iT邦幫忙

0

最近幾週都有收到電信業者傳來的E-mail中寫到"被偵測到有異常的 BO-CA-BrightStor-DiscSVC-UDP 對外攻擊行為, 這部電腦可能已經被病毒或惡意程式感染, 請利用防毒軟體掃描您的電腦"報告中偵測到的時間都顯示在晚上或在半夜,我已經把密碼做了更換但還是有相同的狀況發生,請問該如何解決???哭

jason1966 iT邦新手 1 級 ‧ 2013-11-20 11:40:35 檢舉
換密碼是沒用的! 因為惡意程式已經在裡面了,他早就建好自己的帳號
請檢查系統內帳號、程式...有的搞了 哈
最快的方法重裝一台 cc
ko2253 iT邦新手 5 級 ‧ 2013-11-20 12:39:49 檢舉
請問,系統自動產生的帳號與惡意程式產生的帳號要如何辨識?
jason1966 iT邦新手 1 級 ‧ 2013-11-20 22:04:17 檢舉
辨識帳號? 那點有困難,把帳號清點一下吧!
但你就算把帳號清點完了,只要系統的漏洞還在的話,對方要再進來應該也不是太難的事
我建議找外部顧問來做資安的健診
因為你在這邊問...我非常懷疑能有人給你很完整的"方案"
有些事是有代價的.
16
hon2006
iT邦大師 1 級 ‧ 2013-11-20 11:07:58
最佳解答
看更多先前的回應...收起先前的回應...
ko2253 iT邦新手 5 級 ‧ 2013-11-20 12:43:56 檢舉

Finally, lets setup a nightly cronjob and receive the report via email for review:
crontab -e
12 3 * * * /usr/sbin/chkrootkit | mail -s "chkrootkit Report : hostname.yourservername.com" user@domain.com

不好意思,這段我看不太懂!請問,這是甚麼意思?

hon2006 iT邦大師 1 級 ‧ 2013-11-20 13:37:53 檢舉

排程掃描然後 e-mail 報告

hon2006 iT邦大師 1 級 ‧ 2013-11-20 13:40:10 檢舉
ko2253 iT邦新手 5 級 ‧ 2013-11-20 14:04:07 檢舉

hostname.yourservername.com" user@domain.com

請問,我是不是要寫兩次信箱?

hon2006 iT邦大師 1 級 ‧ 2013-11-20 15:33:19 檢舉

"chkrootkit Report : hostname.yourservername.com" 是信件主旨
user@domain.com 才是你的信箱

hon2006 iT邦大師 1 級 ‧ 2013-11-20 15:34:31 檢舉

建議將套件更新到最新
yum update -y

ko2253 iT邦新手 5 級 ‧ 2013-11-20 17:02:05 檢舉

感謝您,我試試看!

ko2253 iT邦新手 5 級 ‧ 2013-11-21 21:17:33 檢舉

我照著指令KEY IN 無法下載,請問該怎麼辦!!

hon2006 iT邦大師 1 級 ‧ 2013-11-22 16:26:40 檢舉

http://linux.vbird.org/
先看基礎文件再看安全管理

12
ted99tw
iT邦高手 1 級 ‧ 2013-11-20 10:34:29

不要在固定時間發動攻擊,有空兵法讀一下...

10
halawing
iT邦新手 2 級 ‧ 2013-11-22 15:53:16

因為不知道您的狀況,那個攻擊行為也不清楚是啥,因此用如何讓電話早點安靜的角度,看能否幫您解決問題
1.該機器是否有重要檔案在上面,有的話請先備份資料
2.該機器是否為重要系統,有的話請在備份系統
3.該機器是否可以離線,可以的話,未免一直被警告甚至後面被一些安全建議組織列為危險網址/IP,請先將網路線拔除
4.該主機是否允許暫停服務一段時間,不行的話,請將資料備份後,立刻拿另一台電腦重安裝系統並設定,先用新機器去頂
5.該主機系統是否允許重新安裝,允許的話,這個會最方便,當然除了可以讓你更了解這個系統以外,也學不到啥東西了,不過有不少使用者會希望你用這招,趕快恢復
6.可以電話詢問該電信業者,請其提供對方認定為攻擊的依據,就是請對方將判斷的那段log節錄給您,是否有網路監控的手段與耐心,有的話,可以將此問題機器進行完全監控,通常來說,只要對方不是正不爽中,都能拿到(因應個資法,建議除了電話詢問外,可以用郵件給對方,然後副本給自己的老闆,並信件中註明:請提供判斷本單位進行攻擊行為的資料,以便判斷,避免對方不小心多提供了點資料招惹了小麻煩),記得最後加上幾句感謝對方的幫忙
7.上一個步驟能拿到的話,去看系統的記錄,看能否找到對應的動作
8.若是有監控系統的手段,將此問題系統完全監控,檢查整個監控資訊,去查看看有沒有那些動作是可能被判斷為攻擊行為的,然後再去找那些動作的來源
9.若上面三個步驟行不通或解決不了,又沒有外援,最後仍只有重建系統
PS:如果可以,重建系統時,最好能保留舊系統,避免重建有問題,還可以將舊系統離線開起來參考,甚至在新系統短期內建不起來的時候,讓舊系統繼續頂缸
PS2:舊系統有未知的問題,新系統的重建可以讓你更清楚每個動作,這時可以自建比較好的防火牆規則,當然,雖然在Linux中將軟體的相關檔案都被丟到新機器就能用,但最好還是自己用線上安裝,再手動重設定,麻煩但安全,也避免copy到就是問題的檔案

ko2253 iT邦新手 5 級 ‧ 2013-12-02 09:55:13 檢舉

感謝您的建議。我先將系統還原,但還原後也還是會有這個問題。我打電話到電信業者客服詢問問題,經由客服轉交問題至工程師,工程師回應說:
經系統確認如下所述:此BO-CA-BrightStor-DiscSVC-UDP攻擊為利用BrightStor ARCserve Backup 11.1 的漏洞,對外部IP的41524 port發送UDP封包進行攻擊;BrightStor ARCserve Backup是備份系統,可備份用戶主機、伺服器、資料庫、應用程式及等等資料,(產品詳細內容網址:http://www.pcservice.com.tw/ees5.asp);有可能是該IP主機進行備份所造成,須請用戶確認該時間點是否有對外部進行正常連線,若為正常連線則可能為IPS誤判,若該時間點沒有對該目標IP進行連線,則建議持續觀察後續是否仍有事件觸發。

..........

halawing iT邦新手 2 級 ‧ 2013-12-05 14:02:04 檢舉

所以你們是用他們的東西嗎?
假如你確定你這邊沒問題, 那就將東西寄給他們, 請他們設定一下白名單

至於說IPS誤判, 這個很正常
一般來說大封包大流量都有機率被判定有問題, 因為IPS預設就這樣
所以之前在學校單位的時候, 就有碰過幾次
學生再拉PPS, 產生多封包大流量, 我這邊就收到攻擊認定信件
學生在跟外點做"網路實驗", 產生大量小封包, 我這邊也收到攻擊認定信件.....
這種情況下, 只能將 PPS 似流量(查header)自己先擋掉
"網路實驗"請學生自己跟送信單位協調, 看是要定時定IP或對方完全開放都請自己想辦法
並以正式電子信件寄送副本給我, 我才將他的IP解鎖

halawing iT邦新手 2 級 ‧ 2013-12-05 14:03:27 檢舉

那就將東西寄給他們

指log或其他可以佐證的資訊-----打太順手了....

6
towns
iT邦新手 5 級 ‧ 2013-11-22 18:38:07

可以參考一下這些文章與討論
http://blog.xuite.net/towns/hc/163410479
鳥哥 RootKit Hunter 後端偵測軟體之架設與執行
ithome討論:http://ithelp.ithome.com.tw/question/10119382

4
def123452002
iT邦新手 5 級 ‧ 2013-11-26 21:14:26

建議重裝一台乾淨的linux系統,然後裝上防毒防木馬的程式,
然後把你這個舊硬碟拿下來,接成第二顆,直接掃毒,這樣會比較乾淨

另外你可以看看log檔,都是在半夜,應該會有記錄,因為平常晚上使用者應該很少,很容易看到不正常活動

我要發表回答

立即登入回答