-
Junior Member
- Вес репутации
- 58
Лечение КОНФИКЕРА и прочей фигни на 2003 сервере
Имеется Сервер 2003, на котором живут АктивДиректори, DHCP, DNS и прочие 1Сы. Напал на мою сеть злобный конфикер.ав, никак его извести не могу. Решил запустить на серваке утильку для чистки от конфикера (econfickerremove), вирус был найден и удален, сказал что после перезагрузки больная DLL будет переименована. После перезагрузки начались глюки...
Не работают принтеры по сети, а локально работают. Не работает DHCP. Вход в домен происходит по 3-5 минут.
Последний раз редактировалось sveloga; 08.06.2010 в 12:45.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 58
Стало еще хуже, половина компов вобще перестали видеть сеть.
Добавлено через 1 час 7 минут
Выяснил что всю прошлую ночь сервер упорно сканировал порты.
Последний раз редактировалось sveloga; 21.04.2009 в 12:51.
Причина: Добавлено
-
Сообщение от
sveloga
Стало еще хуже, половина компов вобще перестали видеть сеть.
Добавлено через 1 час 7 минут
Выяснил что всю прошлую ночь сервер упорно сканировал порты.
Это нормально ... лечение простое, нужно в срочном порядке:
1. ставить апдейты на сервера и рабочие станции - причем желательно все апдейты, дабы закрыть большинство "дыр"
2. Позакрывать расшаренные папки, отключить админшары
3. Отключить автозапуск
4. Всем пользователям задать длинные и корявые пароли, содержащие буквы и цифры, типа "DbhecYtGhjqltn99"
5. Массированный запуск kidokiller от ЛК на всех ПК (поможет толкьо временно, пока не сделано 1-4)
6. Установка хорошего антивируса и его обновление на всех ПК юзеров несколько раз в день
Параллельно с этим необходимо мониторить и снифферить сеть, поставить пару ловушек для детекта зараженных ПК и их первоочередного лечения.
Плюс меры общей технической защиты:
1. выход в Инет позвкрыть по максимуму на Firewall, всех пользователей запустить через проксик,порты 25/110 позакрывать всем кроме корпоративного почтаря (а иначе юзеры будут тащить всякую заразу из Инет), логи прокси изучать раз в день и за подозрительную активность наказывать
2. Истребить сотовые телефоны, сотовые и WiFi модемы. Пока они есть и применяются, то получаем прямой выход незащищенного ПК в Инет, его заражение чем-то типа Kido, который далее накроет всю сеть ... и борость так можно до бесконечности
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Зайцев Олег
Параллельно с этим необходимо мониторить и снифферить сеть, поставить пару ловушек для детекта зараженных ПК и их первоочередного лечения.
Чем мониторить сеть ?
Что такое ловушки ?
И еще: у меня открыт на один комп порт для мюТоррента. Закрываю торрент, а входящие соединения на этом порту остались, я закрыл соединения, они опять повылазили. Закрыл порт, ес-но все прошло. Торрент тоже дырка в защите?
-
Сообщение от
sveloga
Чем мониторить сеть ?
Что такое ловушки ?
И еще: у меня открыт на один комп порт для мюТоррента. Закрываю торрент, а входящие соединения на этом порту остались, я закрыл соединения, они опять повылазили. Закрыл порт, ес-но все прошло. Торрент тоже дырка в защите?
Мониторить - да чем угодно, можно любой сниффер (tcpdump, CommView ... ), можно IDS поднять типа Snort, можно свой небольшой сниффер написать (там коду то на два экрана) - путей тьма. Главная идея - мониторить трафик и искать аномалии, поведение сетевого червяка довольно характерное. При этом следует помнить, что при использвоании свитчей нельзя прослушивать весь трафик сети - только свой сегмент, следовательно необходимо или переходить из сегмента в сегмент с ноутбуком, или применять мониторинговый порт на свитче (что куда лучше), или поставить агенты на множество ПК.
Ловушка - это выделенный на растерзание компьютер, на котором или поднимается IDS (т.е. идет регистрация событий и анализ логов), таковые почти во всех современных "продвинутых" Firewall есть, или там ничего не ставится защитного, но трафик этого ПК мониторится и идет наблюдение. В качестве приманки неплохо расшарить на полный доступ несколько папок и поднять аудит того, кто и что в них пишет - поможет поймать червяков, которые раскладывают себя на доступне ресурсы.
Но в обще-то принцип простой - необходимо составить четкий план действий, и ему следовать. Причем одна из позичий плана должна состоять в создании жесткой инструкции для юзеров и доведении ее под роспись всем - иначе порядка не будет, технические меры будут конкурировать с шебутными юзерами, которые к примеру тот-же KIDO будут заносить на флешках
-
-
Junior Member
- Вес репутации
- 58
Чистил сервер сотней всяких приблуд и антивирусов. обновления все не встали, 21 обновление пишет что загрузка потерпела неудачу.
Отрубил всю сетку от сервера, оставил только сервак и одну рабочую станцию.
Ничего так и не изменилось.