Làm thế nào để tôi đối phó với việc loại bỏ / diệt trừ một con sâu không xác định trên mạng của chúng tôi?

TL; DR

Tôi khá chắc chắn rằng mạng nhỏ của chúng tôi đã bị nhiễm một số loại sâu / virus. Tuy nhiên, dường như nó chỉ ảnh hưởng đến các máy Windows XP của chúng tôi. Máy Windows 7 và máy tính Linux (tốt, phải) dường như không bị ảnh hưởng. Quét chống vi-rút không hiển thị gì, nhưng máy chủ tên miền của chúng tôi đã ghi lại hàng ngàn lần đăng nhập thất bại trên nhiều tài khoản người dùng hợp lệ và không hợp lệ, đặc biệt là quản trị viên. Làm thế nào tôi có thể ngăn chặn con sâu không xác định này lây lan?

Triệu chứng

Một số người dùng Windows XP của chúng tôi đã báo cáo các vấn đề tương tự, mặc dù không hoàn toàn giống nhau. Tất cả đều trải nghiệm tắt / khởi động lại ngẫu nhiên là phần mềm được bắt đầu. Trên một trong các máy tính, một hộp thoại bật lên với đếm ngược cho đến khi hệ thống khởi động lại, rõ ràng được khởi động bởi NT-AUTHORITY \ HỆ THỐNG và phải thực hiện với một cuộc gọi RPC. Đặc biệt, hộp thoại này giống hệt như những gì được mô tả trong các bài viết chi tiết về sâu khai thác RPC cũ.

Khi hai trong số các máy tính khởi động lại, chúng xuất hiện trở lại tại dấu nhắc đăng nhập (chúng là máy tính miền) nhưng tên người dùng được liệt kê là 'admin', mặc dù chúng chưa đăng nhập với tư cách quản trị viên.

Trên máy Windows Server 2003 của chúng tôi chạy tên miền, tôi nhận thấy hàng ngàn lần thử đăng nhập từ nhiều nguồn khác nhau. Họ đã thử tất cả các tên đăng nhập khác nhau bao gồm Quản trị viên, quản trị viên, người dùng, máy chủ, chủ sở hữu và những người khác.

Một số nhật ký được liệt kê IP, một số thì không. Trong số những máy đã có địa chỉ IP nguồn (đối với lần đăng nhập thất bại), hai trong số chúng tương ứng với hai máy Windows XP gặp phải khởi động lại. Mới hôm qua tôi nhận thấy một loạt các lần thử đăng nhập thất bại từ một địa chỉ IP bên ngoài. Một traceroute cho thấy rằng địa chỉ IP bên ngoài là từ một ISP Canada. Chúng ta không nên có kết nối từ đó (bao giờ chúng ta cũng có người dùng VPN). Vì vậy, tôi vẫn không chắc chắn những gì đang xảy ra với các nỗ lực đăng nhập đến từ một IP trước.

Có vẻ như rõ ràng rằng một số loại phần mềm độc hại có trên các máy tính này và một phần của những gì nó cố gắng là liệt kê mật khẩu trên tài khoản miền để có quyền truy cập.

Những gì tôi đã làm cho đến nay

Sau khi nhận ra điều gì đang xảy ra, bước đầu tiên của tôi là đảm bảo mọi người đều chạy chương trình chống vi-rút cập nhật và thực hiện quét. Trong số các máy tính bị ảnh hưởng, một trong số chúng là máy khách chống vi-rút đã hết hạn, nhưng hai máy còn lại là phiên bản hiện tại của Norton và quét toàn bộ cả hai hệ thống đều không có gì.

Bản thân máy chủ thường xuyên chạy chương trình chống vi-rút cập nhật và không có bất kỳ sự lây nhiễm nào.

Vì vậy, 3/4 máy tính chạy Windows NT có tính năng chống vi-rút cập nhật, nhưng nó không phát hiện được gì. Tuy nhiên tôi tin chắc rằng có điều gì đó đang diễn ra, chủ yếu được chứng minh bằng hàng ngàn lần đăng nhập thất bại cho các tài khoản khác nhau.

Tôi cũng nhận thấy rằng phần gốc của chia sẻ tệp chính của chúng tôi có các quyền khá mở, vì vậy tôi chỉ giới hạn nó để đọc + thực thi cho người dùng bình thường. Các quản trị viên có quyền truy cập đầy đủ của khóa học. Tôi cũng sắp có người dùng cập nhật mật khẩu của họ (thành mật khẩu mạnh) và tôi sẽ đổi tên thành Quản trị viên trên máy chủ và thay đổi mật khẩu.

Tôi đã lấy các máy ra khỏi mạng, một máy đang được thay thế bằng máy mới, nhưng tôi biết những thứ này có thể lây lan qua mạng nên tôi vẫn cần phải đi đến tận cùng của điều này.

Ngoài ra, máy chủ có thiết lập NAT / Tường lửa chỉ mở một số cổng nhất định. Tôi vẫn chưa điều tra đầy đủ một số dịch vụ liên quan đến Windows với các cổng được mở, vì tôi đến từ nền tảng Linux.

Giờ thì sao?

Vì vậy, tất cả các chương trình chống vi-rút hiện đại và cập nhật đã không phát hiện ra bất cứ điều gì, nhưng tôi hoàn toàn tin rằng các máy tính này có một số loại vi-rút. Tôi dựa trên cơ sở khởi động lại / mất ổn định ngẫu nhiên của các máy XP kết hợp với hàng ngàn lần thử đăng nhập có nguồn gốc từ các máy này.

Những gì tôi dự định làm là sao lưu các tệp người dùng trên các máy bị ảnh hưởng, sau đó cài đặt lại các cửa sổ và định dạng mới các ổ đĩa. Tôi cũng đang thực hiện một số biện pháp để bảo mật các chia sẻ tệp chung có thể đã được sử dụng để lây lan sang các máy khác.

Biết tất cả những điều này, tôi có thể làm gì để đảm bảo rằng con sâu này không ở nơi nào khác trên mạng và làm cách nào tôi có thể ngăn chặn nó lây lan?

Tôi biết đây là một câu hỏi rút ra, nhưng tôi không hiểu sâu về vấn đề này ở đây và có thể sử dụng một số gợi ý.

Cảm ơn đã tìm kiếm!

Đây là những gợi ý chung của tôi cho loại quy trình này. Tôi đánh giá cao bạn sẽ bao gồm một số trong số họ nhưng tốt hơn là nên nói điều gì đó hai lần hơn là bỏ lỡ điều gì đó quan trọng. Các ghi chú này được định hướng theo phần mềm độc hại phát tán trên mạng LAN nhưng có thể dễ dàng thu nhỏ lại để xử lý các nhiễm trùng nhỏ hơn.

Dừng thối, và tìm nguồn lây nhiễm.

1. Đảm bảo rằng bạn có bản sao lưu cập nhật của mọi hệ thống và mọi bit dữ liệu trên mạng này mà doanh nghiệp quan tâm. Hãy chắc chắn rằng bạn lưu ý rằng phương tiện khôi phục này có thể bị xâm phạm, để mọi người không thử và khôi phục từ đó trong 3 tháng trong khi lưng của bạn bị quay và lây nhiễm lại mạng. Nếu bạn có một bản sao lưu từ trước khi nhiễm trùng xảy ra, hãy đặt nó an toàn sang một bên.

2. Tắt mạng trực tiếp, nếu bạn có thể có thể (ít nhất bạn có thể cần phải làm điều này như một phần của quy trình dọn dẹp, ít nhất). Ít nhất, hãy nghiêm túc xem xét việc giữ mạng này, bao gồm cả máy chủ, tắt internet cho đến khi bạn biết chuyện gì đang xảy ra - nếu con sâu này đánh cắp thông tin thì sao?

3. Đừng vượt lên chính mình. Thật hấp dẫn khi chỉ nói sạch sẽ xây dựng mọi thứ vào thời điểm này, buộc mọi người phải thay đổi mật khẩu, v.v. và gọi đó là 'đủ tốt'. Mặc dù bạn có thể sẽ cần phải thực hiện việc này sớm hay muộn , nhưng có khả năng sẽ khiến bạn bị nhiễm trùng nếu bạn không hiểu những gì đang xảy ra trên mạng LAN của mình. ( Nếu bạn không muốn điều tra sự lây nhiễm thêm vào bước 6 )

4. Sao chép một máy bị nhiễm sang một môi trường ảo nào đó, cách ly môi trường ảo này với mọi thứ khác, kể cả máy chủ trước khi bạn khởi động máy khách bị xâm nhập .

5. Tạo một vài máy khách ảo sạch khác để nó lây nhiễm sau đó cô lập mạng đó và sử dụng các công cụ như wireshark để giám sát lưu lượng mạng (thời gian để tận dụng nền linux đó và tạo một khách khác trên mạng LAN ảo này có thể xem tất cả lưu lượng truy cập này mà không cần bị lây nhiễm bởi bất kỳ sâu Windows nào!) và Process Monitor để theo dõi các thay đổi xảy ra trên tất cả các máy này. Cũng xem xét rằng vấn đề có thể là một rootkit ẩn tốt - hãy thử sử dụng một công cụ có uy tín để tìm những thứ này nhưng hãy nhớ rằng đây là một cuộc đấu tranh khó khăn vì vậy không tìm thấy gì không có nghĩa là không có gì ở đó.

6. (Giả sử bạn chưa / không thể tắt mạng LAN chính) Sử dụng dây dẫn trên mạng LAN chính để xem lưu lượng được gửi đến / từ các máy bị nhiễm. Hãy coi bất kỳ lưu lượng không thể giải thích được từ bất kỳ máy nào là có khả năng đáng ngờ - sự vắng mặt của các triệu chứng có thể nhìn thấy không phải là bằng chứng của sự vắng mặt của bất kỳ thỏa hiệp nào . Bạn nên đặc biệt lo lắng về các máy chủ và bất kỳ máy trạm nào chạy thông tin quan trọng trong kinh doanh.

7. Khi bạn đã cách ly bất kỳ quy trình bị nhiễm nào trên các khách ảo, bạn sẽ có thể gửi mẫu đến công ty sản xuất phần mềm chống vi-rút mà bạn đang sử dụng trên các máy này. Họ sẽ sẵn sàng kiểm tra các mẫu và đưa ra các bản sửa lỗi cho bất kỳ phần mềm độc hại mới nào họ thấy. Trên thực tế, nếu bạn chưa làm như vậy, bạn nên liên hệ với họ với câu chuyện về sự đau khổ của bạn vì họ có thể có một số cách giúp đỡ.

8. Cố gắng hết sức để tìm ra vectơ lây nhiễm ban đầu là gì - con sâu này có thể là một khai thác được ẩn trong một trang web bị xâm nhập mà ai đó đã truy cập, nó có thể được đưa từ nhà của ai đó trên thẻ nhớ hoặc nhận được qua email, để đặt tên nhưng một vài cách Khai thác có thỏa hiệp các máy này thông qua người dùng có quyền quản trị không? Nếu vậy, đừng cung cấp cho người dùng quyền quản trị trong tương lai. Bạn cần thử và đảm bảo nguồn lây nhiễm được cố định và bạn cần xem liệu có bất kỳ thay đổi thủ tục nào bạn có thể thực hiện để làm cho lộ trình lây nhiễm đó trở nên khó khăn hơn trong việc khai thác trong tương lai.

Dọn dẹp

Một số bước này sẽ có vẻ trên đầu trang. Heck một số trong số họ có thể là trên đầu, đặc biệt là nếu bạn xác định rằng chỉ có một số máy thực sự bị xâm nhập, nhưng họ nên đảm bảo mạng của bạn sạch như có thể. Các ông chủ sẽ không quan tâm đến một số bước này, nhưng sẽ không có nhiều việc phải làm về điều đó.

1. Tắt tất cả các máy trên mạng. Tất cả các máy trạm. Tất cả các máy chủ. Mọi điều. Vâng, ngay cả máy tính xách tay của con trai tuổi teen của ông chủ mà con trai sử dụng để lẻn vào mạng trong khi chờ cha hoàn thành công việc để con trai có thể chơi ' dubious-javascript-mining-Ville ' trên bất cứ trang web truyền thông xã hội hiện tại nào . Trong thực tế, suy nghĩ về nó, đặc biệt là tắt máy này . Với một viên gạch nếu đó là những gì nó cần.

2. Khởi động lần lượt từng máy chủ. Áp dụng bất kỳ sửa chữa nào bạn đã tự khám phá hoặc đã được một công ty AV đưa ra. Kiểm tra người dùng và nhóm cho bất kỳ tài khoản không giải thích được (cả tài khoản cục bộ và tài khoản AD), kiểm tra phần mềm đã cài đặt cho bất kỳ điều gì bất ngờ và sử dụng wireshark trên hệ thống khác để xem lưu lượng truy cập đến từ máy chủ này (Nếu bạn thấy bất kỳ vấn đề nào tại thời điểm này thì hãy nghiêm túc xem xét việc xây dựng lại máy chủ đó). Tắt từng hệ thống trước khi bạn khởi động hệ thống tiếp theo để máy bị xâm nhập không thể tấn công các hệ thống khác. Hoặc rút phích cắm của chúng khỏi mạng, vì vậy bạn có thể thực hiện một số thao tác cùng một lúc nhưng chúng không thể nói chuyện với nhau, tất cả đều tốt.

3. Khi bạn chắc chắn rằng tất cả các máy chủ của bạn đều sạch sẽ, hãy khởi động chúng và sử dụng wireshark, giám sát quy trình, v.v. một lần nữa quan sát chúng một lần nữa cho bất kỳ hành vi lạ nào.

4. Đặt lại mọi mật khẩu người dùng . Và nếu có thể, mật khẩu tài khoản dịch vụ cũng vậy. Vâng tôi biết đó là một nỗi đau. Tại thời điểm này, chúng ta sẽ tiến vào lãnh thổ "có thể trên đỉnh". Cuộc gọi của bạn.

5. Xây dựng lại tất cả các máy trạm . Làm như vậy cùng một lúc, để các máy bị nhiễm có thể không ngồi yên trên mạng LAN tấn công những máy mới được xây dựng lại. Vâng, điều này sẽ mất một lúc, xin lỗi về điều đó.

6. Nếu điều đó là không thể thì:

   Thực hiện các bước tôi đã nêu ở trên cho các máy chủ trên tất cả các máy trạm "hy vọng sạch".

   Xây dựng lại tất cả những cái đã cho thấy bất kỳ gợi ý nào về hoạt động đáng ngờ và làm như vậy trong khi tất cả các máy "hy vọng sạch" đều bị tắt.

7. Nếu bạn chưa xem xét AV tập trung sẽ báo cáo sự cố lại cho máy chủ nơi bạn có thể theo dõi các sự cố, ghi nhật ký sự kiện tập trung, giám sát mạng, v.v ... Rõ ràng chọn và chọn những vấn đề nào phù hợp với nhu cầu và ngân sách của mạng này, Nhưng rõ ràng có một vấn đề ở đây, phải không?

8. Xem lại quyền người dùng và cài đặt phần mềm trên các máy này và thiết lập kiểm toán định kỳ để đảm bảo mọi thứ vẫn như bạn mong đợi. Ngoài ra, hãy đảm bảo rằng người dùng được khuyến khích báo cáo mọi thứ càng sớm càng tốt mà không bị rên rỉ, khuyến khích văn hóa kinh doanh sửa chữa các vấn đề CNTT thay vì bắn tin nhắn, v.v.

Bạn đã làm tất cả những việc tôi sẽ làm (nếu tôi vẫn là quản trị viên Windows) - Các bước chính tắc là (hoặc là, lần trước tôi là một chàng trai Windows):

1. Cô lập các máy bị ảnh hưởng.
2. Cập nhật định nghĩa chống vi-rút
   Chạy AV / Malware / vv. quét trên toàn bộ mạng
3. Thổi bay các máy bị ảnh hưởng (xóa sạch hoàn toàn mút) và cài đặt lại.
4. Khôi phục dữ liệu người dùng từ các bản sao lưu (đảm bảo sạch sẽ).

Lưu ý rằng luôn có khả năng virus / sâu / bất cứ thứ gì ẩn giấu trong email (trên máy chủ thư của bạn) hoặc bên trong macro trong tài liệu word / excel - Nếu sự cố quay trở lại, bạn có thể cần mạnh dạn hơn trong việc dọn dẹp thời gian tiếp theo

Bài học đầu tiên rút ra từ đây là các giải pháp AV không hoàn hảo. Thậm chí không gần gũi.

Nếu bạn cập nhật với các nhà cung cấp phần mềm AV, hãy gọi cho họ. Tất cả trong số họ có số hỗ trợ cho chính xác loại này. Vì thực tế có lẽ họ sẽ rất thích thú với những gì đánh vào bạn.

Như những người khác đã nói, hãy gỡ từng máy xuống, lau sạch và cài đặt lại. Bạn có thể nhân cơ hội này để loại bỏ mọi người khỏi XP. Nó đã là một hệ điều hành chết trong một thời gian khá lâu. Ít nhất điều này sẽ liên quan đến việc phá hủy các phân vùng HD và định dạng lại chúng. Mặc dù, có vẻ như không có nhiều máy móc tham gia, vì vậy mua thay thế hoàn toàn mới có thể là một lựa chọn tốt hơn.

Ngoài ra, hãy cho sếp của bạn biết rằng điều này vừa trở nên đắt đỏ.

Cuối cùng, tại sao bạn lại chạy tất cả những thứ đó trên một máy chủ? (Hùng biện, tôi biết bạn "thừa hưởng" nó) Không nên truy cập DC từ internet. Khắc phục sự cố này bằng cách cài đặt phần cứng phù hợp để đảm nhiệm chức năng bạn cần.

Đây rất có thể là một rootkit nếu các chương trình A / V của bạn không có gì. Hãy thử chạy TDSSkiller và xem những gì bạn tìm thấy. Ngoài ra, đây sẽ là thời điểm hoàn hảo để thay thế các máy tính Windows XP cổ xưa bằng một cái gì đó ít hơn một thập kỷ. Ngoài các phần mềm như các chương trình chống vi-rút, tôi đã thấy rất ít cách thức các chương trình không thể chạy qua shim hoặc nới lỏng một số quyền NTFS / Registry trên Windows 7. Thực sự có rất ít lý do để tiếp tục để chạy XP.