iT邦幫忙

0

如何查是那台電腦中毒

收到hinet寄來的訊息
您的內部主機: xx.xx.xx.07, 被偵測到有大量異常的 XSS-script-method2 對外可疑攻擊行為, 這部電腦可能已經被病毒或惡意程式感染, 請利用防毒軟體掃描您的電腦.
xx.xx.xx.07是對外的ip,要怎麼知道是內部那一台電腦有中毒?
公司有台procurve switch2650,有個地方可以看流量,但如下有6個數據,我該看那一個數據越大越有問題?還是都看不出來

1.Mcast Rx : Total number of multicast packets received by the port.
2.Mcast Tx: Total number of multicast packets transmitted to the port.
3.Bcast Rx: Total number of broadcast packets received by the port.
4.Bcast Tx: Total number of broadcast packets transmitted to the port.
5.Pkts Rx : Total number of packets received by the port.
6.Pkts Tx: Total number of packets transmitted to the port.

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
6
cklin
iT邦新手 2 級 ‧ 2010-03-31 10:08:22
最佳解答

1.從Hinet提供的資訊裡,還有個地方可以下手”大量異常的 XSS-script-method2 ”
上網孤狗一下,先了解一下這一個可疑的攻擊行為,看起來應該是網頁攻擊,
這樣又多了一條線索可以查,找上網的流量紀錄,如果有Proxy Server,就查Proxy Log;如果有Firewall 就監視HTTP Port80......
參考 http://huaidan.org/archives/2619.html

2.單從網路設備來看,這部分對於數據的敏感度就要提高
首先必須知道大部分的病毒/蠕蟲攻擊行為(含少量的木馬),是透過網路掃描ARP方式來搜尋可攻擊的IP位址,因此就必須透過網路廣播封包(broadcast packets)的方式來進行......
Bingo! 答對了,就從6大數據裡的 〔3.Bcast Rx: Total number of broadcast packets received by the port.〕來收集分析,在單位時間內封包數增長最快的就是'疑凶'
但怎樣的增長量才可能是真正的兇手,這必須靠經驗的累積與敏感度,這是件苦差事,現在已經很少人會這樣做了。
而且新一代的病毒/蠕蟲/木馬攻擊行為,已經進化不再採暴力發作擴散方式,這個數據就不太有用途。
不過,太異常的廣播封包(broadcast packets)量還是值得注意。

想當年,小弟只有近千台網路設備的管理權限,沒有PC的管理權限,也沒有Firewall或Proxy Server的管理權限,但仍然是MIS裡最早發現病毒活動的一員,靠的就是這種方法。

wenchan iT邦新手 5 級 ‧ 2010-03-31 10:45:43 檢舉

XSS-script-method2 網頁攻擊,那是不是上了不該上的網頁能造成的,若關掉此網頁,應該就沒了吧,但有沒有什麼軟體對異常的封包可以通知mis,因為等hinet傳來時再去看,好像看起來都正常,都是被動等通知,又沒辦法天天每分每秒都去觀查封包和流量,都事後被告知,請問大大們是怎麼發覺有問題有異常,還是都被動式,等別人來告知

cklin iT邦新手 2 級 ‧ 2010-03-31 11:37:30 檢舉

〔XSS-script-method2 網頁攻擊,那是不是上了不該上的網頁能造成的,若關掉此網頁,應該就沒了吧〕
這個說法對一半,這一半指的是內對外多對一的攻擊行為,有針對特定的網頁,才能關掉網頁。
另一半是內對外一對多甚至多對多的網頁攻擊行為,那就不是關閉網頁連接的方式,
一對多還好找,找到內部的那一台中毒的機器清除就好。
但如果是多對多,那就只能透過Proxy Log或網路設備來分析。

〔但有沒有什麼軟體對異常的封包可以通知mis,因為等hinet傳來時再去看,好像看起來都正常,都是被動等通知,又沒辦法天天每分每秒都去觀查封包和流量,都事後被告知,請問大大們是怎麼發覺有問題有異常,還是都被動式,等別人來告知〕
軟體的部分,可以試著用Sniffer類型的封包分析軟體來看,如Wireshark的Analyze選單下的Expert Info。
硬體的部分,簡單的IDP/IDS都可以主動對異常的封包來發通知。

〔又沒辦法天天每分每秒都去觀查封包和流量〕這是一般的推託之詞,作網管要能主動出擊
首先要有一部網路分析的主機,另外網管工程師需要對SNMP(簡單網路管理協定)及Shell Script語法有所了解
利用Linux平台Cron Job 的時間工作排定,透過snmpget對每一個設備每個Port的Bcast Rx MIB數值抓出作運算比較,單位時間內增長量超過限定的數值就主動發出Mail出來。Mail裡包含時間、來源mac.....等一些有用的資訊
這是作主動網管的基本演算法模型。

最近發現Windows Server 2008 也有一個類似的P-Shell可以使用:)

2
edenfwu
iT邦新手 5 級 ‧ 2010-03-30 15:40:33

可以到各台PC上檢查程序管理員
看有沒有未使用的PC
它的Loading卻很重
那台PC就有問題了

wenchan iT邦新手 5 級 ‧ 2010-03-30 15:45:00 檢舉

不會吧,是要我一台一台的去看嗎,有沒有其他方式

2
zyman2008
iT邦大師 6 級 ‧ 2010-03-30 19:59:58

從你對外的 NAT gateway上查吧, 看哪個內部 IP 的 session 數比較高或是同一個內部 IP 對外連向一堆不同的 destination IP. 這樣的連線行為都是比較可疑
的.
找到這幾個可疑的PC, 再去PC端做檢測.

wenchan iT邦新手 5 級 ‧ 2010-03-31 10:31:43 檢舉

有到Firewall去看session 數,但都還好不會有某ip特別多的,也沒有可疑的port

2
sbee727
iT邦新手 2 級 ‧ 2010-03-31 10:02:48

雖然我的方法比較沒那麼高竿~但是提共給大大參考
我是裝一套防火牆軟體,他會針對區網所有的ip跟port作紀錄,目前發現除了病毒木馬外,所有的im軟體,也會提高流量的偵測,所以建議你可以的話先請大家不要開im軟體,在進行觀察,相信可以查出有問題的電腦,可以省下很多時間...

wenchan iT邦新手 5 級 ‧ 2010-03-31 10:35:00 檢舉

不太可能不開im,業務都用im軟體在和客戶交流,所以公司並沒有封閉,公司也沒有說要封,我就沒什麼在管,是有在Firewall上擷取記錄,但只取錯誤的訊息,並沒有每個ip記錄,因為太多了

2
RL
iT邦新手 3 級 ‧ 2010-03-31 10:05:02

可以從router,IDS...有紀錄連公司外網路的設備先著手
看看哪一各IP連線資料較多 再去查IP的PC是否中毒

我要發表回答

立即登入回答