Questions tagged «malware»

我注意到最近几天来自工作站的流量异常。我看到HEAD请求发送到随机字符的URL，通常在一秒钟内出现三到四个，这些请求似乎来自我的Chrome浏览器。每天仅重复三到四次请求，但我尚未确定特定的模式。每个请求的URL字符都不同。 这是Fiddler 2记录的请求示例： HEAD http://xqwvykjfei/ HTTP/1.1 Host: xqwvykjfei Proxy-Connection: keep-alive Content-Length: 0 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13 Accept-Encoding: gzip,deflate,sdch Accept-Language: en-US,en;q=0.8 Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3 对此请求的响应如下： HTTP/1.1 502 Fiddler - DNS Lookup Failed Content-Type: text/html Connection: close Timestamp: 08:15:45.283 Fiddler: DNS Lookup for …

55 http  malware  chrome 

我在自己的网站上运行了一个恶意软件扫描程序，并将一堆压缩的EXE文件标记为潜在风险文件（这些文件由用户上传）。由于我能够在Mac上解压缩文件，因此我认为这些文件是真实的ZIP文件，而不仅仅是重命名的PHP文件。 因此，ZIP文件对我的Web服务器不应该有任何风险，对吗？

49 security  anti-virus  malware 

我正在研究Slowloris的漏洞，我想我知道这种攻击的方式和原因。 我不明白的是为什么Lighttpd和NginX不受影响（根据上面链接的同一篇文章）。他们有什么不同？

23 apache-2.2  web-server  lighttpd  denial-of-service  malware 

在研究防止CryptoLocker的方法时，我看到了一个论坛帖子，建议在以下位置使用组策略对象（GPO）和/或防病毒软件来阻止运行访问： ％应用程序数据％ ％localappdata％ ％temp％ ％用户资料％ 压缩档案 显然，在论坛上撰写的任何内容都应谨慎对待。我确实看到这样做的好处，主要是因为恶意软件喜欢在这些位置之外执行。当然，这也可能影响合法程序。 阻止对这些位置的运行访问有哪些弊端？ 有什么优势？

13 windows  security  malware 

TL; DR 我很确定我们的小型网络已被某种蠕虫/病毒感染。但是，这似乎只会困扰我们的Windows XP计算机。Windows 7计算机和Linux（是的）计算机似乎不受影响。防病毒扫描没有显示任何内容，但我们的域服务器已记录了数千次针对各种有效和无效用户帐户（尤其是管理员）的失败登录尝试。如何阻止这种不知名的蠕虫传播？ 病征 我们的一些Windows XP用户报告了类似的问题，尽管并不完全相同。他们都会经历由软件启动的随机关闭/重新启动。在其中一台计算机上，会弹出一个对话框，显示倒计时，直到系统重新启动为止，该对话框显然由NT-AUTHORITY \ SYSTEM启动，并且与RPC调用有关。该对话框尤其与详细介绍较早的RPC漏洞蠕虫的文章中描述的对话框完全相同。 当其中两台计算机重新启动时，它们会在登录提示符下重新启动（它们是域计算机），但列出的用户名是“ admin”，即使它们尚未以admin身份登录。 在运行该域的Windows Server 2003计算机上，我注意到来自各种来源的数千次登录尝试。他们尝试了所有不同的登录名，包括管理员，管理员，用户，服务器，所有者和其他。 有些日志列出了IP，有些则没有。那些确实具有源IP地址（用于失败的登录）的设备中，有两个对应于经历重新引导的两台Windows XP计算机。就在昨天，我注意到一堆来自外部IP地址的失败登录尝试。跟踪路由表明外部IP地址来自加拿大ISP。我们永远都不应从那里建立连接（尽管我们确实有VPN用户）。因此，我仍然不确定来自国外IP的登录尝试是怎么回事。 显然，这些计算机上存在某种恶意软件，它的一部分工作是尝试枚举域帐户上的密码以获得访问权限。 我到目前为止所做的 意识到发生了什么之后，我的第一步是确保每个人都在运行最新的防病毒软件并进行扫描。在受影响的计算机中，其中一台具有已过期的防病毒客户端，但是其他两台是Norton的当前版本，并且对这两个系统进行全面扫描都没有发现任何问题。 服务器本身定期运行最新的防病毒软件，并且未显示任何感染。 因此，基于Windows NT的计算机中有3/4拥有最新的防病毒功能，但未检测到任何东西。但是，我确信情况正在发生，主要是各种帐户的数千次失败登录尝试所证明。 我还注意到，我们的主文件共享的根目录具有相当大的打开权限，因此我仅将其限制为普通用户只能读取并执行。管理员当然具有完全访问权限。我还将让用户更新其密码（使用强密码），并且我将在服务器上重命名为Administrator并更改其密码。 我已经从网络上卸下了这些机器，其中一台正在被一台新机器取代，但是我知道这些事情可以通过网络传播，所以我仍然需要深入研究。 另外，服务器具有仅打开某些端口的NAT /防火墙设置。我还没有充分研究一些与Windows相关的服务，这些服务具有开放的端口，因为我来自Linux。 怎么办？ 因此，所有现代且最新的防病毒软件均未检测到任何东西，但我绝对相信这些计算机都具有某种病毒。我基于XP机器的随机重启/不稳定以及源自这些机器的数千次登录尝试。 我计划要做的是在受影响的计算机上备份用户文件，然后重新安装Windows并重新格式化驱动器。我还采取了一些措施来保护可能已用于传播到其他计算机的公用文件共享。 知道了所有这些之后，我该怎么做才能确保该蠕虫不在网络上的其他地方，以及如何阻止它传播？ 我知道这是一个引出的问题，但是我在这里不尽如人意，可以使用一些指针。 感谢您的光临！

13 windows  windows-server-2003  security  network-monitoring  malware 

早在六月，我给自己发送了EICAR测试签名，以确保我的postfix / amavis / spamassassin等设置正常运行。当时我没有注意到，但是这以某种方式在时空连续性中造成了撕裂，或者某种程度上使邮件服务器每隔5分钟不断地将其发送给自己。 Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1] Oct 7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1] Oct 7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com> Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1] Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active) Oct 7 20:25:39 yavin …

12 email  postfix  malware  amavis 

在我做过工作的几个地方，我怀疑有些主管在他们的工作计算机上浏览色情内容。尽管存在反病毒功能，但这种色情冲浪似乎已导致其计算机上感染了病毒。过滤这些特定用户的浏览不是一种选择，那么我的下一个最佳解决方案是什么？我将Firefox + Adblock pro放在他们的计算机上。我很想添加NoScript，但我担心当noscript干扰合法网站的浏览时，他们会开始打电话。我还有其他办法可以减轻这种风险吗？

12 malware 

我在我的一台服务器的ac：磁盘的根目录上随机创建了一些病毒文件。我如何找出是什么原因造成的？也许一些第三方软件？

12 windows  malware  rootkit 

我的组织最近发现了恶意软件，该恶意软件是通过电子邮件发送给某些用户的，该电子邮件在一次复杂的有针对性的攻击中成功超过了我们的电子邮件安全性。文件的名称因用户而异，但是我们已经收集了恶意软件文件中常见的MD5哈希列表。 只是黑暗中的一枪-我想知道是否有一种方法可以通过PowerShell ...或任何方法根据其MD5哈希而不是其文件名，扩展名等来查找文件。我们将Windows 2012 R2用于数据中心中的大多数服务器。

11 windows  malware  search  hash  md5 

我见过一些提供“恶意软件大学”的网站，提供有关清除恶意软件的培训课程。您是否认为有必要不时更新恶意软件清除技能（或武库）？您如何更有效地应对这种日益增长的，非常复杂的威胁？

11 security  anti-virus  malware 

有没有办法告诉Windows（XP及更高版本）不要执行除某些文件夹以外的驱动器/文件夹中存在的文件（* .exe文件）？简而言之，我希望仅执行“ 白名单 ”中的可执行文件。 我认为这比要求用户不要从他们带回家的垃圾CD中运行任何可执行文件更好。

11 windows  security  malware 

在公司/ ISP网络中远程找到受Conficker感染的PC的最佳方法是什么？

10 networking  security  malware 

是否有可能在Linux系统上的Bash中隐藏恶意别名的存在，并让用户在其不知情的情况下执行该别名？

9 linux  security  bash  alias  malware 

是否可能，或者仅通过在SMB上运行的Windows计算机来传播？ 如果通过SMB服务的Linux可以传播wannacrypt，该采取什么方法？

8 linux  server-message-block  malware  smbfs 

用户开始抱怨网络速度慢，所以我启动了Wireshark。做了一些检查，发现许多PC发送类似于以下内容的数据包（屏幕截图）： 我模糊了用户名，计算机名和域名的文本（因为它与Internet域名匹配）。计算机向Active Directory服务器发送垃圾邮件，试图强行破解密码。它将以Administrator开头，并按字母顺序在用户列表中向下移动。物理上去PC时，在PC的任何地方都找不到人，而且这种行为散布在整个网络中，因此它似乎是某种病毒。扫描被发现使用Malwarebytes，Super Antispyware和BitDefender（这是客户端具有的防病毒软件）向服务器发送垃圾邮件的计算机不会产生任何结果。 这是一个拥有约2500台PC的企业网络，因此进行重建不是一个明智的选择。我的下一步是联系BitDefender，以了解他们可以提供什么帮助。 是否有人看到过这样的东西或有任何想法可能是什么？

8 security  active-directory  kerberos  malware  brute-force-attacks