各位前輩好,之前已有提出相關問題,無奈事情尚未完全解決,所以再次提出求解:
請見:http://ithelp.ithome.com.tw/question/10150174
日前經由查證,是Server (Mac OS X Server)一直發出攻擊到國外。
一開始是:
風險:Low 攻擊名稱:Anomaly-UDP-dest-port-0
每天上千次,每週上萬次。
之後,我將server全機掃描並刪除了病毒後,次數名顯的下降,變為每日5次以下,前天及甚至為0。
但昨天赫然發現,然後就出現了:
風險:medium 攻擊名稱:BO-Sentinel-License-Manager (port 5093) (6次)
風險:Low 攻擊名稱:Anomaly-UDP-dest-port-0 (20次)
且我再次掃毒後,發現另外的病毒,在我刪除後,重開機再次掃毒,竟又出現在其它的file中!
昨天的報表(中華電信的資安鑑隊) 來源IP及目標IP皆為同一個……不知是否被駭了呢?!
以下是我們這台server的資訊:
我沒有從防火牆這方面著手,因為病毒看起來在內部亂跑,所以我覺得還是要把問題處理掉…。
只是我不曉得這種問題該如何處理?是否有方法(指令)或工具可以反查這病毒的來源?(像是可以查這病毒是從哪個USER存取的?)
不然感覺都治標不治本…
請各位前輩幫忙指導,謝謝!!
清點一下x server 的帳號及權限
是file server,所以每個人最基本都有使用此Server的其中一個file的權限,再依需求設定其他files的權限。
作業系統及應用系統的修補是不是都安裝了?
都已更新到最新了。
作業系統及應用系統的權限相關的設定是否有賦與太高不需要的權限?
基本上都是依部門需求下去設定的,所以這個應該沒有問題。
您的意思是權限太高會造成我這情況發生嗎?
謝謝。
日前經由查證,是Server (Mac OS X Server)一直發出攻擊到國外。
一開始是:
風險:Low 攻擊名稱:Anomaly-UDP-dest-port-0
每天上千次,每週上萬次。
之後,我將server全機掃描並刪除了病毒後,次數名顯的下降,變為每日5次以下,前天及甚至為0。
但昨天赫然發現,然後就出現了:
風險:medium 攻擊名稱:BO-Sentinel-License-Manager (port 5093) (6次)
風險:Low 攻擊名稱:Anomaly-UDP-dest-port-0 (20次)
從那裡得到上面的資訊? 60C ?
且我再次掃毒後,發現另外的病毒......
用一般 pc 掃 Server ?
Server 本身裝那一種防毒軟體?
一般 pc 裝那一種防毒軟體?
了解,之前我有提過,但因為價差關係,被打回票。
但現有此問題,我會再上呈一次的,謝謝。
只是防毒似乎也是……像這次這件事,我雖然掃毒了,但還是一樣的情況,不知道這件事該怎麼解決...
恩,關於有控制中心的防毒軟體問題我會再次提出的。
只是這次我用卡巴for mac版的掃完毒後,雖好了幾天,但後來又出現同樣的內部攻擊外部的問題,但我再次掃毒卻沒再掃到毒了! 不知是否已被駭客留下後門了…?
在另一篇您題到"也許我應該要把DNS、WEBService、WIKI設為同一台",建議不要這麼做;一台中毒或掛了,那麼 DNS、WEBService、WIKI.. 三個功能就同時停擺了;另一場災難的開始
但是在邦友發文中,看起來接到DMZ的Server是提供服務給外界所有人存取(包含駭客、病毒),因此這些 Server 的風險是比較高的。
所以應該不能夠將這些高風險的電腦,跟資料庫(或其他機密資料)放在同一個區域。
我們的這台SERVER同時也是FILE SERVER,裡面的資料很重要……所以我才會想把資料與WebService和DNS、WIKI分開,而提出…(我們原本都是在同一台電腦上)。
可是若此舉可能會造成另一個大災難……這…
我想可能是我們目前的佈置不正確或不完整,需要調整。
但我們公司現在的網路佈置是最基本的,也許我只把WIKI、WEB另外放一台SERVER,然後接到60C的DMZ,能避免此問題再次發生?還請賜教!謝謝!
1.如果有足夠的 Server ,建議 FILE SERVER,WebServic,DNS,WIKI 分開放;避免一台中毒或掛了,全部停擺
沒有足夠的server耶..只能再買,所以我想再買一台server放WebService、Wiki(把它們移出來)然後接到 60C的DMZ.
60c 那台只開特定的 port 且指定到特定的 ip;例如開 80 port 指到 WebServic, 53 port 指到 DNS,....
只開特定的port...但這樣的話是否有一些服務會無法使用?像是看影片?有時我們的user會需要看教學影片...
筆電(公司的/私人的/客戶的)可能是病毒來源:
60c 的 wifi 可以再增加 ssid 給私人的/客戶的筆電用,使用另一個網段只跟 wan1 連
我們的wifi有設密碼,在60C那也有設定規則:
wifi>wan1 無限制
wifi>internal 全部禁止
建議從防毒軟體的病毒資料內,確定病毒名稱,上網尋找適用中毒SERVER作業系統的完全移除方法。先確認病毒已完全移除後,再進行其他的改善動作。謝謝。
基本上主機裝了防毒軟體,有線上定期更新病毒碼,應該會有基本的防護才是,如果沒有定期更新病毒碼還不如不裝......,不過中小企業的資安的確很難花大錢去建構,內部一旦發生中毒事件,就得花時間去清理,我的不花錢(但是要花時間)清理方式是:1.下載趨勢CLEAN的離線掃毒程式及最新病毒碼檔案(必須解壓縮),將檔案放在c槽建一個clean資料夾放在一起;2. 拔除所有主機網路線,確定switch上所有連線燈號都熄滅;3.主機關機後再拔除電源線(1分鐘以上);4.先從最上層server主機先處理,接上電源線,開機馬上進入windows安全模式,到C:\clean下執行clean掃毒程式,進行整機離線掃毒,完成整機掃描工作後,如有scan到一隻以上病毒,請再重複步驟3動作,直到clean掃不到病毒為止。5.重新正常開機,執行主機上已存在的防毒系統,進行整機掃毒,確定也掃不到任何病毒,就可以安心將網路線接上。依照上述5個步驟將公司內部所有聯網主機逐一清理後,應該就可以恢復正常運作,只是所有聯網主機在沒有防火牆架構下直接對外聯網實在不是很好的管理,如果暫時無法變更就得安裝防毒能力強,且隨時更新最新病毒碼的應用軟體才能避免相同情況再度發生。
有線上定期更新病毒碼。
我雖然沒進安全模式下掃毒(因為我的是mac),但是我有全機掃描,直到完全掃不到病毒為止,但是後來再次發生內部攻擊外部後(也沒隔幾天),我再掃毒也掃不到了!完全沒有發現病毒!
我們所有對外的主機都有經由防火牆。
謝謝!
你所謂的掃不到病毒指的是未關機斷電的狀態下安裝在主機上的掃毒程式掃描結果嗎?
恩..是的。我開著機讓裝在server上的防毒軟體掃毒,但都沒再發現病毒了!
如果您懷疑是內部主機染毒,版主公司內部的主機是未關機斷網斷電的掃毒,這樣的作法病毒是無法保證完全掃除,面對目前不斷變種的病毒,防毒程式其實是防不勝防,不過不管病毒如何變種,請記住我依照最初建議你的步驟進行內部自清病毒,應該都可以絕對根除,只是別相信單一種防毒程式可以幫你防所有的病毒,如果是這樣早就天下太平,網管都可以回家吃自己了!
了解,那我假日會再依您說的試試,上班日有點難這樣做,畢竟掃一次毒要花上七小時以上!
另外,若沒進安全模式的話,會影響嗎?因為mac..好像沒有安全模式耶.........。
我將server全機掃描並刪除了病毒後,次數名顯的下降,變為每日5次以下,前天及甚至為0。
但昨天赫然發現,然後就出現了:
風險:medium 攻擊名稱:BO-Sentinel-License-Manager (port 5093) (6次)
風險:Low 攻擊名稱:Anomaly-UDP-dest-port-0 (20次)
且我再次掃毒後,發現另外的病毒,在我刪除後,重開機再次掃毒,竟又出現在其它的file中!
產生你看到的結果(X-Server重複感染病毒)
原因應該就是PC到Server之間沒有資安設備防護
所以建議一定要把Server清毒之後改接到DMZ去
(很多邦友有很好掃毒建議了,不再贅述)
啟動所有進出DMZ埠的IPS及AV防護
如再有攻擊或感染,LOG上可以明顯看到來源IP
就可以正本清源去解決了
還有你的IPS顯示的資料顯然有誤(或不完整)
因為去原廠資料庫(FortiGuard)都查不到
有正確的IPS特徵碼,還可以設定阻擋入侵者及受害者
如有需要還可停止連線多少時間,分、日、月都可
DoS攻擊就麻煩多了,IPS特徵值無法根除DoS攻擊
好在你Server有掃到病毒,能解決最好
原因應該就是PC到Server之間沒有資安設備防護
所以建議一定要把Server清毒之後改接到DMZ去
請問PC到server之間要有什麼資安設備防護?不是很懂…
我們公司的是很基本的佈置:
(借用陣列科技的圖)
我在server上已找不到毒了…但情況還是一樣,內部還是去攻擊外部…
是否我把web、wiki另設一台server,然後接到60C的DMZ,其餘不變,是否會比較好?
還有你的IPS顯示的資料顯然有誤(或不完整)
因為去原廠資料庫(FortiGuard)都查不到
我的資料都是中華X信的資安鑑隊提供的資料,並不是FortiGuard...提供的資料。
謝謝。
您好,我有關於DMZ的問題:
在邦友發文中,看起來接到DMZ的Server是提供服務給外界所有人存取(包含駭客、病毒),因此這些 Server 的風險是比較高的。
所以應該不能夠將這些高風險的電腦,跟資料庫(或其他機密資料)放在同一個區域。
我們的這台SERVER同時也是FILE SERVER,裡面的資料很重要……那如果我把server接到DMZ去...不是一樣危險嗎?
謝謝。
網路架構的運用其實沒有一定的規則,而是視實際的需要
正是因為Server風險比較高,所以我們也給了比較多的資安防護
以貴公司目前的清況看來,
伺服器與PC放在一起沒有安全防護會比較不危險嗎?
如果在伺服器前面多放一道大門管一下
不是多一層防護安全嗎?
這是我個人對DMZ運用的看法
或可移到討論區,請其他邦友也給些指教。
1.一般USER與SERVER間會這樣接,這樣接的好處是user存取SERVER都會有LOG(前提是你設的規則要有log起來),另一方面可以限制USER的存取,exp:USER只能存取80,443,但不能存取3389
2.USER部份我以前都是設固I,所以每個人坐那是什麼IP我都知道,當client發動攻擊時,Firewall會有記錄IP(要開DDOS防禦,要開LOG),就會找到是那台發動,致於什麼程式發動,要你自己去查了
3.你用資安艦隊的報告,source IP只有public的IP,除非你server是做1對1的MAP NAT,否則出去的IP都相同,你是查不出來那台的
方法供你參考,實際執行還是要你去判斷執行~~~