會員中心 | iThome online | iT邦部落格 | 小7聚樂部 | iThome download | apphome

載入中...

wenchan

iT邦初學者
10級

如何查是那台電腦中毒

收到hinet寄來的訊息
您的內部主機: xx.xx.xx.07, 被偵測到有大量異常的 XSS-script-method2 對外可疑攻擊行為, 這部電腦可能已經被病毒或惡意程式感染, 請利用防毒軟體掃描您的電腦.
xx.xx.xx.07是對外的ip,要怎麼知道是內部那一台電腦有中毒?
公司有台procurve switch2650,有個地方可以看流量,但如下有6個數據,我該看那一個數據越大越有問題?還是都看不出來

1.Mcast Rx : Total number of multicast packets received by the port.
2.Mcast Tx: Total number of multicast packets transmitted to the port.
3.Bcast Rx: Total number of broadcast packets received by the port.
4.Bcast Tx: Total number of broadcast packets transmitted to the port.
5.Pkts Rx : Total number of packets received by the port.
6.Pkts Tx: Total number of packets transmitted to the port.


發佈到:發佈到Facebook 發佈到噗浪 發佈到twitter
分享時間:2010-03-30 13:43:50
▼ ADVERTISEMENT ▼

最佳解答(發問者自選)
3

回答:cklin ( iT邦初學者7級 )

時間:2010-03-31 10:08:22

1.從Hinet提供的資訊裡,還有個地方可以下手”大量異常的 XSS-script-method2 ”
上網孤狗一下,先了解一下這一個可疑的攻擊行為,看起來應該是網頁攻擊,
這樣又多了一條線索可以查,找上網的流量紀錄,如果有Proxy Server,就查Proxy Log;如果有Firewall 就監視HTTP Port80......
參考 http://huaidan.org/archives/2619.html

2.單從網路設備來看,這部分對於數據的敏感度就要提高
首先必須知道大部分的病毒/蠕蟲攻擊行為(含少量的木馬),是透過網路掃描ARP方式來搜尋可攻擊的IP位址,因此就必須透過網路廣播封包(broadcast packets)的方式來進行......
Bingo! 答對了,就從6大數據裡的 〔3.Bcast Rx: Total number of broadcast packets received by the port.〕來收集分析,在單位時間內封包數增長最快的就是'疑凶'
但怎樣的增長量才可能是真正的兇手,這必須靠經驗的累積與敏感度,這是件苦差事,現在已經很少人會這樣做了。
而且新一代的病毒/蠕蟲/木馬攻擊行為,已經進化不再採暴力發作擴散方式,這個數據就不太有用途。
不過,太異常的廣播封包(broadcast packets)量還是值得注意。

想當年,小弟只有近千台網路設備的管理權限,沒有PC的管理權限,也沒有Firewall或Proxy Server的管理權限,但仍然是MIS裡最早發現病毒活動的一員,靠的就是這種方法。

[-隱藏]

回應

1

wenchan 說:

XSS-script-method2 網頁攻擊,那是不是上了不該上的網頁能造成的,若關掉此網頁,應該就沒了吧,但有沒有什麼軟體對異常的封包可以通知mis,因為等hinet傳來時再去看,好像看起來都正常,都是被動等通知,又沒辦法天天每分每秒都去觀查封包和流量,都事後被告知,請問大大們是怎麼發覺有問題有異常,還是都被動式,等別人來告知

2010-03-31 10:45:43

2

cklin 說:

〔XSS-script-method2 網頁攻擊,那是不是上了不該上的網頁能造成的,若關掉此網頁,應該就沒了吧〕
這個說法對一半,這一半指的是內對外多對一的攻擊行為,有針對特定的網頁,才能關掉網頁。
另一半是內對外一對多甚至多對多的網頁攻擊行為,那就不是關閉網頁連接的方式,
一對多還好找,找到內部的那一台中毒的機器清除就好。
但如果是多對多,那就只能透過Proxy Log或網路設備來分析。

〔但有沒有什麼軟體對異常的封包可以通知mis,因為等hinet傳來時再去看,好像看起來都正常,都是被動等通知,又沒辦法天天每分每秒都去觀查封包和流量,都事後被告知,請問大大們是怎麼發覺有問題有異常,還是都被動式,等別人來告知〕
軟體的部分,可以試著用Sniffer類型的封包分析軟體來看,如Wireshark的Analyze選單下的Expert Info。
硬體的部分,簡單的IDP/IDS都可以主動對異常的封包來發通知。

〔又沒辦法天天每分每秒都去觀查封包和流量〕這是一般的推託之詞,作網管要能主動出擊
首先要有一部網路分析的主機,另外網管工程師需要對SNMP(簡單網路管理協定)及Shell Script語法有所了解
利用Linux平台Cron Job 的時間工作排定,透過snmpget對每一個設備每個Port的Bcast Rx MIB數值抓出作運算比較,單位時間內增長量超過限定的數值就主動發出Mail出來。Mail裡包含時間、來源mac.....等一些有用的資訊
這是作主動網管的基本演算法模型。

最近發現Windows Server 2008 也有一個類似的P-Shell可以使用:)

2010-03-31 11:37:30

如何查是那台電腦中毒
回答:edenfwu( iT邦初學者10級 )
時間:2010-03-30 15:40:33
1
可以到各台PC上檢查程序管理員
看有沒有未使用的PC
它的Loading卻很重
那台PC就有問題了

[-隱藏]

回應 edenfwu

1

wenchan 說:

不會吧,是要我一台一台的去看嗎,有沒有其他方式

2010-03-30 15:45:00

回答:zyman2008( iT邦高手7級 )
時間:2010-03-30 19:59:58
1
從你對外的 NAT gateway上查吧, 看哪個內部 IP 的 session 數比較高或是同一個內部 IP 對外連向一堆不同的 destination IP. 這樣的連線行為都是比較可疑
的.
找到這幾個可疑的PC, 再去PC端做檢測.

[-隱藏]

回應 zyman2008

1

wenchan 說:

有到Firewall去看session 數,但都還好不會有某ip特別多的,也沒有可疑的port

2010-03-31 10:31:43

回答:sbee727( iT邦初學者7級 )
時間:2010-03-31 10:02:48
1
雖然我的方法比較沒那麼高竿~但是提共給大大參考
我是裝一套防火牆軟體,他會針對區網所有的ip跟port作紀錄,目前發現除了病毒木馬外,所有的im軟體,也會提高流量的偵測,所以建議你可以的話先請大家不要開im軟體,在進行觀察,相信可以查出有問題的電腦,可以省下很多時間...

[-隱藏]

回應 sbee727

1

wenchan 說:

不太可能不開im,業務都用im軟體在和客戶交流,所以公司並沒有封閉,公司也沒有說要封,我就沒什麼在管,是有在Firewall上擷取記錄,但只取錯誤的訊息,並沒有每個ip記錄,因為太多了

2010-03-31 10:35:00

回答:lraychee( iT邦初學者8級 )
時間:2010-03-31 10:05:02
1
可以從router,IDS...有紀錄連公司外網路的設備先著手
看看哪一各IP連線資料較多 再去查IP的PC是否中毒

參考資料:自身經驗

回應

請填寫您的回應,長度限為1,000個字,回應不計點數,也不限使用次數



 
▼ ADVERTISEMENT ▼


檢舉違規

違規事項:

*補充檢舉理由(可省略),字數不可超過100字

推薦

推薦理由:


*給回答者的鼓勵(可不填),字數不可超過100字

哈哈
毆飛
開心
抗議
落寞
睡覺
噴鼻血
No
失神
爆氣
疑惑
Orz
不耐煩
喜歡
臉紅
噎到
放手
打嗑睡
掰掰
放馬過來
敲碗
簽名
筆記
拍手
沙發
XD
無言
偷笑
翻桌
謝謝
灑花
抱抱
逃跑
炸死你
愛你
生日快樂
rock
嘆氣
下雨
衝刺
搖頭
拍照
打球
健身
駭客
射門
泡湯
踹共
唱歌
做菜

上傳圖片
▼ ADVERTISEMENT ▼

邦友收藏動態

最新收藏最多人推最多人收

新增收藏

收藏到iT邦 書籤小工具

「收藏到iT邦」讓你更方便收藏站外文章。可用下面其中一種方法安裝:

  • 拖拉上面的「收藏到iT邦」連結到瀏覽器的書籤列
  • 在連結上方按右鍵,選擇「加到我的最愛」

之後看到喜歡的站外文章,只要點一下「收藏到iT邦」,就會收藏起來囉

安裝「收藏快捷鍵」

安裝「收藏快捷鍵」,可以讓邦友直接透過Google工具列上的按扭,快速收藏站內、站外的網頁。

訂閱每日摘要

iT邦幫忙即日起提供「每日摘要」給尚未註冊的邦友,只要輸入您的E-mail,每日就可以收到最新的發問與分享