TL; DR
ฉันค่อนข้างมั่นใจว่าเครือข่ายขนาดเล็กของเราติดไวรัส / ไวรัสบางชนิด ดูเหมือนว่าจะทำให้เครื่อง Windows XP ของเราเจ็บปวดเท่านั้น เครื่อง Windows 7 และลีนุกซ์ (ก็ใช่) ดูเหมือนว่าจะไม่ได้รับผลกระทบ การสแกนป้องกันไวรัสไม่แสดงอะไรเลย แต่เซิร์ฟเวอร์โดเมนของเราได้บันทึกการเข้าสู่ระบบล้มเหลวหลายพันครั้งในบัญชีผู้ใช้ที่ถูกต้องและไม่ถูกต้องโดยเฉพาะอย่างยิ่งผู้ดูแลระบบ ฉันจะหยุดการแพร่กระจายของหนอนที่ไม่ปรากฏชื่อได้อย่างไร
อาการ
ผู้ใช้ Windows XP ของเราสองสามคนรายงานปัญหาที่คล้ายกันแม้ว่าจะไม่เหมือนกันทั้งหมด พวกเขาทั้งหมดพบกับการปิด / รีสตาร์ทแบบสุ่มที่เริ่มต้นจากซอฟต์แวร์ ในคอมพิวเตอร์หนึ่งเครื่องไดอะล็อกจะปรากฏขึ้นพร้อมกับนับถอยหลังจนกระทั่งระบบรีสตาร์ทโดยเริ่มจาก NT-AUTHORITY \ SYSTEM และต้องเกี่ยวข้องกับการเรียก RPC ไดอะล็อกนี้โดยเฉพาะตรงตามที่อธิบายไว้ในบทความที่แสดงรายละเอียด RPC ที่เก่ากว่าใช้ประโยชน์จากเวิร์ม
เมื่อคอมพิวเตอร์สองเครื่องรีบูตพวกเขากลับมาที่พรอมต์การเข้าสู่ระบบ (เป็นคอมพิวเตอร์โดเมน) แต่ชื่อผู้ใช้ที่ระบุไว้คือ 'admin' แม้ว่าพวกเขาจะไม่ได้เข้าสู่ระบบในฐานะผู้ดูแลระบบ
บนเครื่อง Windows Server 2003 ของเราที่ใช้งานโดเมนผมสังเกตเห็นว่ามีความพยายามเข้าสู่ระบบหลายพันครั้งจากแหล่งต่าง ๆ พวกเขาลองชื่อเข้าสู่ระบบที่แตกต่างกันทั้งหมดรวมถึงผู้ดูแลระบบผู้ดูแลระบบผู้ใช้เซิร์ฟเวอร์เจ้าของและอื่น ๆ
บันทึกบางรายการแสดง IP บางอันไม่ได้บันทึก หนึ่งในนั้นที่มีที่อยู่ IP ต้นทาง (สำหรับการเข้าสู่ระบบที่ล้มเหลว) สองรายการนั้นสอดคล้องกับเครื่อง Windows XP สองเครื่องที่มีการรีบูต เมื่อวานนี้ฉันสังเกตเห็นว่ามีความพยายามในการเข้าสู่ระบบล้มเหลวจากที่อยู่ IP ภายนอก ผู้ติดตามแสดงให้เห็นว่าที่อยู่ IP ภายนอกนั้นมาจาก ISP ของแคนาดา เราไม่ควรมีการเชื่อมต่อจากที่นั่น (เรามีผู้ใช้ VPN) ดังนั้นฉันยังไม่แน่ใจว่าเกิดอะไรขึ้นกับความพยายามในการเข้าสู่ระบบที่มาจาก foriegn IP
ดูเหมือนว่ามัลแวร์บางประเภทอยู่ในคอมพิวเตอร์เหล่านี้และเป็นส่วนหนึ่งของสิ่งที่พยายามระบุรหัสผ่านในบัญชีโดเมนเพื่อเข้าถึง
สิ่งที่ฉันทำจนถึงตอนนี้
หลังจากทราบว่าเกิดอะไรขึ้นขั้นตอนแรกของฉันคือเพื่อให้แน่ใจว่าทุกคนกำลังใช้โปรแกรมป้องกันไวรัสที่ทันสมัยและทำการสแกน คอมพิวเตอร์ได้รับผลกระทบหนึ่งในนั้นเป็นไคลเอ็นต์ป้องกันไวรัสที่หมดอายุแล้ว แต่อีกสองรายการเป็น Norton เวอร์ชันปัจจุบันและการสแกนทั้งสองระบบของทั้งสองระบบไม่ปรากฏอะไรเลย
เซิร์ฟเวอร์ทำงานเป็นประจำป้องกันไวรัสล่าสุดและไม่แสดงการติดเชื้อใด ๆ
ดังนั้นคอมพิวเตอร์ 3/4 เครื่องที่ใช้ Windows NT จึงมีโปรแกรมป้องกันไวรัสที่ทันสมัย แต่ไม่พบสิ่งใดเลย อย่างไรก็ตามฉันเชื่อว่ามีบางอย่างเกิดขึ้นส่วนใหญ่เห็นได้จากการพยายามลงชื่อเข้าใช้ที่ล้มเหลวหลายพันครั้งสำหรับบัญชีต่างๆ
ฉันยังสังเกตเห็นว่ารูทของการแชร์ไฟล์หลักของเรานั้นมีสิทธิ์เปิดอยู่ค่อนข้างมากดังนั้นฉันจึง จำกัด ให้อ่าน + ดำเนินการสำหรับผู้ใช้ปกติ ผู้ดูแลระบบมีสิทธิ์เข้าถึงแบบเต็ม ฉันกำลังจะให้ผู้ใช้อัปเดตรหัสผ่านของพวกเขา (เป็นคนที่แข็งแกร่ง) และฉันจะเปลี่ยนชื่อเป็นผู้ดูแลระบบบนเซิร์ฟเวอร์และเปลี่ยนรหัสผ่าน
ฉันเอาเครื่องออกจากเครือข่ายแล้วเครื่องหนึ่งถูกแทนที่ด้วยเครื่องใหม่ แต่ฉันรู้ว่าสิ่งเหล่านี้สามารถแพร่กระจายผ่านเครือข่ายได้ดังนั้นฉันจึงต้องไปที่จุดต่ำสุดของสิ่งนี้
นอกจากนี้เซิร์ฟเวอร์ยังมีการตั้งค่า NAT / ไฟร์วอลล์ที่เปิดเฉพาะพอร์ตที่แน่นอนเท่านั้น ฉันยังไม่ได้ตรวจสอบบริการบางอย่างของ Windows ที่เกี่ยวข้องกับพอร์ตที่เปิดอยู่เนื่องจากฉันมาจากพื้นหลัง Linux
ตอนนี้คืออะไร
ดังนั้นโปรแกรมป้องกันไวรัสที่ทันสมัยและทันสมัยทั้งหมดจึงไม่ได้ตรวจพบอะไรเลย แต่ฉันเชื่อว่าคอมพิวเตอร์เหล่านี้มีไวรัสบางประเภท ฉันใช้วิธีนี้ในการสุ่มรีสตาร์ท / instability ของเครื่อง XP รวมกับการพยายามลงชื่อเข้าใช้นับพันครั้งจากเครื่องเหล่านี้
สิ่งที่ฉันวางแผนจะทำคือการสำรองไฟล์ของผู้ใช้บนเครื่องที่ได้รับผลกระทบจากนั้นทำการติดตั้ง windows ใหม่และฟอร์แมตไดรฟ์ใหม่ ฉันยังใช้มาตรการเล็กน้อยเพื่อรักษาความปลอดภัยการแชร์ไฟล์ทั่วไปที่อาจใช้เพื่อแพร่กระจายไปยังเครื่องอื่น ๆ
รู้ทั้งหมดนี้ฉันจะทำอย่างไรเพื่อให้แน่ใจว่าหนอนตัวนี้ไม่ได้อยู่ที่อื่นในเครือข่ายและฉันจะหยุดยั้งการแพร่กระจายได้อย่างไร
ฉันรู้ว่านี่เป็นคำถามที่ดึงออกมา แต่ฉันออกมาจากส่วนลึกของฉันที่นี่และสามารถใช้ตัวชี้บางอย่างได้
ขอบคุณที่มอง!