (posta sunucunuzda) ya da bir word / excel belgesindeki bir makronun içinde gizlenen her zaman bir şansın olduğunu unutmayın - Sorun ortaya çıkarsa, temizlemenizde daha agresif olmanız gerekebilir. bir dahaki sefere.


7
2017-12-09 20:31



Her şey "yeniden yükleme" için geliyor. Düzeltmeye çalışma. - mailq
@mailq yup. Enfekte veya tehlikeye atılmış bir sistemi "temizlemek" diye bir şey yoktur. - voretaq7
Durumun böyle olduğunu düşündüm. Benim sorunum, hala ne olduğunu tam olarak anlayamadım ve sadece sunucumuzun ve ağımızın temizliğimizi paylaştığından emin olmak istiyorum. En azından en iyisini yapabilirim. Sadece FYI Bu projeyi miras aldım ve uzun zamandır yönetici bulunmadığından sonra temizlik yapıyorum ... - Mr. Shickadance
@ Mr.Shickadance Ne yazık ki tek yol "bilmek"Çevrenin temiz olması yeni, tamamen ayrı bir tane inşa etmek ve eski çevreye hiç bir ilgisi olmayan insanlara göç etmektir. Bu gerçekçi değildir, bu yüzden elinizden gelenin en iyisini yapabileceğiniz" makul ölçüde emin "olmanız gerekir. sorun. - voretaq7
Eh, bu noktada aslında bir yedek Linux sunucusu oluşturma sürecinde. Ne yazık ki, bu 'kusurlu' ağa zaten bağlı, ama gerçekten kullanılmamış. Onunla kendi kendime çalışıyorum ve bu hizmetleri kullanıyordum. Sadece kötü elmaları devam ettirip kaldıracağım, eski sunucudaki güvenliği olabildiğince güncelleyeceğim ve en iyisini umuyorum. - Mr. Shickadance


Bundan alacağımız ilk ders, AV çözümlerinin mükemmel olmamasıdır. Yakınında bile değil.

AV yazılım satıcılarıyla güncelseniz, onları arayın. Hepsinin tam olarak böyle bir şey için destek numaraları var. Aslına bakarsanız, muhtemelen sizi vuran şeylerle çok ilgileneceklerdir.

Diğerleri söyledikleri gibi, her bir makineyi alçaltın, silin ve yeniden takın. Herkesi XP'den çıkarmak için bu fırsatı değerlendirebilirsiniz. Oldukça uzun zamandır ölü bir işletim sistemi oldu. En azından bu, HD bölümlerini yok etmeyi ve onları yeniden biçimlendirmeyi içermelidir. Her ne kadar pek çok makine söz konusu olmasa da, tamamen yeni yedek parça satın almak daha iyi bir seçenek olabilir.

Ayrıca, patronlarınızın da bunun pahalı olduğunu bilmelerini sağlayın.

Son olarak, neden tüm dünyada tek bir sunucudan kaçarsınız? (Retorik, seni "miras aldığını" biliyorum) A DC internetten erişilebilir olmalıdır. İhtiyacınız olan işlevsellikle ilgilenmek için uygun donanımı bularak bunu düzeltin.


2
2017-12-09 23:45



Evet, aslında bu kurulumla ilgili daha fazla sorun var. Ağın tamamı için eski bir ağ Netgear ev kablosuz yönlendiricisinin ağ geçidi olarak kullanıldığını söylediğimde muhtemelen güleceksiniz. - Mr. Shickadance
@ Mr.Shickadance - ağlamak, gülmekten ziyade. Bu, selefinizin hatası mıydı, yoksa iş, BT'ye doğru bir şekilde yatırım yapmamayı seçti ve şimdi bir bedel ödüyor mu? - Rob Moir
Emin değilim, ama her ikisinin bir kombinasyonu olabilir. Her iki durumda da denemek ve düzeltmek için buradayım ve destek var, bu yüzden yeni bir donanıma yatırım yaptık. Herhangi bir oranda, eski sunucuyu alamadığım halde, kötü sistemleri ağdan kaldırdım. Hiçbir şey söyleyemediğim şeyden, bu yüzden burada verilen tavsiyelere uymaya devam etmek zorunda kalacağım. - Mr. Shickadance


A / V programlarınız hiçbir şey yapmazsa büyük olasılıkla bir rootkittir. Koşmayı dene TDSSKiller ve ne bulduğunu gör. Ayrıca, bu, arkaik Windows XP bilgisayarlarını on yıldan daha eski bir şeyle değiştirmek için mükemmel bir zaman olacaktır. Anti-virüs programları gibi bir yazılımdan başka, Windows 7'deki bir NTFS / Kayıt defteri izinlerini gevşeterek ya da gevşeterek programlanamayan programların çok azını gördüm. Devam etmek için çok az bahane var. XP'yi çalıştırmak için


0
2017-12-14 17:22