iT邦幫忙

0

AD內所有帳號都重複被鎖定

已查出有電腦正重複攻擊及TRY我們AD內所有帳號的密碼,由於密碼輸入錯誤3次就會自動鎖定,
平均每秒就會有3-5個帳號因輸入錯誤3次密碼遭鎖定,
已證實是愚人節變種定毒所致
各位前輩們有辦法解決嗎,即使是暫時抑制住也好,因為USER的動作如果需要到AD去存取就會馬上被鎖定,已經不堪其擾了

AD帳號約 3000組
使用防毒軟體: 賽門鐵克

病毒疑似:WORM_DOWNAD.AD

症狀 : 鎖住使用者帳戶

但IT實在人手不足---2個人...

有辦法解決這問題嗎??
拜託提供具體做法~

拜託各位大哥大姊~小弟快瘋了!~

魯大 iT邦高手 1 級 ‧ 2009-04-04 19:24:24 檢舉
哇~~
這種病毒實在是令人感到無力
才清完一台又有另一台
而且還會搞到server
頭會很大的..
37
smalllun
iT邦研究生 5 級 ‧ 2009-04-04 02:01:58
最佳解答

先查出哪幾台電腦
在利用
http://gordon1205.spaces.live.com/blog/cns!FD67E445E1ACA20D!1538.entry?wa=wsignin1.0&sa=350110162
這位大大的方式解決看看。

37
tom6507
iT邦大師 1 級 ‧ 2009-04-04 09:13:25

先切割網段,也就是說先將某一網段的IP不通,藉此將分離出感染病毒的電腦(或者在AD的事件檢視器中也可以看到是哪台電腦不斷的登入失敗),這樣不至於全公司的電腦都出問題。

解毒的部分就看樓上的smalllun大提供的解法囉。

31
fashionstyle
iT邦新手 2 級 ‧ 2009-04-06 09:25:01

我之前也有中過類似的病毒~應該跟你說的一樣
這邊有網址
http://blog.fashion-style.com.tw/2009/02/05/conficker-b/
http://blog.fashion-style.com.tw/2009/04/02/conficker-mutation/
希望可以幫到你

27
lolo
iT邦新手 4 級 ‧ 2009-04-07 14:38:13

之前我的公司有出現跟你一模一樣的情況,就是網域使用者帳號會迅速被鎖住,這代表有病毒不斷在試帳號,導致網域使用者帳號被鎖住,Domain Admin也不例外被鎖,這種情況處理比較麻煩,搞了快一星期才慢慢穩住下來。不過我們公司發現的病毒為conficker,也許是你的病毒的前身,是針對微軟作業系統漏洞的攻擊病毒,它會透過網路傳染給網路內的其他電腦(機房也不例外),也會透過隨身碟途徑來傳播,所以以下是建議處理的方法供你做參考:
1.千萬別讓系統管理者帳號被鎖住,不然AD會進不去,到時麻煩就大了,(登入DC,關掉螢幕保護程式,千萬不要登出,直到問題解決。)

2.先將每台電腦的防毒軟體更新到最新,它可以擋住後續再次感染的問題發生,以免有交叉感染的情況。

3.每一台電腦(使用者電腦跟server)都要更新到最新的patch,如果有電腦無法更新應該是跟病毒有關,因為它會讓你無法到微軟網站做更新,所以可以去利用微軟的惡意移除程式去移除此病毒,目前微軟官網有3月最新版的惡意移除程式提供下載。

4.如果防毒都更新到最新,patch也都更新了,就要一台一台做病毒移除的工作,可以每台電腦執行微軟惡意移除程式再加上賽門鐵克防毒軟體一起掃毒來移除病毒,只要移除過後的電腦,因為此電腦防毒軟體更新,patch也更新,就應該會不再次感染。

5.最後記得系統管理員的密碼要重新設定會比較安全,以免密碼已經被駭客是帳號測到成功。

目前我們公司是用eset nod32 antivirus!

祝你好運!

19
yuarchie
iT邦新手 2 級 ‧ 2009-04-24 09:37:56

先請user將密碼都改成複雜密碼, 然後GPO上的lock account次數改成一個較大的值, 我想應該可以拖一點時間給你去解毒~

我要發表回答

立即登入回答