タグ付けされた質問 「malware」

ここ数日、ワークステーションから異常なトラフィックが発生していることに気付きました。HEADリクエストがランダムな文字のURL（通常は1秒以内に3つまたは4つ）に送信されており、Chromeブラウザーから送信されているようです。要求は1日に3〜4回しか繰り返されませんが、特定のパターンは特定していません。URL文字はリクエストごとに異なります。 Fiddler 2によって記録されたリクエストの例を次に示します。 HEAD http://xqwvykjfei/ HTTP/1.1 Host: xqwvykjfei Proxy-Connection: keep-alive Content-Length: 0 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.98 Safari/534.13 Accept-Encoding: gzip,deflate,sdch Accept-Language: en-US,en;q=0.8 Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3 この要求に対する応答は次のとおりです。 HTTP/1.1 502 Fiddler - DNS Lookup Failed Content-Type: text/html Connection: close Timestamp: 08:15:45.283 Fiddler: DNS Lookup for …

55 http  malware  chrome 

自分のサイトでマルウェアスキャナーを実行したところ、多数の圧縮されたEXEファイルが潜在的なリスクファイルとしてマークされました（これらのファイルはユーザーによってアップロードされました）。Macでファイルを解凍できるので、これらは実際のZIPファイルであり、名前が変更されたPHPファイルのようなものではないと想定しています。 だから、ZIPファイルは私のウェブサーバーにとって危険ではないでしょうか？

49 security  anti-virus  malware 

私はSlowlorisの脆弱性を調査していますが、この種の攻撃がどのように、なぜ機能するのかを理解していると思います。 私が理解していないのは、LighttpdとNginXが影響を受けない理由です（上記のリンクと同じ記事による）。彼らは何がそんなに違うのですか？

23 apache-2.2  web-server  lighttpd  denial-of-service  malware 

CryptoLockerを防ぐ方法を調査しているときに、グループポリシーオブジェクト（GPO）やウイルス対策ソフトウェアを使用して、次の場所で実行アクセスをブロックするようにアドバイスするフォーラムの投稿を見ました。 ％アプリデータ％ ％localappdata％ ％temp％ ％UserProfile％ 圧縮アーカイブ 明らかに、フォーラムで書かれたものはすべて注意して取るべきです。ただし、主にマルウェアがこれらの場所から実行されることを好むため、これを行う利点があります。もちろん、これは正当なプログラムにも影響を与える可能性があります。 これらの場所への実行アクセスをブロックすることの欠点は何ですか？ 利点は何ですか？

13 windows  security  malware 

TL; DR 私たちの小さなネットワークは、ある種のワーム/ウイルスに感染していると確信しています。ただし、Windows XPマシンを苦しめているだけのようです。Windows 7マシンとLinux（そうです）コンピューターは影響を受けていないようです。ウイルス対策スキャンでは何も表示されませんが、ドメインサーバーは、さまざまな有効および無効なユーザーアカウント、特に管理者でのログイン試行の失敗を数千回記録しています。この未確認のワームの拡散を防ぐにはどうすればよいですか？ 症状 一部のWindows XPユーザーは、完全に同一ではありませんが、同様の問題を報告しています。これらはすべて、ソフトウェアによって開始されるランダムなシャットダウン/再起動を経験します。いずれかのコンピューターで、NT-AUTHORITY \ SYSTEMによって明らかに開始され、RPC呼び出しに関係するシステムの再起動まで、カウントダウンのダイアログがポップアップします。特に、このダイアログは、古いRPCエクスプロイトワームの詳細についての記事で説明されているものとまったく同じです。 2台のコンピューターが再起動すると、ログインプロンプト（ドメインコンピューター）で再起動しましたが、管理者としてログインしていなくても、リストされているユーザー名は「admin」でした。 ドメインを実行しているWindows Server 2003マシンで、さまざまなソースからの数千のログイン試行に気付きました。管理者、管理者、ユーザー、サーバー、所有者など、さまざまなログイン名をすべて試しました。 一部のログにはIPがリストされていましたが、一部はリストされていませんでした。（失敗したログインの）ソースIPアドレスを持っていたもののうち、2つはリブートが発生している2台のWindows XPマシンに対応しています。ちょうど昨日、外部IPアドレスからのログイン試行の失敗に気づきました。tracerouteは、外部IPアドレスがカナダのISPからのものであることを示しました。そこから接続するべきではありません（VPNユーザーもいます）。そのため、外国のIPからのログイン試行で何が起こっているのかまだわかりません。 これらのコンピューターにはある種のマルウェアが存在することは明らかであり、その目的の一部は、ドメインアカウントのパスワードを列挙してアクセスを試みることです。 これまでに行ったこと 何が起こっているのかを理解した後、私の最初のステップは、すべての人が最新のアンチウイルスを実行し、スキャンを行ったことを確認することでした。影響を受けたコンピュータのうち、1台は期限切れのウイルス対策クライアントを持っていますが、他の2台はノートンの現在のバージョンであり、両方のシステムの完全スキャンでは何も見つかりませんでした。 サーバー自体は定期的に最新のアンチウイルスを実行しており、感染は確認されていません。 そのため、Windows NTベースのコンピューターの3/4は最新のアンチウイルスを使用していますが、何も検出していません。しかし、主にさまざまなアカウントへのログイン試行が何千回も失敗したことから明らかなように、何かが起こっていると確信しています。 また、メインファイル共有のルートにはかなりオープンなアクセス許可があることに気づいたので、通常のユーザーの読み取りと実行に制限しました。管理者にはもちろんフルアクセスがあります。また、ユーザーにパスワードを（強力なパスワードに）更新してもらい、サーバーの管理者に名前を変更してパスワードを変更します。 私はすでにネットワークからマシンを取り出し、新しいマシンに交換されていますが、これらのことはネットワークを介して拡散する可能性があることを知っているので、まだこの最下部に到達する必要があります。 また、サーバーには特定のポートのみが開かれたNAT /ファイアウォール設定があります。Linuxのバックグラウンドであるため、ポートが開いているWindows関連サービスの一部についてはまだ完全に調査していません。 それで？ そのため、すべての最新のアンチウイルスは何も検出しませんでしたが、これらのコンピューターには何らかのウイルスがあると確信しています。これは、XPマシンのランダムな再起動/不安定性と、これらのマシンから発生する何千ものログイン試行に基づいています。 私がやろうとしているのは、影響を受けるマシンでユーザーファイルをバックアップし、次にウィンドウを再インストールして、ドライブを新しくフォーマットすることです。また、他のマシンへの拡散に使用された可能性のある共通ファイル共有を保護するために、いくつかの対策を講じています。 このすべてを知って、このワームがネットワーク上の他の場所にないことを確認するために私は何ができますか？そして、どのようにそれが広がるのを止めることができますか？ 私はこれが描かれた質問であることを知っています、しかし、私はここの私の深さから出ていて、いくつかのポインターを使うことができました。 見てくれてありがとう！

13 windows  windows-server-2003  security  network-monitoring  malware 

6月にEICARテスト署名を送信して、postfix / amavis / spamassassinなどのセットアップが正常に機能することを確認しました。当時は気づいていませんでしたが、これはどういうわけか、時空の連続性や、メールサーバーが5分ごとに繰り返し送信する何かに涙を流しました。 Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1] Oct 7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1] Oct 7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com> Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1] Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active) Oct 7 20:25:39 yavin …

12 email  postfix  malware  amavis 

私がいくつかの仕事をしたことがあるいくつかの場所で、幹部の何人かが職場のコンピューターでポルノを閲覧しているのではないかと疑っています。このポルノサーフィンは、アンチウイルスの存在にも関わらず、コンピューターでのウイルス感染につながっているようです。これらの特定のユーザーのブラウジングをフィルタリングすることはオプションではないので、次に最適なソリューションは何でしょうか？Firefox + Adblock proをコンピューターにインストールしました。NoScriptを追加したいと思っていますが、noscriptが合法的なWebサイトでの閲覧を妨げると、呼び出しを開始するのではないかと心配しています。このリスクを軽減するためにできることは他にありますか？

12 malware 

サーバーのいずれかのac：ディスクのルートにランダムに作成されたウイルスファイルがいくつかあります。作成したものを調べるにはどうすればよいですか？サードパーティ製のソフトウェアがありますか？

12 windows  malware  rootkit 

私の組織は最近、電子メールを介して一部のユーザーに送信されるマルウェアを発見しました。このマルウェアは、高度な標的型攻撃で電子メールセキュリティを通過することができました。ファイルの名前はユーザーごとに異なりますが、マルウェアファイル間で一般的なMD5ハッシュのリストを収集しました。 暗闇の中でただのショット-PowerShell ....またはその他の方法で、ファイル名、拡張子などではなく、MD5ハッシュに基づいてファイルを見つける方法があるかどうか疑問に思っていました。データセンターのほとんどのサーバーにWindows 2012 R2を使用しています。

11 windows  malware  search  hash  md5 

「マルウェア大学」を提供するいくつかのサイトを見てきました。マルウェアを取り除くためのトレーニングクラスです。マルウェアの除去スキル（または武器）を時々更新する必要があると思いますか？この成長する非常に複雑な脅威に対処するには、どうすればより効果的になりますか？

11 security  anti-virus  malware 

特定のフォルダー以外のドライブ/フォルダーにあるファイル（* .exeファイル）を実行しないようにWindows（XP以上）に指示する方法はありますか？要するに、「ホワイトリスト」のみから実行可能ファイルを実行したいのです。 これは、ユーザーが自宅から持ち込むガベージCDから実行可能ファイルを実行しないように依頼するよりも優れていると思います。

11 windows  security  malware 

企業/ ISPネットワークでConfickerに感染したPCをリモートで見つけるための最良の方法は何ですか？

10 networking  security  malware 

LinuxシステムのBashに悪意のあるエイリアスの存在を隠し、知らない間にユーザーが実行することは可能ですか？

9 linux  security  bash  alias  malware 

それは可能ですか、またはこれはSMBを介して機能するWindowsマシンを介してのみ広がるのでしょうか？ SMBを介して提供するLinuxがwannacryptを拡散できる場合、どのようなアプローチを取るのですか？

8 linux  server-message-block  malware  smbfs 

ネットワーク速度が遅いという不満がユーザーから寄せられたため、Wiresharkを起動しました。いくつかのチェックを行ったところ、次のようなパケットを送信する多くのPCが見つかりました（スクリーンショット）： ユーザー名、コンピューター名、ドメイン名のテキストをぼかしました（インターネットのドメイン名と一致しているため）。コンピューターは、ブルートフォースハッキングパスワードを試行するActive Directoryサーバーにスパムを送信しています。それは管理者から始まり、アルファベット順にユーザーのリストを下に行きます。物理的にPCにアクセスしても、PCの近くにはだれも見つかりません。この動作はネットワーク全体に広がるため、何らかのウイルスのように見えます。Malwarebytes、Super Antispyware、およびBitDefender（これはクライアントが持っているアンチウイルスです）を使ってサーバーにスパムを送信しているのを発見されたコンピューターをスキャンしても、結果は得られません。 これは約2500台のPCを備えたエンタープライズネットワークであるため、再構築を行うことは好ましくありません。次のステップは、BitDefenderに連絡して、彼らが提供できる支援を確認することです。 誰かがこのようなものを見たことがありますか、それが何であるかについて何か考えを持っていますか？

8 security  active-directory  kerberos  malware  brute-force-attacks