TL; 博士
我很确定我们的小网络已经被某种蠕虫/病毒感染了。然而,它似乎只影响我们的 Windows XP 机器。Windows 7 机器和 Linux(嗯,是的)计算机似乎不受影响。防病毒扫描未显示任何内容,但我们的域服务器已记录了数千次针对各种有效和无效用户帐户(尤其是管理员)的失败登录尝试。我怎样才能阻止这种不明蠕虫的传播?
症状
我们的一些 Windows XP 用户报告了类似的问题,但并不完全相同。它们都经历了由软件启动的随机关机/重启。在其中一台计算机上弹出一个对话框,并在系统重新启动之前进行倒计时,显然是由 NT-AUTHORITY\SYSTEM 启动的,并且与 RPC 调用有关。特别是这个对话框与详细介绍旧的 RPC 漏洞利用蠕虫的文章中描述的完全相同。
当其中两台计算机重新启动时,它们在登录提示处重新启动(它们是域计算机),但列出的用户名为“admin”,即使它们没有以管理员身份登录。
在我们运行域的 Windows Server 2003 机器上,我注意到来自不同来源的数千次登录尝试。他们尝试了所有不同的登录名,包括管理员、管理员、用户、服务器、所有者和其他人。
有些日志列出了 IP,有些则没有。在那些确实有源 IP 地址(对于失败的登录)的那些中,其中两个对应于两台经历重新启动的 Windows XP 机器。就在昨天,我注意到来自外部 IP 地址的一系列登录尝试失败。跟踪路由显示外部 IP 地址来自加拿大 ISP。我们不应该从那里建立连接(尽管我们确实有 VPN 用户)。所以我仍然不确定来自外国 IP 的登录尝试是怎么回事。
很明显,这些计算机上存在某种恶意软件,它所做的部分工作是尝试枚举域帐户的密码以获取访问权限。
到目前为止我所做的
在意识到发生了什么之后,我的第一步是确保每个人都运行最新的防病毒软件并进行扫描。在受影响的计算机中,其中一台具有过期的防病毒客户端,但另外两台是当前版本的诺顿,并且对两个系统的完整扫描都没有结果。
服务器本身定期运行最新的防病毒软件,并且没有显示任何感染。
因此,3/4 的基于 Windows NT 的计算机具有最新的防病毒软件,但它没有检测到任何东西。但是,我确信某些事情正在发生,主要是通过各种帐户的数千次登录尝试失败来证明。
我还注意到我们的主文件共享的根目录具有非常开放的权限,所以我只是将它限制为普通用户读取+执行。管理员当然拥有完全访问权限。我还将让用户更新他们的密码(强密码),我将在服务器上重命名为管理员并更改其密码。
我已经把机器从网络上取下来了,一台正在换一台新的,但我知道这些东西会通过网络传播,所以我仍然需要深入了解。
此外,服务器具有仅打开某些端口的 NAT/防火墙设置。由于我来自 Linux 背景,因此我还没有完全调查一些打开端口的 Windows 相关服务。
怎么办?
所以所有现代和最新的防病毒软件都没有检测到任何东西,但我绝对相信这些计算机有某种病毒。我基于 XP 机器的随机重启/不稳定性以及源自这些机器的数千次登录尝试。
我打算做的是备份受影响机器上的用户文件,然后重新安装 Windows 并重新格式化驱动器。我还采取了一些措施来保护可能已用于传播到其他计算机的公共文件共享。
了解所有这些后,我能做些什么来确保该蠕虫不在网络的其他地方,我又该如何阻止它传播?
我知道这是一个冗长的问题,但我在这里超出了我的深度,可以使用一些指针。
感谢您的关注!
security windows windows-server-2003 malware network-monitoring
可能重复:
我的服务器被黑了 紧急情况
上周末我公司的网站被黑了。
他们在周五晚上做了最好的事情,所以我们只在周一早上才注意到攻击。有趣的是,我们最近从 Windows 切换到 Linux,因为它应该更稳定和安全。去搞清楚。是的,我们在 Firefox 和 Chrome 上将我们列入黑名单。
由于我不是 Linux 专家,因此我正在寻求有关如何避免将来出现此类问题的建议。您采取了哪些措施来保护您的系统?看起来我们的密码很弱,但是在几次登录失败后,Linux 不应该阻止该帐户吗?他们尝试了 20 多种组合......
除此之外,我正在寻找一种类似于 pingdom 但适用于安全性的工具(或服务)。如果我的网站遭到黑客入侵,请提醒我。有这种事吗?黑客监视器?:)
另一件事,您如何将此类问题通知您的客户?你只是无视并希望没有人注意到吗?电子邮件解释发生了什么?
*以匿名身份发布以避免对我的公司造成更多不良影响,这已经很糟糕了...
在路由器后面运行 (X)Ubuntu 10.04.2 LTS。
我刚刚从那台机器上的 root 帐户收到一封电子邮件,主题如下:
*** SECURITY information for <hostname>:
消息正文包含此警告:
<hostname> : jun 1 22:15:17 : <username> : 3 incorrect password attempts ; TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/bin/sh /tmp/tmpPHBmTO
我看不到任何/tmp/tmpPHBmTO文件,尽管有一个文件名为/tmp/tmpwoSrWW2011-06-01 22:14 的时间戳,所以就在提到的日期/时间之前。这是一个二进制文件,内容对我来说并不熟悉。此外,该文件只有-rw-------权限。
当我读到它时,这意味着某人(或某物)可以(有权)访问我的机器。显然还不是 root 访问权限(还),但仍然/tmp至少足以将文件写入我的目录。
有人对我可以在哪里查找更多信息有任何指示:谁可以做到这一点,以及他们如何做到这一点?
我的路由器配置为允许访问 SSH、HTTP(nginx 充当其他几种服务之一的反向代理)、SMTP、POP(后缀)和 IMAP(dovecot)以及端口 51413(传输)的转发流量。
我在 ubuntu 10.10 机器上的 sshd 二进制文件包含以下 ascii 图稿:
ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists YOU WANNA .
SMOKE M A SPLIFF ?
dM
ROLL ME MMr %d TIMES
4MMML .
MMMMM. xf
. MMMMM .MM-
Mh.. MMMMMM .MMMM
.MMM. .MMMMML. MMMMMh
)MMMh. MMMMMM MMMMMMM
3MMMMx. MMMMMMf xnMMMMMM
'*MMMMM MMMMMM. nMMMMMMP
*MMMMMx MMMMM .MMMMMMM=
*MMMMMh MMMMM JMMMMMMP
MMMMMM 3MMMM. dMMMMMM .
MMMMMM MMMM .MMMMM .nnMP
.. *MMMMx MMM dMMMM .nnMMMMM*
MMn... 'MMMMr 'MM …我的服务器正在发送垃圾邮件,但我无法找出发送它们的脚本。
电子邮件全部来自nobody@myhostcpanel,nobody因此不应被允许发送电子邮件
现在至少他们没有出去,我一直在接待他们。这是我收到的邮件:
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
eckert@clearfieldjeffersonredcross.org
Mail sent by user nobody being discarded due to sender restrictions in WHM->Tweak Settings
------ This is a copy of the message, including all the headers. ------
Return-path: <nobody@cpanel.myserver.com>
Received: from nobody by cpanel.myserver.com with local (Exim 4.80)
(envelope-from <nobody@cpanel.myserver.com>)
id 1UBBap-0007EM-9r
for eckert@clearfieldjeffersonredcross.org; Fri, 01 Mar …我最近阅读了一篇关于分析恶意 SSH 登录尝试的文章。这让我开始思考,我的 Debian 机器上的 SSH 用户名、密码组合是否不常见?我是否已成为暴力字典攻击的目标?我们来看看/var/log/auth.log.0:
Sep 23 07:42:04 SLUG sshd[8303]: Invalid user tyjuan from 210.168.200.190
Sep 23 07:42:09 SLUG sshd[8305]: Invalid user tykeedra from 210.168.200.190
Sep 23 07:42:14 SLUG sshd[8307]: Invalid user tykeem from 210.168.200.190
Sep 23 07:42:19 SLUG sshd[8309]: Invalid user tykeshia from 210.168.200.190
Sep 23 07:42:25 SLUG sshd[8311]: Invalid user tyla from 210.168.200.190
Sep 23 07:42:30 SLUG sshd[8313]: Invalid user tylan from 210.168.200.190
Sep 23 07:42:35 SLUG sshd[8315]: Invalid user …如果您的网站被黑客入侵,您首先会做什么?从网络上获取网站?或回滚备份?不是真的还是?你有这样的经历吗?
我只是在浏览网站时发现了这个问题:我的服务器已被黑客入侵 EMERGENCY。基本上问题是:我的服务器被黑了。我该怎么办?
在最好的答案是优秀的,但它在我脑海中提出的一些问题。建议的步骤之一是:
检查“受攻击”系统以了解攻击如何成功危及您的安全。尽一切努力找出攻击“来自哪里”,以便您了解您遇到的问题以及需要解决的问题,以确保您的系统在未来安全。
我没有做过系统管理员工作,所以我不知道我将如何开始这样做。第一步是什么?我知道您可以查看服务器日志文件,但作为攻击者,我要做的第一件事就是删除日志文件。 您如何“理解”攻击是如何成功的?
最近(但它也是一个反复出现的问题)我们看到了 3 个关于黑客和安全的有趣主题:
最后一个没有直接关系,但它强调了搞乱 Web 服务器管理是多么容易。
由于有几件事情可以做,在不好的事情发生之前,我想就限制攻击的背面影响的良好实践以及如何在不幸的情况下做出反应方面提出您的建议。
这不仅仅是保护服务器和代码的问题,也是审计、日志记录和反措施的问题。
您是否有任何好的做法列表,或者您更喜欢依赖软件或专家来持续分析您的 Web 服务器(或根本不分析)?
如果是,你能分享你的清单和你的想法/意见吗?
更新
我收到了几个很好的和有趣的反馈。
我想要一个简单的列表,这样既可以方便 IT 安全管理员使用,也可以方便网络事实管理员。
即使每个人都给出了很好和正确的答案,但目前我更喜欢Robert的一个,因为它最简单、清晰和简洁,而sysadmin1138的一个最完整和精确。
但是没有人考虑用户的观点和感知,我认为这是首先必须考虑的。
用户在访问我被黑网站时会怎么想,如果您拥有有关他们的合理数据,则更多。这不仅仅是在何处存储数据的问题,而是如何安抚愤怒的用户的问题。
数据、媒体、权威和竞争对手呢?
当一台服务器被扎根(如情况是这样),第一件事情,你可能会决定做一个遏制。一些安全专家建议不要立即进行修复,并在取证完成之前保持服务器在线。这些建议通常是针对APT 的。如果您偶尔遇到Script Kiddie漏洞,情况就不同了,因此您可能决定及早进行补救(修复)。修复的步骤之一是遏制服务器。引用Robert Moir 的回答——“将受害者与其抢劫者断开联系”。
可以通过拉网线或电源线来容纳服务器。
哪种方法更好?
考虑到需要:
编辑:5个假设
假设: