iT邦幫忙

1

Server中毒,由內部發出攻擊外部,請問該如何解決?

各位前輩好,之前已有提出相關問題,無奈事情尚未完全解決,所以再次提出求解:
請見:http://ithelp.ithome.com.tw/question/10150174

日前經由查證,是Server (Mac OS X Server)一直發出攻擊到國外。
一開始是:
風險:Low 攻擊名稱:Anomaly-UDP-dest-port-0
每天上千次,每週上萬次。
之後,我將server全機掃描並刪除了病毒後,次數名顯的下降,變為每日5次以下,前天及甚至為0。
但昨天赫然發現,然後就出現了:
風險:medium 攻擊名稱:BO-Sentinel-License-Manager (port 5093) (6次)
風險:Low 攻擊名稱:Anomaly-UDP-dest-port-0 (20次)
且我再次掃毒後,發現另外的病毒,在我刪除後,重開機再次掃毒,竟又出現在其它的file中!噎到
昨天的報表(中華電信的資安鑑隊) 來源IP及目標IP皆為同一個……不知是否被駭了呢?!

以下是我們這台server的資訊:

  1. 是file server,所以每個人最基本都有使用此Server的其中一個file的權限,再依需求設定其他files的權限。
  2. 提供的服務:DNS、WebService、WIKI。
  3. 我們並沒有內部的MAIL SERVER(使用GMAIL),但USER都需要使用對外網路:
    SKYPE、收發信、查找資料、看影片...
  4. 我們現在的接法是這樣:(我們上網有二個:ADSL及專線)
    專線-->60C-->Switch3-->Switch2-->Switch1-->"WIFI-->ADSL"
    (WIFI接四條網路線:ADSL、Switch1.2.3) 只是為了表示整個網路有串連起來上面才這樣表示。
    (Switch3--> X Server(DNS/Web))
    (Switch2/1-->USER)
    (WIFI-->發DHCP)
    這描述有不清楚的部份,還請提出,馬上補上,謝謝!

我沒有從防火牆這方面著手,因為病毒看起來在內部亂跑,所以我覺得還是要把問題處理掉…。
只是我不曉得這種問題該如何處理?是否有方法(指令)或工具可以反查這病毒的來源?(像是可以查這病毒是從哪個USER存取的?)
不然感覺都治標不治本…暈

請各位前輩幫忙指導,謝謝!!

看更多先前的討論...收起先前的討論...
jason1966 iT邦新手 1 級 ‧ 2014-06-02 16:05:11 檢舉
內部網路如何連接,有多少線路都不是重點!
問題在於病毒在哪. 當然這也是板大想問的!
但問題是板大有足夠的工具軟體與專業知識嗎?
個人覺得 這樣的情況應該是要有工具以及夠"專業"的人來處理!
不然光是x server 上的病毒那來的都沒辦法縮小範圍了
更何況現在有些惡意程式,防毒軟體根本掃不到.

清點一下x server 的帳號及權限
作業系統及應用系統的修補是不是都安裝了?
作業系統及應用系統的權限相關的設定是否有賦與太高不需要的權限?
cat00814 iT邦新手 5 級 ‧ 2014-06-02 20:13:42 檢舉
您好,恩…就是因為我沒有足夠的專業知識能解決此問題,所以才上來發問請教的。
開頭總是特別難,尤其就遇到了這個問題暈,但是我想在這行來說經驗很重要,若請"專家"來處理這個問題,那我可能永遠就是這樣了,所謂多經一事多長一智嘛~所以還請各位前輩們不吝指教!

清點一下x server 的帳號及權限


是file server,所以每個人最基本都有使用此Server的其中一個file的權限,再依需求設定其他files的權限。

作業系統及應用系統的修補是不是都安裝了?


都已更新到最新了。

作業系統及應用系統的權限相關的設定是否有賦與太高不需要的權限?


基本上都是依部門需求下去設定的,所以這個應該沒有問題。
您的意思是權限太高會造成我這情況發生嗎?

謝謝。

jason1966 iT邦新手 1 級 ‧ 2014-06-03 22:35:53 檢舉
看到一堆人在談防毒...
現在越來越多的攻擊是變種,防毒引擎沒辦法在第一時間抓到. 因為防毒系統都是比對特徵碼! 在還沒有該變種病毒的特徵碼之前是掃不到他的!

按照部門需求下去設定就沒問題嗎? 我不知道!
應用系統的設定,有些預設值是有安全顧慮的! 請注意

如果都設定好的話怎會出問題!

專業當然可以靠自學,但是要花多久時間?

貴司伺服器對外攻擊是結果,原因呢?
幾個方向
1 client 被植入後門, 然後利用client 對伺服器的權限,感染伺服器
2 外部攻擊者,攻擊該伺服器對外服務的漏洞

個人比較懷疑第一種,第二種也是有可能
jason1966 iT邦新手 1 級 ‧ 2014-06-03 22:44:41 檢舉
看到板主回答他人的回應,連防毒的運算都那樣的節約,看來要請外部專家的花費,應該是不太可能在貴公司能夠申請下來.

這是台灣資安的悲哀!

祝好運
bidonsu iT邦新手 4 級 ‧ 2014-06-04 09:14:23 檢舉
您的討論中最後提供的兩個方向,個人覺得對版主來說是很好的發想,對中小企業而言最好的資安應該要做到內部主機感染的病毒進的來出不去,所以網管可以關起門來自清處理,對外部的來源攻擊只止於對外聯網server遭受襲擊感染,內部網段其他server仍必須確保其運作的安全性,一旦發生外部攻擊server事件,頂多就是換上一台冷備援的對外server主機先頂上,或是緊急關閉對外聯網資源,先進行主機後門更新防護機制後再行開放,這需要花很昂貴的資安設備嗎?我覺得見仁見智,主要還是在於網管守門員的本質學能考量以及出錢的老闆對資安設備預算支出的支持。
jason1966 iT邦新手 1 級 ‧ 2014-06-10 00:17:23 檢舉
一般小型公司的使用者,因為沒有良好的資安教育,最容易出問題.
而這類的公司通常也沒有足夠的資安預算以及擁有足夠專業能力的管理者,而老闆也不願意花錢外聘顧問.
當發生事情的時候,就到處問. 等到發生像去年爆發的詐騙客戶付款的情況才在那邊哀怨.
您所提的個人認為也只能治標,因為主機被攻破進而對外發動攻擊,也就是被當成跳板,只是結果,
依照這位版主所描述的狀況,我非常強烈的認為,應該是內部client 已經淪陷了,這時候換一台備援主機...我想應該不用太久也會淪陷.
6
rogeryao
iT邦大師 1 級 ‧ 2014-06-02 13:19:20
最佳解答

日前經由查證,是Server (Mac OS X Server)一直發出攻擊到國外。
一開始是:
風險:Low 攻擊名稱:Anomaly-UDP-dest-port-0
每天上千次,每週上萬次。
之後,我將server全機掃描並刪除了病毒後,次數名顯的下降,變為每日5次以下,前天及甚至為0。
但昨天赫然發現,然後就出現了:
風險:medium 攻擊名稱:BO-Sentinel-License-Manager (port 5093) (6次)
風險:Low 攻擊名稱:Anomaly-UDP-dest-port-0 (20次)

從那裡得到上面的資訊? 60C ?

且我再次掃毒後,發現另外的病毒......
用一般 pc 掃 Server ?
Server 本身裝那一種防毒軟體?
一般 pc 裝那一種防毒軟體?

看更多先前的回應...收起先前的回應...
cat00814 iT邦新手 5 級 ‧ 2014-06-02 19:58:21 檢舉

是從中華電信的資安鑑隊的報表。
Mac server和pc都是裝卡巴斯基/MS Server 是裝趨勢。

cat00814 iT邦新手 5 級 ‧ 2014-06-02 20:48:49 檢舉

了解,之前我有提過,但因為價差關係,被打回票。
但現有此問題,我會再上呈一次的,謝謝。
只是防毒似乎也是……像這次這件事,我雖然掃毒了,但還是一樣的情況,不知道這件事該怎麼解決...哭

cat00814 iT邦新手 5 級 ‧ 2014-06-03 21:17:34 檢舉

恩,關於有控制中心的防毒軟體問題我會再次提出的。
只是這次我用卡巴for mac版的掃完毒後,雖好了幾天,但後來又出現同樣的內部攻擊外部的問題,但我再次掃毒卻沒再掃到毒了!哭 不知是否已被駭客留下後門了…?噎到

在另一篇您題到"也許我應該要把DNS、WEBService、WIKI設為同一台",建議不要這麼做;一台中毒或掛了,那麼 DNS、WEBService、WIKI.. 三個功能就同時停擺了;另一場災難的開始

但是在邦友發文中,看起來接到DMZ的Server是提供服務給外界所有人存取(包含駭客、病毒),因此這些 Server 的風險是比較高的。
所以應該不能夠將這些高風險的電腦,跟資料庫(或其他機密資料)放在同一個區域。
我們的這台SERVER同時也是FILE SERVER,裡面的資料很重要……所以我才會想把資料與WebService和DNS、WIKI分開,而提出…(我們原本都是在同一台電腦上)。
可是若此舉可能會造成另一個大災難……這…
我想可能是我們目前的佈置不正確或不完整,需要調整。
但我們公司現在的網路佈置是最基本的,也許我只把WIKI、WEB另外放一台SERVER,然後接到60C的DMZ,能避免此問題再次發生?還請賜教!謝謝!

cat00814 iT邦新手 5 級 ‧ 2014-06-04 12:56:29 檢舉

1.如果有足夠的 Server ,建議 FILE SERVER,WebServic,DNS,WIKI 分開放;避免一台中毒或掛了,全部停擺

沒有足夠的server耶..只能再買,所以我想再買一台server放WebService、Wiki(把它們移出來)然後接到 60C的DMZ.

60c 那台只開特定的 port 且指定到特定的 ip;例如開 80 port 指到 WebServic, 53 port 指到 DNS,....

只開特定的port...但這樣的話是否有一些服務會無法使用?像是看影片?有時我們的user會需要看教學影片...

筆電(公司的/私人的/客戶的)可能是病毒來源:
60c 的 wifi 可以再增加 ssid 給私人的/客戶的筆電用,使用另一個網段只跟 wan1 連

我們的wifi有設密碼,在60C那也有設定規則:
wifi>wan1 無限制
wifi>internal 全部禁止

2
mwu4
iT邦新手 2 級 ‧ 2014-06-03 11:35:02

建議從防毒軟體的病毒資料內,確定病毒名稱,上網尋找適用中毒SERVER作業系統的完全移除方法。先確認病毒已完全移除後,再進行其他的改善動作。謝謝。

cat00814 iT邦新手 5 級 ‧ 2014-06-03 21:20:03 檢舉

可是後來再度發生後,我已掃不到病毒了…Orz…

2
bidonsu
iT邦新手 4 級 ‧ 2014-06-03 15:56:27

基本上主機裝了防毒軟體,有線上定期更新病毒碼,應該會有基本的防護才是,如果沒有定期更新病毒碼還不如不裝......,不過中小企業的資安的確很難花大錢去建構,內部一旦發生中毒事件,就得花時間去清理,我的不花錢(但是要花時間)清理方式是:1.下載趨勢CLEAN的離線掃毒程式及最新病毒碼檔案(必須解壓縮),將檔案放在c槽建一個clean資料夾放在一起;2. 拔除所有主機網路線,確定switch上所有連線燈號都熄滅;3.主機關機後再拔除電源線(1分鐘以上);4.先從最上層server主機先處理,接上電源線,開機馬上進入windows安全模式,到C:\clean下執行clean掃毒程式,進行整機離線掃毒,完成整機掃描工作後,如有scan到一隻以上病毒,請再重複步驟3動作,直到clean掃不到病毒為止。5.重新正常開機,執行主機上已存在的防毒系統,進行整機掃毒,確定也掃不到任何病毒,就可以安心將網路線接上。依照上述5個步驟將公司內部所有聯網主機逐一清理後,應該就可以恢復正常運作,只是所有聯網主機在沒有防火牆架構下直接對外聯網實在不是很好的管理,如果暫時無法變更就得安裝防毒能力強,且隨時更新最新病毒碼的應用軟體才能避免相同情況再度發生。

看更多先前的回應...收起先前的回應...
cat00814 iT邦新手 5 級 ‧ 2014-06-03 21:26:40 檢舉

有線上定期更新病毒碼。
我雖然沒進安全模式下掃毒(因為我的是mac),但是我有全機掃描,直到完全掃不到病毒為止,但是後來再次發生內部攻擊外部後(也沒隔幾天),我再掃毒也掃不到了!完全沒有發現病毒!
我們所有對外的主機都有經由防火牆。
謝謝!

bidonsu iT邦新手 4 級 ‧ 2014-06-03 22:19:16 檢舉

你所謂的掃不到病毒指的是未關機斷電的狀態下安裝在主機上的掃毒程式掃描結果嗎?

cat00814 iT邦新手 5 級 ‧ 2014-06-04 09:05:20 檢舉

恩..是的。我開著機讓裝在server上的防毒軟體掃毒,但都沒再發現病毒了!

bidonsu iT邦新手 4 級 ‧ 2014-06-04 09:29:10 檢舉

如果您懷疑是內部主機染毒,版主公司內部的主機是未關機斷網斷電的掃毒,這樣的作法病毒是無法保證完全掃除,面對目前不斷變種的病毒,防毒程式其實是防不勝防,不過不管病毒如何變種,請記住我依照最初建議你的步驟進行內部自清病毒,應該都可以絕對根除,只是別相信單一種防毒程式可以幫你防所有的病毒,如果是這樣早就天下太平,網管都可以回家吃自己了!

cat00814 iT邦新手 5 級 ‧ 2014-06-04 13:00:06 檢舉

了解,那我假日會再依您說的試試,上班日有點難這樣做,畢竟掃一次毒要花上七小時以上!
另外,若沒進安全模式的話,會影響嗎?因為mac..好像沒有安全模式耶.........。

cat00814 iT邦新手 5 級 ‧ 2014-06-04 13:02:06 檢舉

抱歉,mac有安全模式,那我知道了,謝謝您的幫忙,我會再依您說的試試,並再回報上來 :) 感謝。

bidonsu iT邦新手 4 級 ‧ 2014-06-06 10:42:22 檢舉

內網掃毒的確非常費時,所以平時有做好預防病毒入侵途徑管制作業,才能減少事後掃除病毒工作的次數,套句話來說,"預防勝於治療"!祝福你工作順利完成!

cat00814 iT邦新手 5 級 ‧ 2014-06-13 08:50:54 檢舉

經由安全模式內網掃毒後,把病毒刪除後就沒再發現它出現了!!!
謝謝你的幫忙!
後來也發現這個數據似乎有些是誤判...。

4
mytiny
iT邦大師 1 級 ‧ 2014-06-03 19:06:09

我將server全機掃描並刪除了病毒後,次數名顯的下降,變為每日5次以下,前天及甚至為0。
但昨天赫然發現,然後就出現了:
風險:medium 攻擊名稱:BO-Sentinel-License-Manager (port 5093) (6次)
風險:Low 攻擊名稱:Anomaly-UDP-dest-port-0 (20次)
且我再次掃毒後,發現另外的病毒,在我刪除後,重開機再次掃毒,竟又出現在其它的file中!

產生你看到的結果(X-Server重複感染病毒)
原因應該就是PC到Server之間沒有資安設備防護
所以建議一定要把Server清毒之後改接到DMZ去
(很多邦友有很好掃毒建議了,不再贅述)
啟動所有進出DMZ埠的IPS及AV防護
如再有攻擊或感染,LOG上可以明顯看到來源IP
就可以正本清源去解決了
還有你的IPS顯示的資料顯然有誤(或不完整)
因為去原廠資料庫(FortiGuard)都查不到
有正確的IPS特徵碼,還可以設定阻擋入侵者及受害者
如有需要還可停止連線多少時間,分、日、月都可
DoS攻擊就麻煩多了,IPS特徵值無法根除DoS攻擊
好在你Server有掃到病毒,能解決最好

cat00814 iT邦新手 5 級 ‧ 2014-06-03 21:34:26 檢舉

原因應該就是PC到Server之間沒有資安設備防護
所以建議一定要把Server清毒之後改接到DMZ去

請問PC到server之間要有什麼資安設備防護?不是很懂…
我們公司的是很基本的佈置:
(借用陣列科技的圖)
我在server上已找不到毒了…但情況還是一樣,內部還是去攻擊外部…
是否我把web、wiki另設一台server,然後接到60C的DMZ,其餘不變,是否會比較好?

還有你的IPS顯示的資料顯然有誤(或不完整)
因為去原廠資料庫(FortiGuard)都查不到

我的資料都是中華X信的資安鑑隊提供的資料,並不是FortiGuard...提供的資料。
謝謝。

cat00814 iT邦新手 5 級 ‧ 2014-06-04 13:58:36 檢舉

您好,我有關於DMZ的問題:
在邦友發文中,看起來接到DMZ的Server是提供服務給外界所有人存取(包含駭客、病毒),因此這些 Server 的風險是比較高的。
所以應該不能夠將這些高風險的電腦,跟資料庫(或其他機密資料)放在同一個區域。
我們的這台SERVER同時也是FILE SERVER,裡面的資料很重要……那如果我把server接到DMZ去...不是一樣危險嗎?
謝謝。

mytiny iT邦大師 1 級 ‧ 2014-06-04 20:32:07 檢舉

網路架構的運用其實沒有一定的規則,而是視實際的需要
正是因為Server風險比較高,所以我們也給了比較多的資安防護
以貴公司目前的清況看來,
伺服器與PC放在一起沒有安全防護會比較不危險嗎?
如果在伺服器前面多放一道大門管一下
不是多一層防護安全嗎?
這是我個人對DMZ運用的看法
或可移到討論區,請其他邦友也給些指教。

2
wlhfor1974
iT邦新手 4 級 ‧ 2014-06-10 12:54:12

1.一般USER與SERVER間會這樣接,這樣接的好處是user存取SERVER都會有LOG(前提是你設的規則要有log起來),另一方面可以限制USER的存取,exp:USER只能存取80,443,但不能存取3389

2.USER部份我以前都是設固I,所以每個人坐那是什麼IP我都知道,當client發動攻擊時,Firewall會有記錄IP(要開DDOS防禦,要開LOG),就會找到是那台發動,致於什麼程式發動,要你自己去查了

3.你用資安艦隊的報告,source IP只有public的IP,除非你server是做1對1的MAP NAT,否則出去的IP都相同,你是查不出來那台的

方法供你參考,實際執行還是要你去判斷執行~~~

cat00814 iT邦新手 5 級 ‧ 2014-06-13 08:57:28 檢舉

我們的server有做1對1的NAT,所以可以看的出外部IP是哪一台在攻擊或被攻擊..

USER部份我以前都是設固I,所以每個人坐那是什麼IP我都知道,當client發動攻擊時,Firewall會有記錄IP(要開DDOS防禦,要開LOG),就會找到是那台發動,致於什麼程式發動,要你自己去查了

我們現在都走DHCP,也因為數量其實不是很多,基本上大家拿到了IP後,就好像不會變?(是因為數量沒超過到需要換IP才能夠使用吧?)
這樣的話,還是要做固I嗎?還是記錄DHCP的IP就可以?
謝謝。

我要發表回答

立即登入回答