我负责在大学校园内对局域网的监督。 最近我们开始被CBL列入黑名单,因为我们局域网上的某个人感染了Torpig(AKA Anserin)。 来自CBL的build议包括监视到IP地址范围的连接。 但是,我们看不到这种stream量。 看起来这只是偶尔发生的事情(距离上次事件已经有一个月了)。 有没有办法让我扫描机器来检测Torpig的存在? 我似乎无法find任何可靠的工具。 我甚至会愿意扫描特定的文件,registry项等 这里是我们得到的CBL消息: 此IP感染了Torpig感染的机器,或者感染Torpig的机器,Symantec也称为Anserin。 这是通过观察这个IP试图联系到Torpig命令和控制服务器在91.20.214.121,与Torpig C&C命令协议的唯一内容检测到的。 Torpig是一个银行木马,专门从与银行网站的交互中窃取个人信息(密码,帐户信息等)。 Torpig通常由Mebroot投下。 Mebroot是一个将自身安装到MBR(主引导logging)中的Rootkit。 使用Mebroot或任何其他安装在MBR中的rootkit,您将不得不使用“MBR清理程序”或完全重新格式化驱动器 – 即使您设法删除Torpig,MBR感染也会导致再次感染。 find负责机器的最好方法是查找Torpig C&C服务器的连接。 这个检测是通过连接到91.20.214.121进行的,但是这个定期变化。 要find这些感染,我们build议您search范围91.19.0.0/16和91.20.0.0/16(换句话说:91.19.0.0-91.20.255.255)的TCP / IP连接,通常是目标端口80或443,但是您应该找所有的端口。 这个检测对应于2011-07-21 12:42:02(格林尼治标准时间 – 这个时间戳被认为是准确的在一秒内)的连接。
所以我的家用电脑上有一个Windows 7企业版的副本。 我已经从家用电脑连接到我的Windows 2003服务器上的networking共享在工作之前。 我想我曾经告诉过它要保存我的凭证。 我在Windows 2003服务器上创build了一个新共享,并尝试从家中连接到它,而无需单击“作为不同凭据连接”框。 它连接我作为保存的帐户与正确的凭据,而不会提示我什么。 没有使用的帐户是活动目录帐户,它们都是属于其各自计算机的本地帐户。 我查看了Windows Server 2003机器,并以之前保存在其他networking共享上的用户身份进行连接。 Windows 7足够聪明,可以将保存的证书从一个networking共享应用到同一台服务器上的新证书? 家用电脑之前曾经有过一些恶意软件的问题,但是现在扫描得很干净。 我质疑这种行为,这是一个Windows行为或恶意软件的行为?
作为我gradle后的课程工作的一部分,我将举办一个关于“最近的病毒和防病毒战略趋势”的研讨会。 我有两个月的时间。 所以我想充分利用这个时期。 我自己select这个话题是因为我想掌握这个领域。 我以前问过https://stackoverflow.com/questions/1796007/please-help-me-with-a-program-for-virus-detection-using-detection-of-malicious-be ,并已与该领域的联系。 我的目标受众是计算机知识,但对电脑病毒一无所知。 所以,我要从“什么是计算机病毒”一直走到目前用于检测和避免检测的技术。 我发现了两本关于该领域研究的期刊。 计算机病毒学杂志 信息安全技术报告 除了这两本杂志。 是否有任何消息来源(我应该知道,但我仍然在寻找)了解最近的趋势。 我开始从Wiki文章及其参考资料及其外部链接阅读。 因为我不是这方面的专家。 我想要你们的build议。 我想知道是否有任何必须阅读 (书籍,文章,研究论文,你可能会发现对我有用),我可能不知道。 我在这方面的计划是: 病毒术语的定义和说明(恶意软件,蠕虫等) 病毒如何工作(基本) 关于病毒的主机 病毒感染策略 避免检测的方法 防病毒对上述每种方法的对策。 通过分解受感染的文件来分析一些病毒样本。 通过在沙箱中运行受感染的文件进行演示。 & 还有什么?? 有什么库(或任何来源),我可以find病毒感染文件? 如果我能find理想的,那就太好了。 我真的很想在这方面付出很多的努力,并且教他们学什么。
长话短说我们最近有一个共享主机被盗用的帐户,问题已经解决,但受影响的帐户仍然被垃圾邮件,每天有超过一百万的请求到一个特定的文件。 由于泄密文件不存在,所有的请求都通过Apache的minimalistic 404页面实现,重约521字节。 问题是512bytes * 1M +的请求不仅对我们的服务器性能造成影响,而且是每天浪费带宽。 来自数百个IP因此阻止个人IP的攻击是不可行的。 所有的请求都是对同一个文件的POST请求,我们称之为“evil.php”。 我们试着简单地使用一个RewriteRule,并禁止所有对evil.php的请求,但是这显示了一个被禁止的页面,使我们离开了我们开始的地方。 理想情况下,我们只需要将请求放到“evil.php”,不返回任何内容。 基本上停止响应Apache。 这是可能的和如何? 编辑 为了这个练习,假设没有shell访问,所有的解决scheme都必须通过类似cPanel的接口来实现。 虽然这不是这种情况,但是我们对服务器进行configuration更改的自由度比LAMP堆栈,DNS(绑定)和邮件configuration要小。
我怀疑如何用Clamav扫描我的Linux系统:我只是扫描用户可以上传文件的地方(homedirs,他们的webroot),或者我扫描整个系统? 我读过的各个网站都有不同的意见,有人说你不需要扫描仅限于Linux的部分,有人说根本不需要扫描。 后者我已经丢弃了,因为我认为至less扫描托pipe病毒的webroots是明智的,但扫描整个系统仍然是我怀疑的东西。
我在Debian服务器上经历了一个非常奇怪的行为。 这台服务器运行了很多网站,其中大部分是CMS,主要是WordPress。 有时某些东西将我的文件从wp-db.php重命名为wp-db.php.suspected。 而这些文件似乎是干净的,他们是标准的WP文件。 我们安装了ClamAV,chkrootkit,rkhunter和maldet。 我以为第一次ClamAV会导致它,但手动扫描后,没有发现任何东西,再加上文件在飞行中重命名,而ClamAV不是一个驻地AV所以… 有没有人看过这样的事情,或有一个想法是什么原因造成的? 有些用Googlesearch我发现我并不是第一个有这个问题的人。 它发生了很多不同的系统和CMS,这使我认为这是系统。 提前谢谢你的帮助。
用个人笔记本电脑处理无线networking中的垃圾邮件或病毒感染主机(如大学的个人学生笔记本电脑)的最佳方式是什么? 什么政策和工具使用你的公司?
我有一台最近重新启动的Windows2003服务器,现在正在关注Data Execution Preventionclosures程序“Ms08n.exe”。 当我按“closures消息”时,对话框再次出现,出现错误消息,说明“Project1遇到问题,需要closures”。 谷歌searchMs08n.exe什么也没有,并且该文件位于C:\ Windows \ System32中。 有没有这个文件是恶意软件的机会? 编辑我刚刚下载并运行微软的恶意软件清除工具 – 它没有find任何东西,所以我手动删除了该文件。 我会尝试一些其他的恶意软件检测工具,看看是否没有发现更多。
(是的,标题是奇怪的,但阅读…) 我从这里和那里复制了一些数据在我的Linux机器上,现在我发现了一些很多eml和HTML:我的系统上的尼姆达病毒,当我用clamtk扫描它。 问题是这些是1700+文件,我必须手动select并执行操作。 加clamtk不清洁它? 有没有其他方法可以消除这些病毒? 我有一个发现共享,所有感染的HTML文件包含: <html><script language="JavaScript">window.open("readme.eml", null,"resizable=no,top=6000,left=6000")</script></html> 在文件末尾多次(前一个末尾,例如在每个html文件的末尾附加) 所以我要做的是: search所有eml文件,删除它们,一些eml文件的path之间有空格和其他字符,所以在这里必须小心,不要删除目录或丢失文件。 search所有的HTML文件,grep他们的这些行,如果行存在,我将不得不删除任何匹配模式的行: <script language="JavaScript">window.open("readme.eml", null, 因为模式的其余部分有所不同。 我想我需要一个shell脚本,我自己的脚本不是很好,但我会尝试,意思是我在这里等待答案。
在过去的几周里,我的公司被一群病毒淹没,包括一个.html附件。 其中一些受到UPS运输,一些西联。 他们都要求用户点击.html附件。 请注意,这些都没有被我networking上的任何安全软件所捕获。 主要是趋势科技产品,防毒墙networking版和Scanmail。 我试图把一些互联网的常识钻进我的人。 旧的, 如果真的很好 , 如果你不期待 ,等等,但我还有一些只是忘记了。 重新安装三台机器后,我意识到这是比我想象的更多的问题。 我的第一反应是阻止我们的趋势Scanmail服务器上的所有.html附件。 这似乎很好。 没有更多的病毒攻击。 这是我的问题。 我们的会计师/办公室经理今天来找我说,我需要允许.html文件。 看来她所有的在线会计服务都是通过.html附件进行交stream的。 她说,她已经失去了通讯,因为Scanmail正在删除所有的附件。 在我看来,真正的在线服务不应该通过电子邮件中的.html附件与客户进行交stream。 还有其他人同意吗? 这些附件是否被认为是安全的,还是属于与.exe和.bat的混合? 其他人如何处理这个问题? 我们是否应该联系这些服务,要求他们改变他们的政策? 我给出的当前设置唯一的其他选项是允许.html文件再次通过我所有的电子邮件用户。 趋势科技是否失去了联系? 我应该寻找新的安全软件吗? 我之所以select趋势科技,是因为他们在当时的performance相当不错,我不想使用赛门铁克或迈克菲(口碑不佳,长话短说)。 我该怎么办?