TL; DR
소규모 네트워크가 일종의 웜 / 바이러스에 감염된 것 같습니다. 그러나 Windows XP 컴퓨터에만 문제가있는 것 같습니다. Windows 7 컴퓨터와 Linux 컴퓨터는 영향을받지 않는 것 같습니다. 안티 바이러스 검사는 아무 것도 표시하지 않지만 도메인 서버는 다양한 유효하고 잘못된 사용자 계정, 특히 관리자에 대해 수천 번의 로그인 시도 실패를 기록했습니다. 이 미확인 웜의 확산을 어떻게 막을 수 있습니까?
조짐
일부 Windows XP 사용자는 완전히 동일하지는 않지만 비슷한 문제를보고했습니다. 그들은 모두 소프트웨어로 시작되는 무작위 종료 / 레스토랑을 경험합니다. 컴퓨터 중 하나에서 시스템을 다시 시작할 때까지 NT-AUTHORITY \ SYSTEM에 의해 시작되고 RPC 호출과 관련이있을 때까지 카운트 다운이있는 대화 상자가 나타납니다. 이 대화 상자는 특히 오래된 RPC 익스플로잇 웜에 대한 기사에서 설명한 것과 동일합니다.
두 대의 컴퓨터가 재부팅되면, 로그인 프롬프트 (도메인 컴퓨터 임)에 다시 표시되었지만 관리자로 로그인하지 않았더라도 나열된 사용자 이름은 'admin'이었습니다.
도메인을 실행하는 Windows Server 2003 컴퓨터에서 다양한 소스에서 수천 번의 로그인 시도를 발견했습니다. 그들은 관리자, 관리자, 사용자, 서버, 소유자 및 기타를 포함한 다른 모든 로그인 이름을 시도했습니다.
일부 로그에는 IP가 표시되고 일부는 그렇지 않습니다. 로그인 실패에 대한 소스 IP 주소를 가진 것 중 두 개는 재부팅이 발생한 두 Windows XP 시스템에 해당합니다. 어제 외부 IP 주소에서 여러 번의 로그인 시도 실패를 발견했습니다. traceroute는 외부 IP 주소가 캐나다 ISP에서 온 것으로 나타났습니다. 우리는 거기서 연결되어서는 안됩니다 (우리는 VPN 사용자가 있습니다). 그래서 나는 여전히 foriegn IP에서 로그인 시도가 어떻게되는지 잘 모르겠습니다.
이러한 종류의 컴퓨터에는 일종의 맬웨어가 있으며, 그 중 일부는 도메인 계정의 암호를 열거하여 액세스 권한을 얻는 것입니다.
내가 지금까지 한 일
무슨 일이 있었는지 깨달은 후 첫 단계는 모든 사람이 최신 안티 바이러스를 실행하고 검사를 수행하도록하는 것이 었습니다. 영향을받는 시스템 중 하나는 만료 된 안티 바이러스 클라이언트가 있지만 다른 두 개는 최신 버전의 Norton이었으며 두 시스템의 전체 검사는 아무 것도 나타나지 않았습니다.
서버 자체는 정기적으로 최신 안티 바이러스를 실행하며 감염된 적이 없습니다.
따라서 Windows NT 기반 컴퓨터의 3/4는 최신 안티 바이러스를 가지고 있지만 아무것도 감지하지 못했습니다. 그러나 나는 여러 가지 계정에 대한 수천 번의 로그인 시도 실패로 주로 무언가가 진행되고 있다고 확신합니다.
또한 주 파일 공유의 루트에 꽤 열린 권한이 있음을 알았으므로 일반 사용자에게는 읽기 + 실행으로 제한했습니다. 관리자는 물론 모든 권한을 갖습니다. 또한 사용자가 자신의 암호 (강한 암호로)를 업데이트하게하고 서버에서 관리자로 이름을 바꾸고 암호를 변경하려고합니다.
나는 이미 네트워크에서 머신을 가져 왔고, 새로운 머신으로 교체되고 있지만, 이러한 것들이 네트워크를 통해 확산 될 수 있다는 것을 알고 있기 때문에 여전히 이것의 맨 아래에 도달해야합니다.
또한 서버에는 특정 포트만 열려있는 NAT / 방화벽 설정이 있습니다. Linux 배경에서 포트를 연 상태에서 일부 Windows 관련 서비스를 아직 완전히 조사하지 않았습니다.
이제 뭐?
따라서 최신의 모든 최신 바이러스 백신은 아무것도 감지하지 못했지만이 컴퓨터에는 일종의 바이러스가 있다고 확신합니다. XP 시스템의 임의의 재시작 / 불안정성과 이러한 시스템에서 발생하는 수천 번의 로그인 시도와 함께이를 기반으로합니다.
내가 할 계획은 영향을받는 컴퓨터에서 사용자 파일을 백업 한 다음 창을 다시 설치하고 드라이브를 새로 포맷하는 것입니다. 또한 다른 컴퓨터로 확산되는 데 사용될 수있는 공통 파일 공유를 보호하기 위해 몇 가지 조치를 취하고 있습니다.
이 모든 것을 알면이 웜이 네트워크의 다른 곳에 있지 않도록하기 위해 어떻게해야합니까?
나는 이것이 그려진 질문이라는 것을 알고 있지만, 나는 여기에 깊이 빠져 있으며 몇 가지 포인터를 사용할 수 있습니다.
찾아 주셔서 감사합니다!