टी एल; डॉ
मुझे पूरा यकीन है कि हमारा छोटा नेटवर्क किसी न किसी प्रकार के कृमि / वायरस से संक्रमित हो गया है। हालाँकि यह केवल हमारे विंडोज एक्सपी मशीनों को प्रभावित करने वाला लगता है। विंडोज 7 मशीन और लिनक्स (अच्छी तरह से, हाँ) कंप्यूटर अप्रभावित लगते हैं। एंटी-वायरस स्कैन कुछ भी नहीं दिखा रहे हैं, लेकिन हमारे डोमेन सर्वर ने विभिन्न वैध और अमान्य उपयोगकर्ता खातों, विशेषकर व्यवस्थापक पर हजारों विफल लॉगिन प्रयास किए हैं। मैं इस अज्ञात कीड़े को फैलने से कैसे रोक सकता हूं?
लक्षण
हमारे कुछ Windows XP उपयोगकर्ताओं ने इसी तरह की समस्याओं की सूचना दी है, हालांकि पूरी तरह से समान नहीं हैं। वे सभी यादृच्छिक शटडाउन / रिस्टार्ट अनुभव करते हैं जो कि सॉफ्टवेयर द्वारा शुरू किया गया है। कंप्यूटर में से एक पर डायलॉग सिस्टम रीस्टार्ट होने तक काउंटडाउन के साथ पॉप अप होता है, जाहिर तौर पर NT-AUTHORITY \ SYSTEM द्वारा शुरू किया गया है और इसे RPC कॉल के साथ करना है। विशेष रूप से यह संवाद ठीक वैसा ही है जैसा कि पुराने RPC शोषक कीड़ों के विवरण वाले लेखों में वर्णित है।
जब दो कंप्यूटर रिबूट हुए, तो वे लॉगिन प्रॉम्प्ट (वे डोमेन कंप्यूटर) पर वापस आ गए, लेकिन सूचीबद्ध उपयोगकर्ता नाम 'व्यवस्थापक' था, भले ही वे व्यवस्थापक के रूप में लॉग इन नहीं हुए थे।
डोमेन चलाने वाली हमारी विंडोज सर्वर 2003 मशीन पर, मैंने विभिन्न स्रोतों से कई हजार लॉगिन प्रयासों पर ध्यान दिया। उन्होंने व्यवस्थापक, व्यवस्थापक, उपयोगकर्ता, सर्वर, स्वामी और अन्य सहित सभी विभिन्न लॉगिन नामों की कोशिश की।
लॉग में से कुछ IP सूचीबद्ध हैं, कुछ नहीं। उन लोगों में से जिनके पास स्रोत आईपी पता था (विफल लॉगिन के लिए) उनमें से दो दो विंडोज एक्सपी मशीनों में रिबूट का अनुभव करने के अनुरूप हैं। कल ही मैंने एक बाहरी आईपी पते से विफल लॉगिन प्रयासों का एक गुच्छा देखा। एक अनुरेखक ने दिखाया कि आईपी पते के बाहर एक कनाडाई आईएसपी से होना चाहिए। हमारे पास वहां से कभी कनेक्शन नहीं होना चाहिए (हमारे पास हालांकि वीपीएन उपयोगकर्ता हैं)। इसलिए मुझे अभी भी यकीन नहीं है कि फॉरेगन आईपी से आने वाले लॉगिन प्रयासों के साथ क्या हो रहा है।
यह स्पष्ट प्रतीत होता है कि इन कंप्यूटरों पर किसी प्रकार का मैलवेयर है, और इसका उपयोग करने के लिए डोमेन खातों पर पासवर्ड की गणना करने का प्रयास करने का एक हिस्सा है।
व्हाट आई डन सो फार
यह महसूस करने के बाद कि क्या हो रहा है, मेरा पहला कदम यह सुनिश्चित करना था कि हर कोई अप-टू-डेट एंटी-वायरस चला रहा था और एक स्कैन किया था। प्रभावित कंप्यूटरों में से, उनमें से एक में एक्सपायर एंटी-वायरस क्लाइंट हा था, लेकिन अन्य दो नॉर्टन के वर्तमान संस्करण थे और दोनों प्रणालियों के पूर्ण स्कैन से कुछ नहीं हुआ।
सर्वर स्वयं नियमित रूप से अप-टू-डेट एंटी-वायरस चलाता है, और किसी भी संक्रमण को नहीं दिखाया है।
इसलिए विंडोज एनटी आधारित कंप्यूटरों में से 3/4 में एंटी-टू-डेट एंटी वायरस है, लेकिन इसमें कुछ भी नहीं पाया गया है। हालाँकि मुझे विश्वास है कि कुछ चल रहा है, मुख्य रूप से विभिन्न खातों के हजारों विफल लॉगिन प्रयासों से इसका सबूत है।
मैंने यह भी देखा कि हमारे मुख्य फ़ाइल शेयर की जड़ में बहुत खुली अनुमति थी, इसलिए मैंने इसे केवल सामान्य उपयोगकर्ताओं के लिए पढ़ने + निष्पादित करने के लिए प्रतिबंधित कर दिया। व्यवस्थापक के पास पाठ्यक्रम की पूरी पहुंच है। मैं उपयोगकर्ताओं को अपने पासवर्ड (मजबूत लोगों को) अपडेट करने वाला हूं, और मैं सर्वर पर प्रशासक का नाम बदलने और इसके पासवर्ड को बदलने जा रहा हूं।
मैंने पहले ही मशीनों को नेटवर्क से हटा लिया है, एक को एक नए से बदल दिया जा रहा है, लेकिन मुझे पता है कि ये चीजें नेटवर्क के माध्यम से फैल सकती हैं इसलिए मुझे अभी भी इसकी तह तक जाना होगा।
साथ ही, सर्वर में NAT / फ़ायरवॉल सेटअप होता है जिसमें केवल कुछ पोर्ट खुले होते हैं। मेरे पास अभी तक कुछ विंडोज़ से संबंधित सेवाओं की पूर्ण रूप से जांच करने के लिए बंदरगाहों के साथ खुला है, जैसा कि मैं एक लिनक्स पृष्ठभूमि से हूं।
अब क्या?
इसलिए सभी आधुनिक और अप-टू-डेट एंटी-वायरस का कुछ भी पता नहीं चला है, लेकिन मुझे पूरा यकीन है कि इन कंप्यूटरों में कुछ प्रकार के वायरस हैं। मैं इन मशीनों से उत्पन्न होने वाले हजारों लॉगिन प्रयासों के साथ संयुक्त रूप से XP मशीनों के यादृच्छिक पुनरारंभ / अस्थिरता पर आधारित हूं।
मैं क्या करने की योजना प्रभावित मशीनों पर उपयोगकर्ता फ़ाइलों का बैकअप ले रहा हूं, और फिर खिड़कियों को फिर से स्थापित करना और ड्राइव को नए सिरे से प्रारूपित करना है। मैं सामान्य फ़ाइल शेयरों को सुरक्षित करने के लिए कुछ उपाय भी कर रहा हूं जिनका उपयोग अन्य मशीनों में फैलने के लिए किया जा सकता है।
यह सब जानते हुए, मैं यह सुनिश्चित करने के लिए क्या कर सकता हूं कि यह कीड़ा नेटवर्क पर कहीं और नहीं है, और मैं इसे फैलने से कैसे रोक सकता हूं?
मुझे पता है कि यह एक निकाला गया प्रश्न है, लेकिन मैं अपनी गहराई से बाहर हूं और कुछ बिंदुओं का उपयोग कर सकता हूं।
तलाश के लिए धन्यवाद!