求救~~LINUX CentOS

木馬程式病毒 linux 防火牆防毒伺服器系統管理惡意程式資訊安全

ko2253 2013-11-20 09:52:43 ‧ 13391 瀏覽

分享至

最近幾週都有收到電信業者傳來的E-mail中寫到"被偵測到有異常的 BO-CA-BrightStor-DiscSVC-UDP 對外攻擊行為, 這部電腦可能已經被病毒或惡意程式感染, 請利用防毒軟體掃描您的電腦"報告中偵測到的時間都顯示在晚上或在半夜，我已經把密碼做了更換但還是有相同的狀況發生，請問該如何解決???

jason1966 iT邦新手 1 級 ‧ 2013-11-20 11:40:35 檢舉

換密碼是沒用的! 因為惡意程式已經在裡面了，他早就建好自己的帳號
請檢查系統內帳號、程式...有的搞了哈
最快的方法重裝一台 cc

ko2253 iT邦新手 5 級 ‧ 2013-11-20 12:39:49 檢舉

請問，系統自動產生的帳號與惡意程式產生的帳號要如何辨識?

jason1966 iT邦新手 1 級 ‧ 2013-11-20 22:04:17 檢舉

辨識帳號? 那點有困難,把帳號清點一下吧!
但你就算把帳號清點完了，只要系統的漏洞還在的話，對方要再進來應該也不是太難的事
我建議找外部顧問來做資安的健診
因為你在這邊問...我非常懷疑能有人給你很完整的"方案"
有些事是有代價的.

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

hon2006

iT邦大師 1 級 ‧ 2013-11-20 11:07:58

最佳解答

安裝 Chkrootkit 掃後門
http://www.stephenlang.net/2013/06/malware-detection-chkrootkit/

安裝掃毒軟體
http://centminmod.com/avg_antivirus_free.html

回應 9
分享
檢舉

看更多先前的回應...收起先前的回應...

ko2253 iT邦新手 5 級 ‧ 2013-11-20 12:43:56 檢舉

Finally, lets setup a nightly cronjob and receive the report via email for review:
crontab -e
12 3 * * * /usr/sbin/chkrootkit | mail -s "chkrootkit Report : hostname.yourservername.com" user@domain.com

不好意思，這段我看不太懂!請問，這是甚麼意思?

hon2006 iT邦大師 1 級 ‧ 2013-11-20 13:37:53 檢舉

排程掃描然後 e-mail 報告

hon2006 iT邦大師 1 級 ‧ 2013-11-20 13:40:10 檢舉

crontab

http://linux.vbird.org/linux_basic/redhat6.1/linux_11cron.php
http://linux.vbird.org/linux_basic/0430cron.php

ko2253 iT邦新手 5 級 ‧ 2013-11-20 14:04:07 檢舉

hostname.yourservername.com" user@domain.com

請問，我是不是要寫兩次信箱?

hon2006 iT邦大師 1 級 ‧ 2013-11-20 15:33:19 檢舉

"chkrootkit Report : hostname.yourservername.com" 是信件主旨
user@domain.com 才是你的信箱

hon2006 iT邦大師 1 級 ‧ 2013-11-20 15:34:31 檢舉

建議將套件更新到最新
yum update -y

ko2253 iT邦新手 5 級 ‧ 2013-11-20 17:02:05 檢舉

感謝您，我試試看!

ko2253 iT邦新手 5 級 ‧ 2013-11-21 21:17:33 檢舉

我照著指令KEY IN 無法下載，請問該怎麼辦!!

hon2006 iT邦大師 1 級 ‧ 2013-11-22 16:26:40 檢舉

http://linux.vbird.org/
先看基礎文件再看安全管理

登入發表回應

ted99tw

iT邦高手 1 級 ‧ 2013-11-20 10:34:29

不要在固定時間發動攻擊，有空兵法讀一下...

回應
分享
檢舉

登入發表回應

halawing

iT邦新手 2 級 ‧ 2013-11-22 15:53:16

因為不知道您的狀況，那個攻擊行為也不清楚是啥，因此用如何讓電話早點安靜的角度，看能否幫您解決問題
１．該機器是否有重要檔案在上面，有的話請先備份資料
２．該機器是否為重要系統，有的話請在備份系統
３．該機器是否可以離線，可以的話，未免一直被警告甚至後面被一些安全建議組織列為危險網址/IP，請先將網路線拔除
４．該主機是否允許暫停服務一段時間，不行的話，請將資料備份後，立刻拿另一台電腦重安裝系統並設定，先用新機器去頂
５．該主機系統是否允許重新安裝，允許的話，這個會最方便，當然除了可以讓你更了解這個系統以外，也學不到啥東西了，不過有不少使用者會希望你用這招，趕快恢復
６．可以電話詢問該電信業者，請其提供對方認定為攻擊的依據，就是請對方將判斷的那段log節錄給您，是否有網路監控的手段與耐心，有的話，可以將此問題機器進行完全監控，通常來說，只要對方不是正不爽中，都能拿到（因應個資法，建議除了電話詢問外，可以用郵件給對方，然後副本給自己的老闆，並信件中註明：請提供判斷本單位進行攻擊行為的資料，以便判斷，避免對方不小心多提供了點資料招惹了小麻煩），記得最後加上幾句感謝對方的幫忙
７．上一個步驟能拿到的話，去看系統的記錄，看能否找到對應的動作
８．若是有監控系統的手段，將此問題系統完全監控，檢查整個監控資訊，去查看看有沒有那些動作是可能被判斷為攻擊行為的，然後再去找那些動作的來源
９．若上面三個步驟行不通或解決不了，又沒有外援，最後仍只有重建系統
ＰＳ：如果可以，重建系統時，最好能保留舊系統，避免重建有問題，還可以將舊系統離線開起來參考，甚至在新系統短期內建不起來的時候，讓舊系統繼續頂缸
ＰＳ２：舊系統有未知的問題，新系統的重建可以讓你更清楚每個動作，這時可以自建比較好的防火牆規則，當然，雖然在Linux中將軟體的相關檔案都被丟到新機器就能用，但最好還是自己用線上安裝，再手動重設定，麻煩但安全，也避免copy到就是問題的檔案

回應 3
分享
檢舉

ko2253 iT邦新手 5 級 ‧ 2013-12-02 09:55:13 檢舉

感謝您的建議。我先將系統還原，但還原後也還是會有這個問題。我打電話到電信業者客服詢問問題，經由客服轉交問題至工程師，工程師回應說:
經系統確認如下所述：此BO-CA-BrightStor-DiscSVC-UDP攻擊為利用BrightStor ARCserve Backup 11.1 的漏洞，對外部IP的41524 port發送UDP封包進行攻擊；BrightStor ARCserve Backup是備份系統，可備份用戶主機、伺服器、資料庫、應用程式及等等資料，(產品詳細內容網址：http://www.pcservice.com.tw/ees5.asp)；有可能是該IP主機進行備份所造成，須請用戶確認該時間點是否有對外部進行正常連線，若為正常連線則可能為IPS誤判，若該時間點沒有對該目標IP進行連線，則建議持續觀察後續是否仍有事件觸發。

..........

halawing iT邦新手 2 級 ‧ 2013-12-05 14:02:04 檢舉

所以你們是用他們的東西嗎?
假如你確定你這邊沒問題, 那就將東西寄給他們, 請他們設定一下白名單

至於說IPS誤判, 這個很正常
一般來說大封包大流量都有機率被判定有問題, 因為IPS預設就這樣
所以之前在學校單位的時候, 就有碰過幾次
學生再拉PPS, 產生多封包大流量, 我這邊就收到攻擊認定信件
學生在跟外點做"網路實驗", 產生大量小封包, 我這邊也收到攻擊認定信件.....
這種情況下, 只能將 PPS 似流量(查header)自己先擋掉
"網路實驗"請學生自己跟送信單位協調, 看是要定時定IP或對方完全開放都請自己想辦法
並以正式電子信件寄送副本給我, 我才將他的IP解鎖