我们公司的一些电脑已经感染了蠕虫Conficker。 我们不知道感染的来源,但我想监测外部活动,看看我们是否仍然感染(我们已经“保护”了一些电脑)。 确保我可以要求不上市很重要。
我的问题是:这意味着我必须监视从我的源IP,和/或特定的stream量到具体IP的整个出站stream量,和/或基于端口的方式的出站stream量(来自每个端口的stream量一起与目标端口/ IP),远程(感染networking之外)的一切?
我不想在这里问一些检测受感染电脑的方法,而是将外部活动看作是“清洁”的间接证据。
您可以通过以下链接查看我们的IP和我们的感染说明:
http://cbl.abuseat.org/lookup.cgi?ip=79.108.33.94&.pubmit=Lookup
目的IP是216.66.15.109。 如果我dig它:
$ dig -x 79.108.33.94 109.64-26.15.66.216.in-addr.arpa. 3600 IN PTR sinkhole-iad1-1.cwg.fsi.io.
这里没有什么惊喜(明确指出是一个陷阱)。
我可以从家里(Ubuntu 14.04)探索,但是,如果我的ISP或路由器以某种方式阻止我,我可以SSH连接到我们公司的公共服务器(Ubuntu服务器14.04)从那里扫描。 所以,让我们假设我没有任何限制来进行这种扫描。
如果您的路由器启用了rflow,则可以将其报告给运行rflow收集器的外部计算机。
ddwrt路由器的示例: http ://www.dd-wrt.com/wiki/index.php/Using_RFlow_Collector_and_MySQL_To_Gather_Traffic_Information