Mr.*_*nce 13 security windows windows-server-2003 malware network-monitoring
TL; 博士
我很确定我们的小网络已经被某种蠕虫/病毒感染了。然而,它似乎只影响我们的 Windows XP 机器。Windows 7 机器和 Linux(嗯,是的)计算机似乎不受影响。防病毒扫描未显示任何内容,但我们的域服务器已记录了数千次针对各种有效和无效用户帐户(尤其是管理员)的失败登录尝试。我怎样才能阻止这种不明蠕虫的传播?
症状
我们的一些 Windows XP 用户报告了类似的问题,但并不完全相同。它们都经历了由软件启动的随机关机/重启。在其中一台计算机上弹出一个对话框,并在系统重新启动之前进行倒计时,显然是由 NT-AUTHORITY\SYSTEM 启动的,并且与 RPC 调用有关。特别是这个对话框与详细介绍旧的 RPC 漏洞利用蠕虫的文章中描述的完全相同。
当其中两台计算机重新启动时,它们在登录提示处重新启动(它们是域计算机),但列出的用户名为“admin”,即使它们没有以管理员身份登录。
在我们运行域的 Windows Server 2003 机器上,我注意到来自不同来源的数千次登录尝试。他们尝试了所有不同的登录名,包括管理员、管理员、用户、服务器、所有者和其他人。
有些日志列出了 IP,有些则没有。在那些确实有源 IP 地址(对于失败的登录)的那些中,其中两个对应于两台经历重新启动的 Windows XP 机器。就在昨天,我注意到来自外部 IP 地址的一系列登录尝试失败。跟踪路由显示外部 IP 地址来自加拿大 ISP。我们不应该从那里建立连接(尽管我们确实有 VPN 用户)。所以我仍然不确定来自外国 IP 的登录尝试是怎么回事。
很明显,这些计算机上存在某种恶意软件,它所做的部分工作是尝试枚举域帐户的密码以获取访问权限。
到目前为止我所做的
在意识到发生了什么之后,我的第一步是确保每个人都运行最新的防病毒软件并进行扫描。在受影响的计算机中,其中一台具有过期的防病毒客户端,但另外两台是当前版本的诺顿,并且对两个系统的完整扫描都没有结果。
服务器本身定期运行最新的防病毒软件,并且没有显示任何感染。
因此,3/4 的基于 Windows NT 的计算机具有最新的防病毒软件,但它没有检测到任何东西。但是,我确信某些事情正在发生,主要是通过各种帐户的数千次登录尝试失败来证明。
我还注意到我们的主文件共享的根目录具有非常开放的权限,所以我只是将它限制为普通用户读取+执行。管理员当然拥有完全访问权限。我还将让用户更新他们的密码(强密码),我将在服务器上重命名为管理员并更改其密码。
我已经把机器从网络上取下来了,一台正在换一台新的,但我知道这些东西会通过网络传播,所以我仍然需要深入了解。
此外,服务器具有仅打开某些端口的 NAT/防火墙设置。由于我来自 Linux 背景,因此我还没有完全调查一些打开端口的 Windows 相关服务。
怎么办?
所以所有现代和最新的防病毒软件都没有检测到任何东西,但我绝对相信这些计算机有某种病毒。我基于 XP 机器的随机重启/不稳定性以及源自这些机器的数千次登录尝试。
我打算做的是备份受影响机器上的用户文件,然后重新安装 Windows 并重新格式化驱动器。我还采取了一些措施来保护可能已用于传播到其他计算机的公共文件共享。
了解所有这些后,我能做些什么来确保该蠕虫不在网络的其他地方,我又该如何阻止它传播?
我知道这是一个冗长的问题,但我在这里超出了我的深度,可以使用一些指针。
感谢您的关注!
Rob*_*oir 18
这些是我对这种过程的一般建议。我很感激你已经涵盖了其中的一些,但被告知两次比错过重要的事情要好。这些说明针对的是在 LAN 上传播的恶意软件,但可以轻松缩减以处理更轻微的感染。
确保您对企业关心的每个系统和该网络上的每一点数据都有最新的备份。请确保您注意到此还原媒体可能已被盗用,以免人们在 3 个月内尝试从它还原并再次感染网络。如果您有感染发生之前的备份,也请将其安全地放在一边。
如果可能,请关闭实时网络(至少在清理过程中您可能需要这样做)。至少,认真考虑让这个网络(包括服务器)远离互联网,直到你知道发生了什么 - 如果这个蠕虫正在窃取信息怎么办?
不要超越自己。在这一点上说干净构建所有东西,强迫每个人更改密码等,并称之为“足够好”是很诱人的。虽然您可能迟早需要这样做,但如果您不了解 LAN 上发生的情况,则可能会给您留下一些感染。(如果您不想进一步调查感染,请转到第 6 步)
将受感染的机器复制到某种虚拟环境中,在启动受感染的来宾之前,将此虚拟环境与包括主机在内的所有其他东西隔离开来。
创建另外几台干净的虚拟来宾机器以进行感染,然后隔离该网络并使用wireshark 之类的工具来监视网络流量(是时候利用该 linux 背景并在此虚拟 LAN 上创建另一个来宾,该来宾可以在不监视所有这些流量的情况下被任何 Windows 蠕虫感染!)和进程监视器来监视所有这些机器上发生的变化。还要考虑这个问题可能是一个隐藏得很好的rootkit - 尝试使用信誉良好的工具来查找这些,但请记住,这有点困难,所以什么也没找到并不意味着那里什么也没有。
(假设您没有/无法关闭主 LAN)在主 LAN 上使用 wireshark 查看发送到/来自受感染机器的流量。将来自任何机器的任何无法解释的流量视为潜在的可疑——没有明显的症状并不是没有任何妥协的证据。您应该特别担心服务器和任何运行关键业务信息的工作站。
一旦隔离了虚拟来宾上的任何受感染进程,您就应该能够向制造您在这些机器上使用的防病毒软件的公司发送样本。他们将热衷于检查样本并修复他们看到的任何新恶意软件。事实上,如果你还没有这样做,你应该联系他们讲述你的悲惨故事,因为他们可能会提供一些帮助。
非常努力地找出原始感染媒介是什么- 此蠕虫可能是隐藏在某人访问过的受感染网站中的一种漏洞利用,它可能是从某人家中的记忆棒上带入的,或通过电子邮件收到的,举个例子但有几种方法。该漏洞是否通过具有管理员权限的用户危害了这些机器?如果是这样,以后不要给用户管理员权限。您需要尝试确保感染源是固定的,并且您需要查看是否有任何程序更改可以使该感染途径在未来更难以被利用。
其中一些步骤看起来有些过分。哎呀,其中一些可能已经过头了,特别是如果您确定实际上只有几台机器受到威胁,但它们应该保证您的网络尽可能干净。老板也不会热衷于这些步骤中的一些,但没有太多可做的。
关闭网络上的所有机器。所有工作站。所有服务器。一切。是的,即使是老板的十几岁儿子的笔记本电脑,儿子在等待爸爸完成工作时用它潜入网络,这样儿子就可以在当前社交媒体网站 du-jour 上玩“ dubious-javascript-exploit-Ville ” . 其实仔细想想,特别是关掉这台机器。如果需要的话,用砖头。
依次启动每台服务器。应用您自己发现的或 AV 公司提供的任何修复程序。审核任何无法解释的帐户(本地帐户和 AD 帐户)的用户和组,审核已安装的软件是否有任何意外,并在另一个系统上使用 Wireshark 观察来自该服务器的流量(如果此时发现任何问题,请认真考虑重建那个服务器)。在开始下一个系统之前关闭每个系统,这样被感染的机器就无法攻击其他机器。或者把它们从网络上拔掉,这样你可以一次做几个但它们不能互相交谈,这一切都很好。
一旦你确定你所有的服务器都是干净的,启动它们并使用wireshark、进程监视器等再次观察它们是否有任何奇怪的行为。
重置每个用户密码。如果可能,还有服务帐户密码。是的,我知道这很痛苦。在这一点上,我们即将进入“可能超过顶部”的领域。您的来电。
重建所有工作站。一次一个,这样可能受感染的机器就不会闲置在 LAN 上攻击新重建的机器。是的,这需要一段时间,抱歉。
如果那不可能,那么:
对所有“希望干净”的工作站上的服务器执行我上面概述的步骤。
重建所有显示任何可疑活动迹象的机器,并在所有“希望干净”的机器关闭电源时执行此操作。
如果您还没有考虑使用集中式 AV,它会将问题报告回服务器,您可以在其中观察问题、集中式事件日志记录、网络监控等。显然,选择其中哪些适合该网络的需求和预算,但这里显然有问题,对吧?
查看这些机器上的用户权限和软件安装,并设置定期审核以确保事情仍然如您所愿。还要确保鼓励用户尽快报告事情而不会被抱怨,鼓励解决 IT 问题而不是射击信使等的商业文化。
你已经完成了我会做的所有事情(如果我仍然是 Windows 管理员)——规范步骤是(或者是,上次我是 Windows 人):
请注意,病毒/蠕虫病毒/任何潜伏在电子邮件中(在您的邮件服务器上)或 word/excel 文档中的宏中的东西总是有可能的——如果问题再次出现,您可能需要更加积极地进行清理下一次。
| 归档时间: |
|
| 查看次数: |
1654 次 |
| 最近记录: |