服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 试图蛮横攻击活动目录用户(按字母顺序)的病毒?
Intereting Posts
如何让netcat接受局域网外部的连接? 我应该在哪里修改OS X上的PATH var? 你如何在Web服务器上实现mod_wsgi? MySqldump成功或失败testing Windows资源pipe理器不响应文件。 无法删除 用logstashparsing旧的IIS日志 帮助在Ubuntu的虚拟主机 在IIS7 / Win2K8中通过HTTP确实减慢文件下载速度 我如何运行Windows Server Backup? 为服务器主机名和名称服务器创build条目 如何将捕获的数据包发送到不同的目的地? SQL日志传送DR策略 反向代理从nginx到Apache的HTTPS Windows服务器备份崩溃 在Linux下使用VirtualBox从硬盘启动现有的Windows安装是否可行?

试图蛮横攻击活动目录用户(按字母顺序)的病毒?

用户开始抱怨networking速度慢,所以我启动了Wireshark。 做了一些检查,发现许多PC发送类似于以下内容的数据包:(截图) http://imgur.com/45VlI.png

我模糊了用户名,计算机名称和域名的文本(因为它匹配互联网域名)。 计算机垃圾邮件试图暴力破解密码的Active Directory服务器。 它将以pipe理员身份开始,并按字母顺序排列在用户列表中。 物理上去PCfind附近没有人,这种行为是通过networking传播,所以它似乎是某种病毒。 扫描已经被恶意软件发送到服务器的计算机,超级反间谍软件和BitDefender(这是客户端的防病毒软件)不会产生任何结果。

这是一个有大约2500台PC的企业networking,所以重build不是一个有利的select。 我的下一步是联系BitDefender,看看他们能提供什么帮助。
有没有人看到这样的事情,或有什么想法可能是什么?

对不起,我不知道这是什么,但是,你现在有更重要的问题。

有多less台机器在做这个? 你有没有把他们全部从networking上断开? (如果没有,为什么不呢?)

你能find任何域名帐户被盗用的证据(特别是域pipe理员帐户)

我可以理解你不想再次build立你的桌面,但除非你这样做,否则你不能确定你会清理机器。

第一步:

  • 确保您的域名上启用了复杂的密码
  • 设置locking策略 – 如果您仍然拥有扫描机器,这会导致您遇到问题,但这比受到更多攻击的帐户要好
  • 隔离一台已知的坏机器,试图与外界交谈? 你需要在你的网关上通过你的networking来阻止它
  • 尝试隔离所有已知的坏机器。
  • 监视更多的扫描机器。
  • 强制所有用户更改密码,检查所有服务帐户。
  • 禁用任何不再使用的帐户。
  • 检查服务器和数据中心(域pipe理员,pipe理员等)的组成员资格

接下来,您需要对已知的错误机器执行一些取证,以尝试追踪发生的事情。 一旦你知道了这一点,你就有更好的机会知道这次攻击的范围是​​什么。 使用rootkit启示器,甚至可以在破坏任何证据之前映像硬盘。 带有NTFS支持的Linux Live CD在这里非常有用,因为它们可以让你find一个rootkit可以隐藏的东西。

需要考虑的事项:

  • 所有工作站上是否都有标准的本地pipe理员(弱)密码?
  • 你的用户有pipe理权限吗?
  • 所有的域pipe理员使用单独的帐户进行DA活动? 考虑对这些帐户设置限制(例如,您可以login到的工作站)。
  • 您不提供有关您的networking的任何信息。 你有没有公开的服务?

编辑:试图给更多的信息是困难的,因为它实际上取决于你发现,但几年前在类似的情况下,你真的需要不信任的一切,特别是机器和帐户,你知道要妥协。

它可以是从L0phtCrack到THC-Hydra ,甚至是一个自定义编码的应用程序,尽pipe你的AV解决scheme应该select了知名的应用程序。

此时,您需要识别所有感染的系统,隔离它们(vlan等),并包含和根除恶意软件。

你有没有联系你的IT安全团队?

最后,我知道你不想重build,但是在这一点上(用你提供的小数据),我会说风险有待重build。

-Josh

尝试运行一个不同的捕获程序,以确保结果确认Wireshark正在看到什么。 Wireshark在过去解码Kerberosstream量时遇到了问题。 确保你所看到的不是红鲱鱼。

你在捕捉中看到其他的“异型”吗?