TL; DR
Tôi khá chắc chắn rằng mạng nhỏ của chúng tôi đã bị nhiễm một số loại sâu / virus. Tuy nhiên, dường như nó chỉ ảnh hưởng đến các máy Windows XP của chúng tôi. Máy Windows 7 và máy tính Linux (tốt, phải) dường như không bị ảnh hưởng. Quét chống vi-rút không hiển thị gì, nhưng máy chủ tên miền của chúng tôi đã ghi lại hàng ngàn lần đăng nhập thất bại trên nhiều tài khoản người dùng hợp lệ và không hợp lệ, đặc biệt là quản trị viên. Làm thế nào tôi có thể ngăn chặn con sâu không xác định này lây lan?
Triệu chứng
Một số người dùng Windows XP của chúng tôi đã báo cáo các vấn đề tương tự, mặc dù không hoàn toàn giống nhau. Tất cả đều trải nghiệm tắt / khởi động lại ngẫu nhiên là phần mềm được bắt đầu. Trên một trong các máy tính, một hộp thoại bật lên với đếm ngược cho đến khi hệ thống khởi động lại, rõ ràng được khởi động bởi NT-AUTHORITY \ HỆ THỐNG và phải thực hiện với một cuộc gọi RPC. Đặc biệt, hộp thoại này giống hệt như những gì được mô tả trong các bài viết chi tiết về sâu khai thác RPC cũ.
Khi hai trong số các máy tính khởi động lại, chúng xuất hiện trở lại tại dấu nhắc đăng nhập (chúng là máy tính miền) nhưng tên người dùng được liệt kê là 'admin', mặc dù chúng chưa đăng nhập với tư cách quản trị viên.
Trên máy Windows Server 2003 của chúng tôi chạy tên miền, tôi nhận thấy hàng ngàn lần thử đăng nhập từ nhiều nguồn khác nhau. Họ đã thử tất cả các tên đăng nhập khác nhau bao gồm Quản trị viên, quản trị viên, người dùng, máy chủ, chủ sở hữu và những người khác.
Một số nhật ký được liệt kê IP, một số thì không. Trong số những máy đã có địa chỉ IP nguồn (đối với lần đăng nhập thất bại), hai trong số chúng tương ứng với hai máy Windows XP gặp phải khởi động lại. Mới hôm qua tôi nhận thấy một loạt các lần thử đăng nhập thất bại từ một địa chỉ IP bên ngoài. Một traceroute cho thấy rằng địa chỉ IP bên ngoài là từ một ISP Canada. Chúng ta không nên có kết nối từ đó (bao giờ chúng ta cũng có người dùng VPN). Vì vậy, tôi vẫn không chắc chắn những gì đang xảy ra với các nỗ lực đăng nhập đến từ một IP trước.
Có vẻ như rõ ràng rằng một số loại phần mềm độc hại có trên các máy tính này và một phần của những gì nó cố gắng là liệt kê mật khẩu trên tài khoản miền để có quyền truy cập.
Những gì tôi đã làm cho đến nay
Sau khi nhận ra điều gì đang xảy ra, bước đầu tiên của tôi là đảm bảo mọi người đều chạy chương trình chống vi-rút cập nhật và thực hiện quét. Trong số các máy tính bị ảnh hưởng, một trong số chúng là máy khách chống vi-rút đã hết hạn, nhưng hai máy còn lại là phiên bản hiện tại của Norton và quét toàn bộ cả hai hệ thống đều không có gì.
Bản thân máy chủ thường xuyên chạy chương trình chống vi-rút cập nhật và không có bất kỳ sự lây nhiễm nào.
Vì vậy, 3/4 máy tính chạy Windows NT có tính năng chống vi-rút cập nhật, nhưng nó không phát hiện được gì. Tuy nhiên tôi tin chắc rằng có điều gì đó đang diễn ra, chủ yếu được chứng minh bằng hàng ngàn lần đăng nhập thất bại cho các tài khoản khác nhau.
Tôi cũng nhận thấy rằng phần gốc của chia sẻ tệp chính của chúng tôi có các quyền khá mở, vì vậy tôi chỉ giới hạn nó để đọc + thực thi cho người dùng bình thường. Các quản trị viên có quyền truy cập đầy đủ của khóa học. Tôi cũng sắp có người dùng cập nhật mật khẩu của họ (thành mật khẩu mạnh) và tôi sẽ đổi tên thành Quản trị viên trên máy chủ và thay đổi mật khẩu.
Tôi đã lấy các máy ra khỏi mạng, một máy đang được thay thế bằng máy mới, nhưng tôi biết những thứ này có thể lây lan qua mạng nên tôi vẫn cần phải đi đến tận cùng của điều này.
Ngoài ra, máy chủ có thiết lập NAT / Tường lửa chỉ mở một số cổng nhất định. Tôi vẫn chưa điều tra đầy đủ một số dịch vụ liên quan đến Windows với các cổng được mở, vì tôi đến từ nền tảng Linux.
Giờ thì sao?
Vì vậy, tất cả các chương trình chống vi-rút hiện đại và cập nhật đã không phát hiện ra bất cứ điều gì, nhưng tôi hoàn toàn tin rằng các máy tính này có một số loại vi-rút. Tôi dựa trên cơ sở khởi động lại / mất ổn định ngẫu nhiên của các máy XP kết hợp với hàng ngàn lần thử đăng nhập có nguồn gốc từ các máy này.
Những gì tôi dự định làm là sao lưu các tệp người dùng trên các máy bị ảnh hưởng, sau đó cài đặt lại các cửa sổ và định dạng mới các ổ đĩa. Tôi cũng đang thực hiện một số biện pháp để bảo mật các chia sẻ tệp chung có thể đã được sử dụng để lây lan sang các máy khác.
Biết tất cả những điều này, tôi có thể làm gì để đảm bảo rằng con sâu này không ở nơi nào khác trên mạng và làm cách nào tôi có thể ngăn chặn nó lây lan?
Tôi biết đây là một câu hỏi rút ra, nhưng tôi không hiểu sâu về vấn đề này ở đây và có thể sử dụng một số gợi ý.
Cảm ơn đã tìm kiếm!