TL; DR
我很确定我们的小型网络已被某种蠕虫/病毒感染。但是,这似乎只会困扰我们的Windows XP计算机。Windows 7计算机和Linux(是的)计算机似乎不受影响。防病毒扫描没有显示任何内容,但我们的域服务器已记录了数千次针对各种有效和无效用户帐户(尤其是管理员)的失败登录尝试。如何阻止这种不知名的蠕虫传播?
病征
我们的一些Windows XP用户报告了类似的问题,尽管并不完全相同。他们都会经历由软件启动的随机关闭/重新启动。在其中一台计算机上,会弹出一个对话框,显示倒计时,直到系统重新启动为止,该对话框显然由NT-AUTHORITY \ SYSTEM启动,并且与RPC调用有关。该对话框尤其与详细介绍较早的RPC漏洞蠕虫的文章中描述的对话框完全相同。
当其中两台计算机重新启动时,它们会在登录提示符下重新启动(它们是域计算机),但列出的用户名是“ admin”,即使它们尚未以admin身份登录。
在运行该域的Windows Server 2003计算机上,我注意到来自各种来源的数千次登录尝试。他们尝试了所有不同的登录名,包括管理员,管理员,用户,服务器,所有者和其他。
有些日志列出了IP,有些则没有。那些确实具有源IP地址(用于失败的登录)的设备中,有两个对应于经历重新引导的两台Windows XP计算机。就在昨天,我注意到一堆来自外部IP地址的失败登录尝试。跟踪路由表明外部IP地址来自加拿大ISP。我们永远都不应从那里建立连接(尽管我们确实有VPN用户)。因此,我仍然不确定来自国外IP的登录尝试是怎么回事。
显然,这些计算机上存在某种恶意软件,它的一部分工作是尝试枚举域帐户上的密码以获得访问权限。
我到目前为止所做的
意识到发生了什么之后,我的第一步是确保每个人都在运行最新的防病毒软件并进行扫描。在受影响的计算机中,其中一台具有已过期的防病毒客户端,但是其他两台是Norton的当前版本,并且对这两个系统进行全面扫描都没有发现任何问题。
服务器本身定期运行最新的防病毒软件,并且未显示任何感染。
因此,基于Windows NT的计算机中有3/4拥有最新的防病毒功能,但未检测到任何东西。但是,我确信情况正在发生,主要是各种帐户的数千次失败登录尝试所证明。
我还注意到,我们的主文件共享的根目录具有相当大的打开权限,因此我仅将其限制为普通用户只能读取并执行。管理员当然具有完全访问权限。我还将让用户更新其密码(使用强密码),并且我将在服务器上重命名为Administrator并更改其密码。
我已经从网络上卸下了这些机器,其中一台正在被一台新机器取代,但是我知道这些事情可以通过网络传播,所以我仍然需要深入研究。
另外,服务器具有仅打开某些端口的NAT /防火墙设置。我还没有充分研究一些与Windows相关的服务,这些服务具有开放的端口,因为我来自Linux。
怎么办?
因此,所有现代且最新的防病毒软件均未检测到任何东西,但我绝对相信这些计算机都具有某种病毒。我基于XP机器的随机重启/不稳定以及源自这些机器的数千次登录尝试。
我计划要做的是在受影响的计算机上备份用户文件,然后重新安装Windows并重新格式化驱动器。我还采取了一些措施来保护可能已用于传播到其他计算机的公用文件共享。
知道了所有这些之后,我该怎么做才能确保该蠕虫不在网络上的其他地方,以及如何阻止它传播?
我知道这是一个引出的问题,但是我在这里不尽如人意,可以使用一些指针。
感谢您的光临!