네트워크에서 알려지지 않은 웜의 제거 / 삭제를 어떻게 처리합니까?


13

TL; DR

소규모 네트워크가 일종의 웜 / 바이러스에 감염된 것 같습니다. 그러나 Windows XP 컴퓨터에만 문제가있는 것 같습니다. Windows 7 컴퓨터와 Linux 컴퓨터는 영향을받지 않는 것 같습니다. 안티 바이러스 검사는 아무 것도 표시하지 않지만 도메인 서버는 다양한 유효하고 잘못된 사용자 계정, 특히 관리자에 대해 수천 번의 로그인 시도 실패를 기록했습니다. 이 미확인 웜의 확산을 어떻게 막을 수 있습니까?


조짐

일부 Windows XP 사용자는 완전히 동일하지는 않지만 비슷한 문제를보고했습니다. 그들은 모두 소프트웨어로 시작되는 무작위 종료 / 레스토랑을 경험합니다. 컴퓨터 중 하나에서 시스템을 다시 시작할 때까지 NT-AUTHORITY \ SYSTEM에 의해 시작되고 RPC 호출과 관련이있을 때까지 카운트 다운이있는 대화 상자가 나타납니다. 이 대화 상자는 특히 오래된 RPC 익스플로잇 웜에 대한 기사에서 설명한 것과 동일합니다.

두 대의 컴퓨터가 재부팅되면, 로그인 프롬프트 (도메인 컴퓨터 임)에 다시 표시되었지만 관리자로 로그인하지 않았더라도 나열된 사용자 이름은 'admin'이었습니다.

도메인을 실행하는 Windows Server 2003 컴퓨터에서 다양한 소스에서 수천 번의 로그인 시도를 발견했습니다. 그들은 관리자, 관리자, 사용자, 서버, 소유자 및 기타를 포함한 다른 모든 로그인 이름을 시도했습니다.

일부 로그에는 IP가 표시되고 일부는 그렇지 않습니다. 로그인 실패에 대한 소스 IP 주소를 가진 것 중 두 개는 재부팅이 발생한 두 Windows XP 시스템에 해당합니다. 어제 외부 IP 주소에서 여러 번의 로그인 시도 실패를 발견했습니다. traceroute는 외부 IP 주소가 캐나다 ISP에서 온 것으로 나타났습니다. 우리는 거기서 연결되어서는 안됩니다 (우리는 VPN 사용자가 있습니다). 그래서 나는 여전히 foriegn IP에서 로그인 시도가 어떻게되는지 잘 모르겠습니다.

이러한 종류의 컴퓨터에는 일종의 맬웨어가 있으며, 그 중 일부는 도메인 계정의 암호를 열거하여 액세스 권한을 얻는 것입니다.

내가 지금까지 한 일

무슨 일이 있었는지 깨달은 후 첫 단계는 모든 사람이 최신 안티 바이러스를 실행하고 검사를 수행하도록하는 것이 었습니다. 영향을받는 시스템 중 하나는 만료 된 안티 바이러스 클라이언트가 있지만 다른 두 개는 최신 버전의 Norton이었으며 두 시스템의 전체 검사는 아무 것도 나타나지 않았습니다.

서버 자체는 정기적으로 최신 안티 바이러스를 실행하며 감염된 적이 없습니다.

따라서 Windows NT 기반 컴퓨터의 3/4는 최신 안티 바이러스를 가지고 있지만 아무것도 감지하지 못했습니다. 그러나 나는 여러 가지 계정에 대한 수천 번의 로그인 시도 실패로 주로 무언가가 진행되고 있다고 확신합니다.

또한 주 파일 공유의 루트에 꽤 열린 권한이 있음을 알았으므로 일반 사용자에게는 읽기 + 실행으로 제한했습니다. 관리자는 물론 모든 권한을 갖습니다. 또한 사용자가 자신의 암호 (강한 암호로)를 업데이트하게하고 서버에서 관리자로 이름을 바꾸고 암호를 변경하려고합니다.

나는 이미 네트워크에서 머신을 가져 왔고, 새로운 머신으로 교체되고 있지만, 이러한 것들이 네트워크를 통해 확산 될 수 있다는 것을 알고 있기 때문에 여전히 이것의 맨 아래에 도달해야합니다.

또한 서버에는 특정 포트만 열려있는 NAT / 방화벽 설정이 있습니다. Linux 배경에서 포트를 연 상태에서 일부 Windows 관련 서비스를 아직 완전히 조사하지 않았습니다.

이제 뭐?

따라서 최신의 모든 최신 바이러스 백신은 아무것도 감지하지 못했지만이 컴퓨터에는 일종의 바이러스가 있다고 확신합니다. XP 시스템의 임의의 재시작 / 불안정성과 이러한 시스템에서 발생하는 수천 번의 로그인 시도와 함께이를 기반으로합니다.

내가 할 계획은 영향을받는 컴퓨터에서 사용자 파일을 백업 한 다음 창을 다시 설치하고 드라이브를 새로 포맷하는 것입니다. 또한 다른 컴퓨터로 확산되는 데 사용될 수있는 공통 파일 공유를 보호하기 위해 몇 가지 조치를 취하고 있습니다.

이 모든 것을 알면이 웜이 네트워크의 다른 곳에 있지 않도록하기 위해 어떻게해야합니까?

나는 이것이 그려진 질문이라는 것을 알고 있지만, 나는 여기에 깊이 빠져 있으며 몇 가지 포인터를 사용할 수 있습니다.

찾아 주셔서 감사합니다!



정확히 동일하지는 않지만 매우 가깝습니다 ....
mailq

1
실패한 로그인을 표시하는 서버가 인터넷에 액세스 할 수 있습니까, 아니면 내부 LAN에 있습니까?
MDMarra

5
F .. 왕 sh.t. 그리고 아무도 당신을 죽이지 않았습니까?!
mailq

4
글쎄, 다행히도 나는 죽을 자격이있는 사람이 아닙니다. 나는 단지 조각을 집어 들기 위해 여기에있다.
Mr. Shickadance

답변:


18

이것들은 이런 종류의 과정에 대한 일반적인 제안입니다. 나는 당신이 그들 중 일부를 이미 다루었 음을 감사하지만 중요한 것을 놓친 것보다 두 번 무언가를 듣는 것이 좋습니다. 이 메모는 LAN에 확산되는 악성 프로그램을 대상으로하지만 더 작은 규모의 감염을 처리하기 위해 쉽게 확장 할 수 있습니다.

부패를 멈추고 감염원을 찾으십시오.

  1. 비즈니스가 관심을 갖는이 네트워크의 모든 시스템 및 모든 데이터의 최신 백업이 있는지 확인하십시오. 이 복원 미디어가 손상되었을 수 있으므로 등을 돌리고 3 개월 후에 사람들이 다시 시도하지 않고 네트워크를 다시 감염 시키십시오. 감염이 발생하기 전에 백업을 한 경우이를 한쪽으로 안전하게 보관하십시오.

  2. 가능하면 라이브 네트워크를 종료하십시오 (최소한 정리 프로세스의 일부로이 작업을 수행해야합니다). 최소한 무슨 일이 일어나고 있는지 알 때까지 서버를 포함하여이 네트워크를 인터넷에 접속하지 말 것을 진지하게 고려하십시오.

  3. 자신보다 앞서 가지 마십시오. 이 시점에서 모든 것을 깨끗하게 구축하고 모든 사람이 암호 등을 변경하도록 강요하고 '충분히 좋다'고 부르는 유혹입니다. 조만간이 작업을 수행해야 할 수도 있지만 LAN에서 발생하는 상황을 이해하지 못하면 감염의 원인이 될 수 있습니다. ( 감염을 조사하지 않으려면 6 단계로 이동하십시오. )

  4. 감염된 시스템을 어떤 종류의 가상 환경으로 복사 하고 손상된 게스트를 부팅하기 전에 호스트 시스템을 포함한 다른 모든 환경에서이 가상 환경을 격리하십시오 .

  5. 네트워크를 감염시키고 분리 할 수있는 또 다른 깨끗한 가상 게스트 시스템을 생성하고 wireshark 와 같은 도구를 사용 하여 네트워크 트래픽을 모니터링하십시오 (리눅스 배경을 활용 하고이 가상 LAN에서 다른 게스트를 생성 하여이 트래픽을 모두 볼 수 있음) Windows 웜에 감염되었습니다!) 및 프로세스 모니터 는 이러한 모든 시스템에서 발생하는 변경 사항을 모니터링합니다. 또한 문제가 잘 숨겨진 루트킷 일 수 있다는 점을 고려하십시오 .이 도구를 찾기 위해 평판 좋은 도구를 사용해보십시오. 그러나 이것이 약간의 오르막길이라는 것을 기억하십시오.

  6. (주 LAN을 종료하지 않았거나 종료 할 수 없다고 가정) 주 LAN의 wireshark를 사용하여 감염된 시스템과주고받는 트래픽을 확인하십시오. 눈에 띄는 증상이 의심 될 가능성이있는 것으로 의심되는 시스템의 설명 할 수없는 트래픽은 손상이 없다는 증거는 아닙니다 . 특히 업무상 중요한 정보를 실행하는 서버 및 워크 스테이션에 대해 걱정해야합니다.

  7. 가상 게스트에서 감염된 프로세스를 격리 한 후에 는이 컴퓨터에서 사용중인 바이러스 백신 소프트웨어를 만든 회사에 샘플을 보낼 수 있습니다. 그들은 샘플을 검사하고 그들이 보는 새로운 악성 코드에 대한 수정 프로그램을 만들고 싶어합니다. 사실, 당신이 아직 그렇게하지 않았다면, 그들이 도울 수있는 방법이있을 수 있기 때문에 그들에 대한 비애 이야기를해야합니다.

  8. 원래 감염 벡터가 무엇인지 알아 내기 위해 매우 열심히 노력하십시오. 이 웜은 누군가가 방문한 손상된 웹 사이트에 숨겨져있는 악용 일 수 있습니다. 누군가의 집에서 메모리 스틱으로 가져 왔거나 이름을 알리기 위해 전자 메일로받은 것일 수 있습니다. 그러나 몇 가지 방법. 악용으로 인해 관리자 권한이있는 사용자를 통해 이러한 시스템이 손상 되었습니까? 그렇다면 향후 사용자에게 관리자 권한을 부여하지 마십시오. 감염원이 고정되어 있는지 확인해야하며 향후 감염 경로를 더욱 어렵게 만들 수있는 절차 적 변경이 있는지 확인해야합니다.

대청소

이 단계 중 일부는 맨 위에 나타납니다. 지옥 그들 중 일부는 아마 있습니다 만 몇 가지 기계가 실제로 손상되는지 결정하지만, 그들이 그것을 할 수있는 네트워크가 같은 깨끗한 보장해야 특히, 맨 위에. 보스는 이러한 단계 중 일부에 관심이 없지만 그에 대해 할 일은 많지 않습니다.

  1. 네트워크의 모든 시스템을 종료하십시오. 모든 워크 스테이션 모든 서버 모두. 그렇습니다. 아들이 아빠가 일을 끝내기를 기다리는 동안 아들이 네트워크에 몰래 들어가는 데 사용하는 보스의 십대 아들 노트북조차도 아들은 현재 소셜 미디어 사이트 뒤 주르가 무엇이든간에 ' 더러운 자바 스크립트-악용-빌 '을 재생할 수 있습니다 . 사실, 그것에 대해 생각하고, 특히이 기계를 종료하십시오 . 그것이 필요한 경우 벽돌로.

  2. 각 서버를 차례로 시작하십시오. 직접 발견했거나 AV 회사에서 제공 한 수정 프로그램을 적용하십시오. 당신이 찾아내는 경우에 트래픽 (이 서버에서 오는보고 다른 시스템에 원인을 알 수없는 계정에 대한 사용자 및 그룹 (로컬 계정 및 AD 계정 모두) 어떤 예상치 못한 및 사용 Wireshark를위한 감사 설치된 소프트웨어를 감사 어떤 다음 진지하게 다시 작성이 시점에서 문제를 해당 서버). 손상된 시스템이 다른 시스템을 공격 할 수 없도록 다음 시스템을 시작하기 전에 각 시스템을 종료하십시오. 또는 네트워크에서 연결을 해제하면 한 번에 여러 작업을 수행 할 수 있지만 서로 대화 할 수는 없습니다.

  3. 모든 서버가 깨끗하다는 것을 확신하면 서버를 시작하고 wireshark, 프로세스 모니터 등을 사용하여 이상한 동작이 있는지 다시 관찰하십시오.

  4. 모든 단일 사용자 비밀번호를 재설정하십시오 . 가능하면 서비스 계정 비밀번호도 가능합니다. 그래, 나는 그 고통을 알고있다. 이 시점에서 우리는 아마도 "맨 위의 영역"으로 향할 것입니다. 당신의 전화.

  5. 모든 워크 스테이션을 다시 빌드하십시오 . 한 번에 하나씩 그렇게하여 감염된 시스템이 LAN에서 유휴 상태로 앉아 새로 구축 된 시스템을 공격하지 않도록하십시오. 예, 시간이 좀 걸릴 것입니다. 죄송합니다.

  6. 이것이 가능하지 않은 경우 :

    모든 "정확하게 정리 된"워크 스테이션의 서버에 대해 위에서 설명한 단계를 수행하십시오.

    의심스러운 활동에 대한 힌트를 보여준 모든 것들을 재 구축하고 모든 "정말 청결한"기계의 전원을 끄는 동안 그렇게하십시오.

  7. 아직 중앙 집중식 AV를 고려하지 않은 경우 문제, 중앙 집중식 이벤트 로깅, 네트워크 모니터링 등을 감시 할 수있는 서버에 문제를 다시보고 할 수 있습니다.이 네트워크의 요구 및 예산에 적합한 것을 선택하고 선택하십시오. 하지만 분명히 문제가 있습니다.

  8. 이러한 시스템에 대한 사용자 권한 및 소프트웨어 설치를 검토하고 정기적 인 감사를 설정하여 예상대로 작동하는지 확인하십시오. 또한 사용자가 신음하지 않고 최대한 빨리보고하고, 메신저를 쏘지 않고 IT 문제를 해결하는 비즈니스 문화를 장려해야합니다.


3
마지막으로, 시카 댄스 씨, 행운을 빌어 요
Dan

7

내가 할 모든 일을 끝냈습니다 (여전히 Windows 관리자 인 경우)-표준 단계는 (또는 마지막으로 Windows 사람이었을 때) :

  1. 영향을받는 시스템을 격리하십시오.
  2. 안티 바이러스 정의 업데이트
    AV / Malware / etc를 실행하십시오. 전체 네트워크에서 스캔
  3. 영향을받는 기계를 불어 내고 (흡입기를 완전히 닦아 내십시오) 다시 설치하십시오.
  4. 백업에서 사용자 데이터를 복원하십시오 (정확한지 확인).

바이러스 나 웜 / 이메일 (메일 서버)이나 단어 / 엑셀 문서의 매크로에 바이러스가 숨어있을 가능성이 항상 있습니다. 다음에.


3
모두 "다시 설치"를 위해 내려옵니다. 고치려고하지 마십시오.
mailq

@mailq yup. 감염되거나 손상된 시스템을 "청소"하는 것은 없습니다.
voretaq7

나는 이것이 사실이라고 생각했다. 내 문제는 여전히 무슨 일이 일어나고 있는지 정확히 파악할 수 없었으며 서버와 네트워크가 깨끗하게 공유되도록하고 싶습니다. 적어도 내가 할 수있는 한. 단지 참고로이 프로젝트를 물려 받았으며 오랜 시간 동안 관리자가 없었을 때 정리하고 있습니다 ...
Mr. Shickadance

3
@ Mr.Shickadance 불행히도 환경이 깨끗하다는 것을 " 알 수있는 " 유일한 방법 은 완전히 새로운 환경을 분리하여 이전 환경과 접촉하지 않고 사람들을 이주시키는 것입니다. 그것은 현실적이지 않기 때문에, 당신이 할 수있는 최선의 방법은 문제를 제거했다는 "합리적으로 자신감있는"것입니다.
voretaq7

글쎄, 그 시점에서 나는 실제로 대체 리눅스 서버를 구축하는 과정에있다. 불행히도 이미 '오염 된'네트워크에 연결되어 있지만 실제로 사용되지는 않았습니다. 나는 그것을 내 자신의 일로 사용하고 있으며 서비스를 사용하고 있습니다. 계속해서 나쁜 사과를 제거하고 가능한 한 오래된 서버의 보안을 업데이트하고 최선을 다하겠습니다.
Mr. Shickadance

2

이것으로부터 첫 번째 교훈은 AV 솔루션이 완벽하지 않다는 것입니다. 근처에도 안.

AV 소프트웨어 공급 업체에 대한 최신 정보가 있으면 연락하십시오. 그들 모두는 정확히 이런 종류의 일에 대한 지원 번호가 있습니다. 사실 그들은 아마도 당신을 때리는 것에 매우 관심이있을 것입니다.

다른 사람들이 말했듯이 각 기계를 제거하고 닦은 후 다시 설치하십시오. 어쨌든 XP의 모든 사람들을이 기회로 삼을 수 있습니다. 꽤 오랫동안 죽은 OS였습니다. 최소한 HD 파티션을 삭제하고 다시 포맷해야합니다. 많은 기계가 관련되어 있지 않은 것처럼 들리지만 완전히 새로운 교체품을 구입하는 것이 더 나은 옵션 일 수 있습니다.

또한 상사에게 이것이 비싸다는 것을 알려주십시오.

마지막으로, 왜 세상에서 단일 서버로 모든 것을 실행합니까? (수사, 나는 당신이 그것을 "상속했다"는 것을 알고있다) DC는 절대로 인터넷에서 접근 할 수 없어야한다. 필요한 기능을 처리하기 위해 적절한 하드웨어를 준비하여이 문제를 해결하십시오.


실제로이 설정에는 더 많은 문제가 있습니다. 내가 네트워크 전체에 대한 오래된 엉덩이 넷기어 홈 무선 라우터가 게이트웨이로 사용되었다고 말할 때 아마 웃을 것입니다.
Mr. Shickadance

1
@ Mr. Shickadance-웃음보다는 울다. 전임자의 잘못입니까, 아니면 비즈니스가 IT에 제대로 투자하지 않기로 결정하고 가격을 지불하고 있습니까?
Rob Moir

2
확실하지 않지만 둘 다 조합되었을 수 있습니다. 어느 쪽이든 나는 그것을 시도하고 고치기 위해 노력하고 있으며, 우리는 이미 새로운 하드웨어에 투자했다. 어쨌든 오래된 서버를 중단시킬 수는 없지만 네트워크에서 잘못된 시스템을 제거했습니다. 내가 이상하게 말할 수없는 것에서 아무 일도 일어나지 않았으므로 여기에 주어진 조언을 계속 따라야 할 것입니다.
Mr. Shickadance

0

A / V 프로그램이 아무 것도 나타나지 않으면 루트킷 일 가능성이 높습니다. TDSSkiller를 실행하여 찾은 내용을 보십시오 . 또한 이것은 구식 Windows XP 컴퓨터를 10 년이 넘은 오래된 컴퓨터로 간단히 대체하기에 완벽한시기입니다. 안티 바이러스 프로그램과 같은 소프트웨어 외에도 shim을 통해 실행할 수 없거나 Windows 7에서 NTFS / 레지스트리 권한을 느슨하게 만들 수없는 프로그램은 거의 거의 보지 못했습니다. XP를 실행합니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.