我的一台服务器有问题。 谷歌打开很多的HTTP连接到Apache服务器,基本上执行slowloris攻击。 这个netstat调用导致以下输出 netstat -plant|grep :80|awk '{print $5}'|cut -d: -f1|sort|uniq -c|sort -n 11 209.85.227.93 14 209.85.227.190 30 209.85.229.118 494 209.85.229.141 所有这些IP都属于谷歌networking。 我已经禁止Google通过使用robots.txt来访问保存在服务器上的任何内容,但是对于疯狂的连接数量没有影响。 我该怎么办?
比方说,有人提供了一个tarball,说这是源代码,没有别的。 你要确保这是真的,没有病毒的可执行文件或库被藏在一个目录中。 如何使用find命令来做到这一点? 谢谢。
最近我用logging仪对我的机器进行了审计,发现我的机器每天发送大约582封邮件。 STATISTICS ———- Messages To Recipients: 582 Addressed Recipients: 582 Bytes Transferred: 444985 Messages No Valid Rcpts: 0 SMTP SESSION, MESSAGE, OR RECIPIENT ERRORS —————————————— 明天 STATISTICS ———- Messages To Recipients: 153 Addressed Recipients: 279 Bytes Transferred: 8613451 Messages No Valid Rcpts: 0 SMTP SESSION, MESSAGE, OR RECIPIENT ERRORS —————————————— 我怎样才能更多地查询电子邮件ID到哪里发送,计划哪些安排等等 ?
我为这个冗长的职位提前道歉。 我发布了一切,因为我相信它的内容丰富,可能是有用的。 另外,我在最后发表了我的问题。 前一刻,我是RDC到我家的文件服务器(从我家里面)。 我曾经为一家制造商网站打开过Firefox和Googlesearch引擎。 点击链接后,Firefox立即closures。 这对我来说似乎很奇怪,所以我检查了正在运行的进程,发现了d.exe,e.exe和f.exe正在运行。 我在另一台机器上search了这些进程,发现它们属于一个名为defender.exe的键盘logging器/屏幕捕捉器/特洛伊木马程序,该程序根据Prevx存在于c:\ documents和settings \ user \ local settings \ temp中。 (Prevx链接http://www.prevx.com/filenames/147352809685142526-X1/DEFENDER32.EXE.html ) 同时,在服务器上出现明显欺骗的Windows防火墙popup窗口,要求我单击“是”来更新Windows防火墙。 在这个时候,我结束了所有stream氓进程,清空临时文件夹,从启动中删除defender.exe,并检查我的registry和其他几个位置。 在删除Defender.exe之前,我注意到它刚好在Firefox崩溃之前创build的。 我相信我几乎感染了这个恶意软件。 我相信它需要我点击假popup为了完成感染,因为它不被允许从临时文件夹执行进程。 清洁机器后,我重新启动,并已经监视了一个多小时。 我在辩论是否恢复Windows分区(一个单独的物理驱动器从数据)或只是看它的一个白癜风。 我应该提到,由于这台机器的规格,我不运行防病毒软件,但我知道它,并定期检查。 这是一个非常古老的康柏400MHz处理器和512MB的RAM。 我有一个静态的IP和服务器在运行一个FTP客户端和一些HTTP服务器软件的DMZ。 在传输之前,所有传输到并存储在本机上的文件都将被扫描为恶意软件。 通常情况下,机器只能运行19个进程,并且执行的目的非常好。 我发布了这个故事,以便你可以知道一个可能的新恶意软件及其行为,但我也有一个或两个问题。 首先,在过去的几个月里,我注意到PREVX在search恶意软件的时候被列在我的大多数Googlesearch的顶部,特别是对于新的或者晦涩的恶意软件…他们总是希望你购买一些东西。 我不认为他们是顶级的AV公司之一,所以看起来很奇怪,他们总是Google的最高成绩。 有没有人有任何他们的产品的经验? 另外,您依靠哪些网站进行恶意软件研究? 最近,我发现很难find好的信息,因为HijackThis日志和其他deadend信息凌乱我的search。 最后,除了防病毒,第三方防火墙等,在像我这样顽固的pipe理员拒绝运行AV的情况下,你会使用什么设置来locking一台机器,使其更安全? 谢谢。
当我在DNS中遇到一些令人担忧的信息时,我正在为我的networking写一个Powershell脚本。 请记住,我们仍然使用Powershell v2,而不是v3。 所以我必须通过Get-WMI命令来查询DNS。 我写了一个查询来从我们的一个DNS服务器获取所有的Alogging。 我使用的确切命令是: get-wmiobject -computer OURDNS -Namespace roo\MicrosoftDNS -class MicrosoftDNS_AType 这个命令奏效了,但是却给了我一个非常令人震惊的根本暗示: Caption: ContainerName: ..RootHints Description: DnsServerName: OURDNS.ourdomain.com DomainName: biz. InstallDate: IP Address: 195.22.26.253 Name: OwnerName: hmksreiuojy.biz …. 我在那个域名上做了一个whois。 IP地址是正确的。 它被标记为恶意软件网站。 根据上面的原始数据,任何parsing.biz域名的客户都将被定向到该站点。 这不好。 现在我需要摆脱这一点。 但是我在我的DNS服务器上找不到它。 DNSpipe理单元没有任何对此主机名或IP的引用。 服务器属性页面不会在根提示或转发器中列出此主机或IP。 它不在条件转发器容器中。 它也不在文件c:\ windows \ system32 \ dns \ cache.dns中。 那么WMI在哪里得到这个条目? 我该如何摆脱它?
攻击者喜欢为各种目的滥用Outlook。 例如,攻击者可以通过创build客户端规则,在用户收到电子邮件时执行恶意程序/脚本,自动将电子邮件转发到远程地址或保留在networking内部。 有没有办法查询存储在Exchange中的Outlook规则,以检测潜在的恶意规则? 是否有可能阻止一些Outlook规则types(例如执行程序/脚本)?
到目前为止,我已经四处搜寻,但没有find可能的解决scheme。 我有一个正在进行的扫描,我认为在某个时候已经完成,但不幸的是它没有。 所以我想知道是否有一种方法来检查正在进行的扫描进度。
我们正在使用Microsoft的System Center Endpoint Protection(SCEP)作为我们的防病毒解决scheme。 我们在SCCM中设置了在发现病毒检测时向服务台和系统pipe理员发送电子邮件。 但是,我看不到在哪里可以configuration它,以便在最终用户几乎感染自己的时候popup消息。 最近发生了两次,在terminal服务器上有一个用户试图多次下载受感染的文件,因为他们不明白为什么它没有打开。 在一种情况下,用户试图下载他们认为是税务表格,但实际上是一个恶意的.EXE。 他们做了13次! 我和服务台得到了13个通知。 我们不得不打电话给那个用户,并告诉他们为什么从一个非政府网站上下载政府表格是一个坏主意。 通常情况下,我不是软件的粉丝,每个小东西都会让你的脸看起来很平凡。 用户总是被安全提示轰炸,他们不知道他们的意思。 但在这种情况下,我认为如果用户得到一个可怕的popup窗口或者说什么“嘿,停止这样做! 在“反恶意软件策略”中,我没有看到任何地方可以为最终用户configuration通知。 我们使用SCCM 1602(又名SCCM 2016),但这同样适用于SCCM 2012.所有计算机都安装了最新的AV代理。
在我的Windows Server 2003服务器上,所有传入的连接都被删除。 我可以看到他们使用Wireshark,但是即使从另一台计算机的单个ping也失败了。 所有本地启动的连接工作正常(我要求从服务器)。 这台服务器是DC / DHCP / DNS /文件服务器,所以电脑客户端在黑暗中。 我运行varius防病毒和清除工具没有任何运气。 Windows防火墙已禁用。 我疯狂猜测一些病毒/蠕虫。 我如何检查为什么这些传入的ICMP / TCP SYN / etc被丢弃? 任何人都有这种情况的知识? 谢谢。
我已经做了一些谷歌search,但我不能得到肯定的答案肯定不是从赛门铁克KB。 我有一个Virtualised Win 2003R2服务器32位。 我已经configuration了Symantec Endpoint Protection 11.0.62xxx CLIENT(不是定义服务器) 目录C:\ Program Files \ Common Files \ Symantec Shared \ VirusDefs是750MB IT不包含.tmp目录,所以它不是一个损坏的定义服务器。 IT确实包含以date模式YYYYMMDD.xxx命名的目录 其中一些文件夹是12个月大,我想恢复空间。 sysmantect论坛充满了这个东西,但很多post包含链接到不是特定于端点保护客户端的文档。 看来我应该可以删除旧的文件夹,一切都会好的。 在服务重新启动的情况下,会出现关于安装Live Update Administrator的警告 首先,我不知道我是否已经安装了如何检查,其次我可以把这些旧文件丢弃并重新启动? 我遵循了赛门铁克网站上的一些说明,并认为Nixphoe的回应可以解决我的问题。 看来,由于我在中央IT部门的configuration虚拟机上,我无法运行运行提示符中的Symantec命令,因为我的pipe理员权限让我进入。(smc -stop) 基本上我需要从c:驱动器中找回一些Diskspace,这些驱动器正在使用WSUS修补程序和Symantec文件。 我设法通过实时更新控制面板删除一个赛门铁克caching,并恢复了470Mb 我想我的最后一个问题比我更有经验的是,我可以简单地删除说两个最老的病毒定义文件夹没有完全foobaring终点保护和服务器?