我们运行Amazon EC2 Windows实例,最近收到亚马逊的一封电子邮件,警告我们RDP对所有人都是开放的,并且存在一个新的威胁,可能会利用这个威胁。 有问题的服务器的安全组允许从任何IP(0.0.0.0/0)访问RDP。 我们有多个人在这些服务器上使用RDP,这些服务器有些是dynamicIP地址,所以设置一个允许的IP地址列表并不是一个解决scheme。 是否有另一种解决scheme来阻止访问RDP?
我们的Windows2003服务器上有几个星期的问题,每天我们共享的文件夹都被隐藏起来,并被与原始文件夹名称相同的.exe文件所取代。 我可以“取消隐藏”它们,并隐藏或删除.exe“文件夹”,但它会在几个小时内回来。 Windows完全更新,我们每晚都会进行一次“彻底的”病毒扫描(F-Prot),而没有检测到,而SpyBot S&D(由F-Prot支持技术推荐)只能检测到3个“听起来不太可能隐藏的cookies”文件夹。 我们在networking中确实存在“W32 / Conficker”,这不是一个好的select,所以当然清理客户端是一个高优先级,但我不知道哪个更可能 – 它隐藏在服务器上或继续来自附加到共享的客户。 任何build议是最感激!
在Active Directory环境中防御CryptoLockertypes威胁的最佳做法是什么? 有没有可以帮助的组策略? NTFS权限? 防毒软件?
我正在使用Linux恶意软件检测来扫描恶意软件并进行报告,但每天都会收到用户电子邮件(主要是垃圾邮件文件夹)中恶意软件的警报。 我不希望这样的警报,垃圾邮件文件夹经常清理,用户也可以清理它。 我尝试将通配符添加到/ usr / local / maldetect / ignore_paths,如下所示,但不会被忽略: /home/*/homes/*/Maildir /home/?/homes/?/Maildir 有谁知道如何使用通配符排除文件夹,因为添加每个用户邮件目录的完整path是不实际的。 谢谢
我昨天注意到,同时在我们的防火墙上查看我们的活动会话列表,发现一个服务器正在生成出站IRC连接。 昨晚有大约60个连接,但今天早上它less得多。 [root@prod12 ~]# netstat -nputw | grep 6667 tcp 0 1 10.109.131.20:44242 66.198.80.67:6667 SENT 4280/bash tcp 0 1 10.109.131.20:46549 208.64.123.210:6667 SENT 4280/bash tcp 0 1 10.109.131.20:35862 208.83.20.130:6667 SENT 4280/bash [root@prod12 ~]# 有意识地在这个服务器上没有任何IRC相关的。 有谁知道什么病毒或不是这样看起来像这样我可以在网上search删除?
所以我已经安装了Linux Malware Detect(maldet)来扫描一个服务器,一切都安装正常,但是当我运行它时,我得到一个错误。 一堆错误和扫描只是closures它。 这里是我运行maldet扫描特定文件夹的命令: sudo maldet -a /opt/lampp/ Linux Malware Detect v1.5 (C) 2002-2014, R-fx Networks <[email protected]> (C) 2014, Ryan MacDonald <[email protected]> This program may be freely redistributed under the terms of the GNU GPL v2 maldet(4954): {scan} signatures loaded: 10728 (8824 MD5 / 1904 HEX / 0 USER) maldet(4954): {scan} building file list […]
我和一位同事进行了一次关于防止病毒/木马从公司networking访问互联网的对话。 他说,一个代理服务器的HTTPstream量与一个不寻常的端口将是一个有效的屏障。 在我看来,病毒现在足够聪明,可以通过使用浏览器设置或以类似的方式找出path。 现在我们使用NAT,所以我们试图找出是否值得实施代理。 缺点是笔记本用户每次从公司networking以外的任何地方连接时都必须更改浏览器设置。 所以问题是: 1)与NAT相比,具有不寻常端口的代理服务器将如何有效地阻止病毒/蠕虫访问互联网 2)如果我们执行代理解决scheme,为笔记本用户切换浏览器设置有什么方便的方法?
想到这个时候又看到另一个问题,popup一个用户代理string出现在海报的日志里; 是否有一个系统pipe理员去寻找关于networking上当前正在运行的攻击的签名/告诉故事标志的最新信息? 我知道谷歌福可以帮助证据串起来,直到我find像“我看到这个在我的networking上”或“这是在我的日志文件中……”但如果蠕虫或恶意软件攻击是相当新的,search来自供应商的典型病毒数据库可能并不是最新的(加上他们可以把一些专有的东西)。 当系统pipe理员看到特定的端口突然上升或者在内部networking中扫描或不寻常的活动中出现特定的string时,是否有一个好的中央站点供系统pipe理员参考?
我为一个突然无法从他的电脑访问的客户托pipe一个电子商务网站。 他可以ping服务器,他可以SSH,但不能加载我们尝试过的任何浏览器的网站:IE,Firefox,Chrome,Opera。 在这个位置的其他机器可以连接好。 DNS解决好,直接用IP地址访问不起作用。 在服务器端使用Wireshark,我可以看到请求进来,响应离开我们的交换机。 客户端上的Wireshark看不到回复。 迄今试过: 我发现客户端的路由器设置中没有任何东西会阻塞这台计算机的网站。 他的公有知识产权被重新分配,并且尝试了一个不同的私有知识产权,但无济于事。 这一切似乎指向恶意软件或其他破坏Windows 7安装。 踢球者:将机器带到不同的互联网连接,并且工作正常。 我从来没有听说过恶意软件只会拒绝来自特定服务器的响应,而只能从特定的公有IP地址 特定的物理位置 (公有IP更改,没有区别)进行工作。 根据我的经验,当某种filter是原因时,单个连接后的所有机器将被阻塞,或者单个机器将被阻塞在所有连接之后。 这似乎不适用。 可能是什么问题呢? 我们接下来testing什么? 更新 我注意到最初redirect到www. 在徘徊之前工作,而favicon正在通过。 果然,这两个请求都在1k以下,这导致我们检查客户端和服务器上的MTU值。 但为什么他们改变了?
我们公司的服务器之一似乎已经成为php后门攻击的受害者。 我已经设法find并closures了几个漏洞,但似乎坚持认为正在编写一个php / webshell后门到我们的C:/ windows / temp中。 微软安全基础似乎做了很好的检测这个威胁,并删除它之前,它可以执行,但问题是我需要查看文件的安全属性,看看哪个应用程序池正在创build这些文件(我们有大约16个不同的网站上服务器)。 有谁知道一个程序/方式,我可以监视文件写入C:/ Windows /临时?