TL; DR 我很确定我们的小networking已经被某种蠕虫病毒感染了。 但是,这似乎只是困扰我们的Windows XP机器。 Windows 7的机器和Linux(好,是)电脑似乎不受影响。 反病毒扫描没有显示任何内容,但是我们的域名服务器在各种有效和无效的用户帐户(尤其是pipe理员)上logging了数千次失败的login尝试。 我怎样才能阻止这种身份不明的蠕虫传播? 症状 我们的一些Windows XP用户报告了类似的问题,尽pipe不完全相同。 他们都经历了软件启动的随机关机/重启。 在其中一台电脑上popup一个对话框,直到系统重启,显然是由NT-AUTHORITY \ SYSTEM启动的,并且与RPC调用有关。 这个对话特别与详细描述早期的RPC利用蠕虫的文章中描述的完全一样。 当两台计算机重新启动时,他们在login提示符(他们是域计算机)回来,但列出的用户名是'pipe理员',即使他们没有以pipe理员身份login。 在运行域的Windows Server 2003计算机上,我注意到来自各种源的数千次login尝试。 他们尝试了所有不同的login名,包括pipe理员,pipe理员,用户,服务器,所有者等。 一些日志列出了IP,有些则没有。 那些有源IP地址(对于失败的login),其中两个对应于两个Windows XP机器遇到重新启动。 就在昨天,我注意到来自外部IP地址的一系列失败的login尝试。 traceroute显示外部IP地址来自加拿大ISP。 我们不应该有从那里的连接(有我们有VPN用户虽然)。 所以我仍然不确定来自foriegn IP的login尝试是怎么回事。 似乎很明显,某些恶意软件在这些计算机上,它所做的一部分工作是尝试枚举域帐户上的密码以获得访问权限。 我到目前为止做了什么 在意识到发生了什么之后,我的第一步是确保每个人都在运行最新的反病毒并进行扫描。 在受影响的计算机中,其中一个是过期的防病毒客户端,另外两个是当前版本的Norton,两个系统的全面扫描都没有任何结果。 服务器本身定期运行最新的反病毒,并没有显示任何感染。 所以基于Windows NT的计算机有3/4具有最新的反病毒,但是它没有检测到任何东西。 不过,我确信有一些事情正在发生,主要performance在各种账户的数千次失败的login尝试。 我也注意到,我们的主文件共享的根目录具有相当开放的权限,所以我只是将它限制在正常用户的读取+执行。 pipe理员当然有完整的权限。 我也要让用户更新他们的密码(强大的),我将重命名为pipe理员在服务器上,并更改其密码。 我已经把networking中的机器拿走了,一个正在被一个新的机器所取代,但是我知道这些东西可以通过networking传播,所以我仍然需要深入到底。 此外,服务器有一个只有某些端口打开的NAT /防火墙设置。 我还没有完全调查一些端口打开的Windows相关的服务,因为我是从Linux的背景。 怎么办? 所以所有的现代和最新的反病毒都没有发现任何东西,但我绝对相信这些电脑有某种病毒。 我将其基于XP机器的随机重启/不稳定性,以及来自这些机器的数千次login尝试。 我打算做的是在受影响的机器上备份用户文件,然后重新安装Windows并重新格式化驱动器。 我也正在采取一些措施来确保可能用于传播到其他机器的公共文件共享。 了解这一切,我能做些什么来确保这个蠕虫不在networking的其他地方,我该如何阻止它蔓延? 我知道这是一个旷日持久的问题,但是我在这里已经深入了解并且可以使用一些指针。 感谢您的期待!
我正在调查Slowloris的漏洞,我想我明白这种攻击是如何以及为什么会起作用的。 我不明白的是为什么Lighttpd和NginX不受影响(根据上面链接的同一篇文章)。 他们做了什么如此不同?
我在我的网站上运行了一个恶意软件扫描器,它将一堆压缩的EXE文件标记为潜在的风险文件(这些文件是由用户上传的)。 由于我能够解压缩我的Mac上的文件,我认为这些是真正的ZIP文件,而不是像重命名的PHP文件。 所以ZIP文件不应该是我的networking服务器的任何风险,对吧?
过去几天我注意到我的工作站有不寻常的stream量。 我看到HEAD请求被发送到随机的字符url,通常在一秒钟之内三或四,并且他们似乎来自我的Chrome浏览器。 这些请求一天只重复三到四次,但我还没有确定一个特定的模式。 每个请求的URL字符都不相同。 这是一个由Fiddler 2录制的请求的例子: HEAD http://xqwvykjfei/ HTTP/1.1 Host: xqwvykjfei Proxy-Connection: keep-alive Content-Length: 0 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13 Accept-Encoding: gzip,deflate,sdch Accept-Language: en-US,en;q=0.8 Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3 对此要求的回应如下: HTTP/1.1 502 Fiddler – DNS Lookup Failed Content-Type: text/html Connection: close Timestamp: 08:15:45.283 Fiddler: DNS Lookup for xqwvykjfei failed. […]
我开始为一家公司解雇一名以前的IT员工泄露数据。 我只能说下面的事情: 我们使用Firebird数据库和另一家公司Proxmox编写的应用程序来虚拟化Windows Server 2008 R2,SQL Server,云核心Mikrotik路由器以及其他一些Mikrotik设备。 我不是100%确定的,但有没有一些快速的方法来检查是否有一些后门留下,而不中断内部过程和重新格式化的一切? 这个以前的人非常好,用C ++和C#编写软件。 我也知道他在ollydbg中做了一些汇编程序并破解了一些程序。