iT邦幫忙

0

( 急 ) 未知的外掛ftp server 被安裝在自己主機上

各位邦友好:

最近公司的網路不穩,在前幾天又接到hinet的警告通知信
(本公司接獲申訴說明您的電腦持續對其它用戶
或單位發動網路攻擊行為,並已影響對方主機)

後來發現自己的web主機被外掛一個不知道的 ftp server 程式(如圖)

請問要怎麼"乾淨"的移除?
這個方面小弟不是很清楚要怎麼做,請大家不吝指教。
( 該程式的資料夾在d槽下,但要強制刪除會出 lpk.vdll 執行中)

煩請幫忙~ 謝謝

16
vino1
iT邦大師 1 級 ‧ 2012-01-19 11:13:22
最佳解答

您這台server有沒有安裝防毒軟體?! lpk.vdll 這個檔案好幾家的防毒都說是病毒
http://r.virscan.org/573f7b5be7c33c7f535726c9b2379bb9

請您先下載底下掃毒軟體 - Mcafee Command line VirusScan
http://www.mediafire.com/?bqvk2230umpsh4k

Malwarebytes Anti-Malware 免安裝版
http://www.soft8.tw/soft/Malwarebytes-Anti-Malware-888.html

拿到乾淨無病毒的電腦將兩套軟體解壓縮到隨身碟, 執行裡面的 dp_virscan.exe
先按左下角的 Update 更新最新病毒碼, 更新完畢後關閉程式
然後再執行 Malwarebytes Anti-Malware 免安裝版, 也是更新特徵碼後關閉

將上述兩套軟體 COPY 進 SERVER C槽,
server 重開機按 F8 進安全模式先執行 dp_virscan.exe
然後掃你 server 內所有硬碟, 先把能夠掃除的病毒先掃乾淨~
掃完病毒後重新正常開機, 再執行 Malwarebytes Anti-Malware 免安裝版
掃看看有無木馬及惡意程式~

最後, 該上的修補程式上一上, 防毒軟體常保更新, 有防火牆的話把該所的 PORT 都鎖掉~

看更多先前的回應...收起先前的回應...
小成 iT邦高手 10 級 ‧ 2012-01-19 11:54:20 檢舉

進XPE掃毒比較好
安全模式還是可能會掃不出來

小成 iT邦高手 10 級 ‧ 2012-01-19 11:55:29 檢舉

講錯= =
Windows PE才對

vino1 iT邦大師 1 級 ‧ 2012-01-19 12:09:27 檢舉

我本來也是要寫 XPE ... 怕人家沒有咩~

vino1提到:
怕人家沒有

嗯啊,發問者還不太熟悉呢

離線掃毒,我會推薦趨勢的Sysclean

themomo12 iT邦新手 5 級 ‧ 2012-01-19 14:16:10 檢舉

謝謝以上幾位邦友的回應

本人確實不熟悉,第一次遇到這種狀況也不是很清楚要怎麼處理。

lraychee iT邦新手 3 級 ‧ 2012-01-20 09:28:28 檢舉

用Windows PE開機 掃毒軟體放在隨身碟 執行掃毒軟體 掃一下毒
不過...這不是治本的方法 畢竟掃毒軟體不能完全掃出病毒 重新安裝系統是比較好選項
建議先掃毒 另外安裝一台SERVER[先撐著用] 最後替換掉這台有問題的SERVER
重新將有問題的SERVER安裝完成 再換回來
若有資料庫 可以先備份 再還原 應該不會有問題

10
aeolus0829
iT邦研究生 4 級 ‧ 2012-01-19 09:23:50

從您桌面上的程式判斷:重灌比較快

重灌完記得權限要分好,不需要用系統管理員做的事,就用一般使用者權限去做就好

能不裝的軟䯤就不要裝 (這是您的個人主機沒錯吧?不是伺服器吧?)

如果真的不想重灌,可以先重開機,然後按 [f8] 進安全模式,把那個 d: 的 ftp server 刪掉

不過~ 效果不會很好,試試吧

themomo12 iT邦新手 5 級 ‧ 2012-01-19 09:26:27 檢舉

你好

謝謝您的回應

不過這是 公司端的 web mail主機
還有連結sql資料庫
(系統是w 2003 r2)

所以沒有辦法重灌 >"<

非常謝謝你的回答。

Albert iT邦高手 1 級 ‧ 2012-01-20 17:24:27 檢舉

是不會重灌
也沒有備份機
哪有 [沒有辦法重灌] 這種事
如果主機掛了! 你的備份機在哪裡 !

14
ak4780158
iT邦研究生 5 級 ‧ 2012-01-19 09:47:01

很明顯的,web mail主機非常非常不安全= ="
http://f.virscan.org/LPK.VDLL.html

不但非必要的軟體安裝過多,而且對方還是從大陸的180.124.62.13連線存取資料
所以作業系統、防毒軟體、硬體防火牆規則、對外IP限制、RDP連線等等都要重新再設定

如果系統沒辦法重灌的話,先將防火牆的規則重新定義,至少讓對方先無法連線

再安裝好一點的防毒軟體,將LPK.VDLL移除,以及清除系統暫存檔,有很多免費軟體可以使用(CCLeaner、EFix、小紅傘)

themomo12 iT邦新手 5 級 ‧ 2012-01-19 14:13:42 檢舉

謝謝你的回答~

最不解的是為什麼有辦法連結進來,之前掃毒還掃出不少隻木馬出來。

ak4780158 iT邦研究生 5 級 ‧ 2012-01-19 15:38:08 檢舉

這個軟體是Ftp服务器 V2.5 简体中文版,因為檔案很小常常被黑客拿來植入肉鸡的電腦內
暈
對方將PORT也特地改成8000,自動啟動服務,連線帳密都設123,由180.124.62.13連線到主機然後變成殭屍電腦攻擊其它用戶= ="

電腦已經被植入木馬大開門戶了,反向連接穿越防火牆自然有辦法連結進來

12
jackwan
iT邦研究生 4 級 ‧ 2012-01-19 10:58:06

FTP 似乎不會主動攻擊, 會不會是 IIS 中 SMTP 被人當跳板寄廣告信?
如果沒用就關閉它, 或限制發信的網段.

另外! Server是否安裝防毒軟體?

themomo12 iT邦新手 5 級 ‧ 2012-01-19 14:16:42 檢舉

謝謝您的回答

請問要怎麼關閉呢?

8
louis1w
iT邦新手 3 級 ‧ 2012-01-19 13:40:38

怎麼這麼扯蛋?
廠商施工最好要在旁監看 廠商有需求也別讓廠商自己胡來
這個案子 判斷是機房某設備商施工 留下的垃圾
不然你麻煩大了 先釐清來源吧

看更多先前的回應...收起先前的回應...
themomo12 iT邦新手 5 級 ‧ 2012-01-19 14:15:09 檢舉

跟大大一樣~ 我也覺得扯到翻過去~ 囧

這是最近才發生的事情,這台主機已經用了五,六年以上了。

vino1 iT邦大師 1 級 ‧ 2012-01-19 14:55:24 檢舉

防毒軟體五六年來, 有確實的在更新病毒碼嗎?!

fdlintw iT邦研究生 4 級 ‧ 2012-01-19 17:03:02 檢舉

這類的情況都是被人利用微軟的漏洞,然後再將檔案置入到你的主機內
你應該是沒完整的安裝微軟更新(系統含sql)、或是vnc版本過舊有漏洞之類的

還有個比較特別的是…
這類的情況發生後,在你的event log中幾乎都會有記錄存在
像是有莫名奇妙的怪帳號在登入系統使用、莫名奇妙的服務已經安裝在使用中、帳號中也被建立好幾個$開頭的不明帳號

處理方式其實也不困難,就是把他建的帳號、目錄全砍了
如果像你的情況,只需要到服務中找到他執行的那個ftp服務,停用後即能移除掉
再來就是安裝完整的更新,檢查其他軟體的漏洞。這樣就可以恢復正常運作了。

有台web對外時,就會有這種情況發生。深入反省,也都是自己偷懶造成的居多((二種我都受害過))

vino1 iT邦大師 1 級 ‧ 2012-01-19 17:09:41 檢舉

廠商網頁寫的不好也會..SQL Injection .. IIS 先架個 UrlScan 來做基本的防護~

12
johnnyboy
iT邦新手 5 級 ‧ 2012-01-19 17:38:46

先在安全模式下做全機病毒掃描,再安裝最新的防毒軟體與更新病毒碼!!
也要將OS的hotfix更新到最新,如有木馬或是病毒更改登錄檔或是下載執行異常程式檔案或是開port,防毒軟體也會有相關log可找線索,先把內憂處理掉再看外患的問題,會比較簡單一點!!
給您參考!!

16
darkskyline
iT邦新手 3 級 ‧ 2012-01-20 08:30:39

先裝個軟體防火牆,關閉所有木馬軟體對外的連線存取,然後就可以有比較充分的時間處理這台主機上的問題了.

14
davidliu9116
iT邦研究生 3 級 ‧ 2012-01-20 09:17:38

1.先將電腦離線
2.將主機先行備份
3.若主機沒有組RAID,請將硬碟拆出至確認非常乾淨的主機接入為第二顆硬碟進行掃毒及木馬
4.若主機有組RAID,請使用XPE或進入安全模式進行掃毒及木馬
5.最安全的做法仍然是重灌系統,再安裝防毒體,更新系統及防毒軟體
6.絕對不要使用破解軟體或是非法軟體,因為你不知道裡面有什麼後門

我要發表回答

立即登入回答