最近幾週都有收到電信業者傳來的E-mail中寫到"被偵測到有異常的 BO-CA-BrightStor-DiscSVC-UDP 對外攻擊行為, 這部電腦可能已經被病毒或惡意程式感染, 請利用防毒軟體掃描您的電腦"報告中偵測到的時間都顯示在晚上或在半夜,我已經把密碼做了更換但還是有相同的狀況發生,請問該如何解決???
Finally, lets setup a nightly cronjob and receive the report via email for review:
crontab -e
12 3 * * * /usr/sbin/chkrootkit | mail -s "chkrootkit Report : hostname.yourservername.com" user@domain.com
不好意思,這段我看不太懂!請問,這是甚麼意思?
排程掃描然後 e-mail 報告
hostname.yourservername.com" user@domain.com
請問,我是不是要寫兩次信箱?
"chkrootkit Report : hostname.yourservername.com" 是信件主旨
user@domain.com 才是你的信箱
建議將套件更新到最新
yum update -y
因為不知道您的狀況,那個攻擊行為也不清楚是啥,因此用如何讓電話早點安靜的角度,看能否幫您解決問題
1.該機器是否有重要檔案在上面,有的話請先備份資料
2.該機器是否為重要系統,有的話請在備份系統
3.該機器是否可以離線,可以的話,未免一直被警告甚至後面被一些安全建議組織列為危險網址/IP,請先將網路線拔除
4.該主機是否允許暫停服務一段時間,不行的話,請將資料備份後,立刻拿另一台電腦重安裝系統並設定,先用新機器去頂
5.該主機系統是否允許重新安裝,允許的話,這個會最方便,當然除了可以讓你更了解這個系統以外,也學不到啥東西了,不過有不少使用者會希望你用這招,趕快恢復
6.可以電話詢問該電信業者,請其提供對方認定為攻擊的依據,就是請對方將判斷的那段log節錄給您,是否有網路監控的手段與耐心,有的話,可以將此問題機器進行完全監控,通常來說,只要對方不是正不爽中,都能拿到(因應個資法,建議除了電話詢問外,可以用郵件給對方,然後副本給自己的老闆,並信件中註明:請提供判斷本單位進行攻擊行為的資料,以便判斷,避免對方不小心多提供了點資料招惹了小麻煩),記得最後加上幾句感謝對方的幫忙
7.上一個步驟能拿到的話,去看系統的記錄,看能否找到對應的動作
8.若是有監控系統的手段,將此問題系統完全監控,檢查整個監控資訊,去查看看有沒有那些動作是可能被判斷為攻擊行為的,然後再去找那些動作的來源
9.若上面三個步驟行不通或解決不了,又沒有外援,最後仍只有重建系統
PS:如果可以,重建系統時,最好能保留舊系統,避免重建有問題,還可以將舊系統離線開起來參考,甚至在新系統短期內建不起來的時候,讓舊系統繼續頂缸
PS2:舊系統有未知的問題,新系統的重建可以讓你更清楚每個動作,這時可以自建比較好的防火牆規則,當然,雖然在Linux中將軟體的相關檔案都被丟到新機器就能用,但最好還是自己用線上安裝,再手動重設定,麻煩但安全,也避免copy到就是問題的檔案
感謝您的建議。我先將系統還原,但還原後也還是會有這個問題。我打電話到電信業者客服詢問問題,經由客服轉交問題至工程師,工程師回應說:
經系統確認如下所述:此BO-CA-BrightStor-DiscSVC-UDP攻擊為利用BrightStor ARCserve Backup 11.1 的漏洞,對外部IP的41524 port發送UDP封包進行攻擊;BrightStor ARCserve Backup是備份系統,可備份用戶主機、伺服器、資料庫、應用程式及等等資料,(產品詳細內容網址:http://www.pcservice.com.tw/ees5.asp);有可能是該IP主機進行備份所造成,須請用戶確認該時間點是否有對外部進行正常連線,若為正常連線則可能為IPS誤判,若該時間點沒有對該目標IP進行連線,則建議持續觀察後續是否仍有事件觸發。
..........
所以你們是用他們的東西嗎?
假如你確定你這邊沒問題, 那就將東西寄給他們, 請他們設定一下白名單
至於說IPS誤判, 這個很正常
一般來說大封包大流量都有機率被判定有問題, 因為IPS預設就這樣
所以之前在學校單位的時候, 就有碰過幾次
學生再拉PPS, 產生多封包大流量, 我這邊就收到攻擊認定信件
學生在跟外點做"網路實驗", 產生大量小封包, 我這邊也收到攻擊認定信件.....
這種情況下, 只能將 PPS 似流量(查header)自己先擋掉
"網路實驗"請學生自己跟送信單位協調, 看是要定時定IP或對方完全開放都請自己想辦法
並以正式電子信件寄送副本給我, 我才將他的IP解鎖
那就將東西寄給他們
指log或其他可以佐證的資訊-----打太順手了....
可以參考一下這些文章與討論
http://blog.xuite.net/towns/hc/163410479
鳥哥 RootKit Hunter 後端偵測軟體之架設與執行
ithome討論:http://ithelp.ithome.com.tw/question/10119382
建議重裝一台乾淨的linux系統,然後裝上防毒防木馬的程式,
然後把你這個舊硬碟拿下來,接成第二顆,直接掃毒,這樣會比較乾淨
另外你可以看看log檔,都是在半夜,應該會有記錄,因為平常晚上使用者應該很少,很容易看到不正常活動