标签: malware

我开始为一家公司工作，该公司解雇了一名前 IT 员工，原因是泄露数据。

我只能说以下几点：

我们使用 Firebird DB 和由另一家公司 Proxmox 编写的应用程序，用于 Windows Server 2008 R2、SQL Server、云核心 Mikrotik 路由器和其他一些 Mikrotik 设备的虚拟化。

我不是 100% 确定，但是有没有一些快速的方法来检查是否还有一些后门，而不会中断内部流程并重新格式化所有内容？

以前的这个人真的很好，用 C++ 和 C# 编写了软件。我也知道他在 ollydbg 中做了一些汇编程序并破解了一些程序。

我注意到最近几天来自我的工作站的异常流量。我看到 HEAD 请求发送到随机字符 URL，通常在一秒钟内发送三个或四个，而且它们似乎来自我的 Chrome 浏览器。这些请求每天只重复三四次，但我没有确定特定的模式。每个请求的 URL 字符都不同。

以下是 Fiddler 2 记录的请求示例：

HEAD http://xqwvykjfei/ HTTP/1.1
Host: xqwvykjfei
Proxy-Connection: keep-alive
Content-Length: 0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

对此请求的响应如下：

HTTP/1.1 502 Fiddler - DNS Lookup Failed
Content-Type: text/html
Connection: close
Timestamp: 08:15:45.283

Fiddler: DNS Lookup for xqwvykjfei failed. No such host is known

我一直无法通过 Google 搜索找到与此问题相关的任何信息。我不记得在上周晚些时候之前看到过这种流量，但可能是我之前只是错过了。上周我对系统进行的一项不寻常的修改是将 Delicious 加载项/扩展添加到 IE 和 Chrome。我已经删除了这两个，但仍然看到流量。我已经运行病毒扫描 (Trend Micro) 和 HiJackThis 寻找恶意代码，但我没有找到任何。

如果您能帮助我追踪请求的来源，我将不胜感激，这样我就可以确定它们是良性的，还是表明存在更大的问题。谢谢。

我在我的网站上运行了一个恶意软件扫描程序，它将一堆压缩的 EXE 文件标记为潜在的风险文件（这些文件是由用户上传的）。由于我能够在 Mac 上解压缩文件，因此我假设这些文件是真正的 ZIP 文件，而不仅仅是重命名的 PHP 文件之类的文件。

所以 ZIP 文件应该不会对我的 Web 服务器造成任何风险，对吗？

我正在调查Slowloris的漏洞，我想我了解这种攻击的工作原理和原因。

我不明白的是为什么 Lighttpd 和 NginX 不受影响（根据上面链接的同一篇文章）。它们有什么不同？

TL; 博士

我很确定我们的小网络已经被某种蠕虫/病毒感染了。然而，它似乎只影响我们的 Windows XP 机器。Windows 7 机器和 Linux（嗯，是的）计算机似乎不受影响。防病毒扫描未显示任何内容，但我们的域服务器已记录了数千次针对各种有效和无效用户帐户（尤其是管理员）的失败登录尝试。我怎样才能阻止这种不明蠕虫的传播？

症状

我们的一些 Windows XP 用户报告了类似的问题，但并不完全相同。它们都经历了由软件启动的随机关机/重启。在其中一台计算机上弹出一个对话框，并在系统重新启动之前进行倒计时，显然是由 NT-AUTHORITY\SYSTEM 启动的，并且与 RPC 调用有关。特别是这个对话框与详细介绍旧的 RPC 漏洞利用蠕虫的文章中描述的完全相同。

当其中两台计算机重新启动时，它们在登录提示处重新启动（它们是域计算机），但列出的用户名为“admin”，即使它们没有以管理员身份登录。

在我们运行域的 Windows Server 2003 机器上，我注意到来自不同来源的数千次登录尝试。他们尝试了所有不同的登录名，包括管理员、管理员、用户、服务器、所有者和其他人。

有些日志列出了 IP，有些则没有。在那些确实有源 IP 地址（对于失败的登录）的那些中，其中两个对应于两台经历重新启动的 Windows XP 机器。就在昨天，我注意到来自外部 IP 地址的一系列登录尝试失败。跟踪路由显示外部 IP 地址来自加拿大 ISP。我们不应该从那里建立连接（尽管我们确实有 VPN 用户）。所以我仍然不确定来自外国 IP 的登录尝试是怎么回事。

很明显，这些计算机上存在某种恶意软件，它所做的部分工作是尝试枚举域帐户的密码以获取访问权限。

到目前为止我所做的

在意识到发生了什么之后，我的第一步是确保每个人都运行最新的防病毒软件并进行扫描。在受影响的计算机中，其中一台具有过期的防病毒客户端，但另外两台是当前版本的诺顿，并且对两个系统的完整扫描都没有结果。

服务器本身定期运行最新的防病毒软件，并且没有显示任何感染。

因此，3/4 的基于 Windows NT 的计算机具有最新的防病毒软件，但它没有检测到任何东西。但是，我确信某些事情正在发生，主要是通过各种帐户的数千次登录尝试失败来证明。

我还注意到我们的主文件共享的根目录具有非常开放的权限，所以我只是将它限制为普通用户读取+执行。管理员当然拥有完全访问权限。我还将让用户更新他们的密码（强密码），我将在服务器上重命名为管理员并更改其密码。

我已经把机器从网络上取下来了，一台正在换一台新的，但我知道这些东西会通过网络传播，所以我仍然需要深入了解。

此外，服务器具有仅打开某些端口的 NAT/防火墙设置。由于我来自 Linux 背景，因此我还没有完全调查一些打开端口的 Windows 相关服务。

怎么办？

所以所有现代和最新的防病毒软件都没有检测到任何东西，但我绝对相信这些计算机有某种病毒。我基于 XP 机器的随机重启/不稳定性以及源自这些机器的数千次登录尝试。

我打算做的是备份受影响机器上的用户文件，然后重新安装 Windows 并重新格式化驱动器。我还采取了一些措施来保护可能已用于传播到其他计算机的公共文件共享。

了解所有这些后，我能做些什么来确保该蠕虫不在网络的其他地方，我又该如何阻止它传播？

我知道这是一个冗长的问题，但我在这里超出了我的深度，可以使用一些指针。

感谢您的关注！

在研究防止CryptoLocker 的方法时，我看到一个论坛帖子建议使用组策略对象(GPO) 和/或防病毒软件来阻止以下位置的运行访问：

1. ％应用程序数据％
2. %localappdata%
3. %temp%
4. ％用户资料％
5. 压缩档案

显然，在论坛上写的任何东西都应该谨慎对待。不过，我确实看到这样做的好处，主要是因为恶意软件喜欢在这些位置之外执行。当然，这也会影响合法程序。

阻止对这些位置的运行访问有哪些缺点？

有哪些优势？

我在其中一台服务器的 ac: 磁盘的根目录上随机创建了一些病毒文件。我怎样才能知道是什么创造了它？也许是一些第三方软件？

有什么方法可以告诉 Windows（XP 及更高版本）不要执行文件（*.exe 文件），这些文件存在于我提到的某些文件夹以外的驱动器/文件夹中？简而言之，我只希望执行来自“白名单”的可执行文件。

我认为这比要求用户不要从他们从家里带来的任何垃圾 CD 中运行任何可执行文件要好。

在我做过一些工作的几个地方，我怀疑一些高管在他们的工作电脑上浏览色情内容。尽管存在防病毒软件，但这种色情冲浪似乎已导致他们的计算机感染病毒。过滤这些特定用户的浏览不是一种选择，那么我的下一个最佳解决方案是什么？我在他们的电脑上安装了 Firefox + Adblock pro。我很想添加 NoScript，但我担心当 noscript 干扰浏览合法网站时，他们会开始调用。我还有什么可以减轻这种风险的吗？

回到六月，我给自己发送了 EICAR 测试签名，以确保我的 postfix/amavis/spamassassin 等设置正常工作。我当时没有注意到，但这不知何故在时空连续体中造成了撕裂，或者邮件服务器每 5 分钟一次又一次地将其发送给自己。

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<VAAyuN8taIpfBV@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<virii@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, …