Как я имею дело с удалением/уничтожением неизвестного червя в нашей сети?
люди. Большое спасибо за справку, но я нашел ответ один прежде, чем проверить любой из Ваших ответов, извините!
Для решения его, я сделал пользовательскую команду в commands.cfg файле, как это:
определите команду {
command_name custom_check_http command_line $USER1$/check_http -H $HOSTNAME$ -I $HOSTADDRESS$}
Едва ли уверенный в цели $USER1$, но это отказывает без него с 127 пределами из ошибки связей.
Определения хоста были уже правильно записаны с host_name и адресом (извините для того отсутствия информации!), подобный как тот, который записал pQd.
определите хост {
host_name SERVERNAME alias SERVERNAME_ALIAS address 192.168.1.52 ...}
Наконец определение сервиса в services_nagios2.cfg файле, просто простом как по умолчанию:
определите сервис {
hostgroup_name http-servers service_description Apache check_command custom_check_http use generic-service notification_interval 0 ; set > 0 if you want to be renotified}
Я' не понял использование $HOSTNAME$ переменных и $HOSTADDRESS$ прежде, чем задать этот вопрос. Еще раз спасибо за справку.
Это мои общие предложения для такого рода процессов. Я ценю, что вы уже рассмотрели некоторые из них, но лучше сказать что-то дважды, чем пропустить что-то важное. Эти примечания ориентированы на вредоносное ПО, которое распространяется в локальной сети, но может быть легко уменьшено для борьбы с более незначительными заражениями.
Остановка гниения и поиск источника заражения.
Убедитесь, что у вас есть актуальная резервная копия. каждая система и каждый бит данных в этой сети, о которых заботится бизнес. Убедитесь, что вы заметили, что этот носитель для восстановления может быть скомпрометирован, чтобы люди не пытались восстановить с него через 3 месяца, пока вы повернулись спиной, и снова заразили сеть. Если у вас есть резервная копия, сделанная до заражения, тоже отложите ее в сторону.
Выключите работающую сеть, если возможно, (вам, вероятно, потребуется сделать это, по крайней мере, как часть процесса очистки). По крайней мере, серьезно подумайте о том, чтобы держать эту сеть, включая серверы, отключенной от Интернета, пока вы не узнаете, что происходит - что, если этот червь крадет информацию?
Не забегайте вперед. Заманчиво просто сказать на данном этапе «чистая сборка всего», заставить всех менять пароли и т. Д. И назвать это «достаточно хорошо». Хотя вам, вероятно, придется сделать это рано или поздно , это может оставить у вас очаги инфекции, если вы не понимаете, что происходит в вашей локальной сети. ( Если вы не хотите дальше расследовать заражение, перейдите к шагу 6 )
Скопируйте зараженную машину в какую-либо виртуальную среду, изолируйте эту виртуальную среду от всего остального, включая хост-машину, перед загрузкой скомпрометированного гостя .
Создайте еще пару чистых виртуальных гостевых машин для заражения, затем изолируйте эту сеть и используйте такие инструменты, как WireShark , для мониторинга сетевого трафика (время воспользоваться этим фоном Linux и создать еще один гость в этой виртуальной локальной сети, который может наблюдать за всем этим трафиком, не будучи зараженным каким-либо червем Windows!) И Монитор процессов для отслеживания изменений, происходящих на всех этих машинах. Также учтите, что проблема может заключаться в хорошо скрытом рутките - попробуйте использовать надежный инструмент для их поиска, но помните, что это довольно трудная задача, поэтому поиск ничего не означает, что там ничего нет.
(Предполагая, что вы не отключили / не можете выключить основную локальную сеть) Используйте wirehark в основной локальной сети для просмотра трафика, отправляемого на / с зараженных машин. Рассматривайте любой необъяснимый трафик с любого компьютера как потенциально подозрительный - отсутствие видимых симптомов не свидетельствует об отсутствии какого-либо взлома . Вам следует особенно беспокоиться о серверах и любых рабочих станциях, на которых хранится критически важная для бизнеса информация.
После того, как вы изолировали все зараженные процессы на виртуальных гостевых системах, вы сможете отправить образец в компанию, которая сделала антивирусное программное обеспечение для вас. Используем на этих машинах. Они будут стремиться изучить образцы и внести исправления для любых новых вредоносных программ, которые они увидят. Фактически, если вы еще этого не сделали, вам следует связаться с ними и рассказать о своих горестях, так как они могут чем-то помочь.
Очень постарайтесь выяснить, каким был исходный вектор заражения - этот червь может быть эксплойтом, который был спрятан внутри взломанного веб-сайта что кто-то посетил, это могло быть принесено из дома на карту памяти или получено по электронной почте, и это лишь несколько способов. Взломал ли эксплойт эти машины через пользователя с правами администратора? Если да, не давайте пользователям права администратора в будущем. Вам нужно попытаться убедиться, что источник заражения исправлен, и вам нужно посмотреть, есть ли какие-либо процедурные изменения, которые вы можете внести, чтобы сделать этот путь заражения более трудным для эксплойтов в будущем.
Clean-up
Некоторые из эти шаги будут казаться излишними. Черт возьми, некоторые из них, вероятно, чрезмерны, особенно если вы определили, что на самом деле скомпрометированы лишь несколько машин, но они должны гарантировать, что ваша сеть настолько чиста, насколько это возможно. Начальству не понравятся некоторые из этих шагов, но с этим ничего не поделаешь.
Выключите все машины в сети. Все рабочие места. Все сервера. Все. Да, даже ноутбук сына-подростка босса, который сын использует, чтобы проникнуть в сеть, ожидая, пока папа закончит работу, чтобы сын мог поиграть в « dubious-javascript-exploit-Ville » в любой текущей социальной сети. медиа-сайт du-jour. Фактически, думая об этом, выключите эту машину , особенно . С кирпичом, если это то, что нужно.
Запускайте каждый сервер по очереди. Примените любое исправление, которое вы ' вы открыли для себя или были предоставлены компанией AV. Проверяйте пользователей и группы на предмет любых необъяснимых учетных записей (как локальных, так и AD), проверяйте установленное программное обеспечение на предмет непредвиденных обстоятельств и используйте wirehark в другой системе для отслеживания трафика, поступающего с этого сервера (если вы обнаружите любые проблемы на затем серьезно подумайте о восстановлении этого сервера). Выключите каждую систему перед запуском следующей, чтобы скомпрометированная машина не могла атаковать другие. Или отключите их от сети, чтобы вы могли сделать несколько одновременно, но они не могут разговаривать друг с другом, все хорошо.
Как только вы убедитесь, что все ваши серверы чисты, запустите их up и с помощью wirehark, монитора процессов и т. д. снова понаблюдайте за ними на предмет странного поведения.
Сбросьте каждый пароль пользователя . И, если возможно, пароли сервисных аккаунтов. Да, я знаю, что это боль. В этот момент мы собираемся выйти на территорию, "возможно, чрезмерную". Ваш звонок.
Восстановите все рабочие станции . Делайте это по очереди, чтобы возможно зараженные машины не сидели без дела в локальной сети, атакуя только что восстановленные. Да, это займет некоторое время, извините за это.
Если это невозможно, тогда:
Выполните шаги, описанные выше для серверов на всех «надеюсь чистых» рабочих станциях.
Восстановите все те, которые были показаны любой намек на подозрительную активность, и делайте это, пока все «надеюсь чистые» машины выключены.
Если вы еще этого не сделали, рассмотрите возможность централизованного антивирусного ПО, которое будет сообщать о проблемах обратно на сервер, где вы можете централизованно следить за проблемами. регистрация событий, мониторинг сети и т. д. Очевидно, выберите, какой из них подходит для нужд и бюджета этой сети, но здесь явно проблема, не так ли?
Проверьте права пользователей и установки программного обеспечения на этих машинах и настройте периодический аудит для убедитесь, что все по-прежнему так, как вы ожидаете. Также убедитесь, что пользователей поощряют сообщать о вещах как можно скорее, не стесняясь, поощряйте бизнес-культуру исправления ИТ-проблем, а не использования мессенджера и т. Д.
Вы сделали все, что сделал бы я (если бы я все еще был администратором Windows) - Канонические шаги (или были, в прошлый раз, когда я работал с Windows):
- Изолируйте пораженные машины.
- Обновите определения антивируса
Запустите AV / Malware / etc. сканирование всей сети - Удалите зараженные машины (полностью удалите присоски) и переустановите.
- Восстановите пользовательские данные из резервных копий (убедитесь, что они чистые).
Обратите внимание, что всегда есть вероятность, что вирус / червь / все, что таится в электронной почте (на вашем почтовом сервере) или внутри макроса в документе word / excel - если проблема не исчезнет, вам, возможно, придется более агрессивно чистить в следующий раз.
Первый урок, который можно извлечь из этого, заключается в том, что решения AV не идеальны. Даже близко.
Если вы в курсе последних новостей о поставщиках программного обеспечения AV, позвоните им. У всех есть номера поддержки именно для этого. На самом деле они, вероятно, будут очень заинтересованы в том, что вас поразило.
Как говорили другие, отключите каждую машину, протрите ее и переустановите. В любом случае вы можете воспользоваться этой возможностью, чтобы избавить всех от XP. Долгое время это была мертвая ОС. По крайней мере, это должно включать в себя уничтожение разделов HD и их переформатирование. Хотя похоже, что задействовано не так много машин, поэтому покупка совершенно новых замен может быть лучшим вариантом.
Также сообщите своему боссу (ам), что это просто стало дорого.
Наконец, зачем вам все это запускать с одного сервера? (Риторически, я знаю, что вы "унаследовали" его) DC НИКОГДА не должен быть доступен из Интернета. Исправьте это, установив соответствующее оборудование, которое обеспечит необходимую вам функциональность.
Скорее всего, это руткит, если ваши аудио / видео программы ничего не показывают. Попробуйте запустить TDSSkiller и посмотрите, что вы найдете. Кроме того, сейчас самое время просто заменить устаревшие компьютеры с Windows XP на что-то, что было старше десяти лет. Помимо программного обеспечения, такого как антивирусные программы, я очень мало встречал программ, которые нельзя было заставить работать с помощью прокладки или ослабления некоторых разрешений NTFS / реестра в Windows 7. На самом деле мало оправданий для продолжения. для запуска XP.