অ্যাক্টিভ ডিরেক্টরি ব্যবহারকারীদের (বর্ণানুক্রমিক ক্রমে) জোর করে আক্রমণ আক্রমণ করার চেষ্টা করে এমন ভাইরাস?

ব্যবহারকারীরা ধীর গতির গতি সম্পর্কে অভিযোগ করতে শুরু করেছিল তাই আমি ওয়্যারশার্ককে বরখাস্ত করেছি। কিছু পরীক্ষা করে দেখেছিল এবং অনেকগুলি পিসি নিম্নলিখিতগুলির মতো প্যাকেটগুলি প্রেরণ করছে (স্ক্রিনশট):

আমি ব্যবহারকারীর নাম, কম্পিউটারের নাম এবং ডোমেন নামের জন্য পাঠ্যটি অস্পষ্ট করে দিয়েছি (যেহেতু এটি ইন্টারনেট ডোমেন নামের সাথে মেলে)। কম্পিউটারগুলি সক্রিয় ডিরেক্টরি সার্ভারগুলিকে জোর করে হ্যাকের পাসওয়ার্ডগুলি নষ্ট করার চেষ্টা করছে spam এটি অ্যাডমিনিস্ট্রেটর দিয়ে শুরু হবে এবং বর্ণানুক্রমিক ক্রমে ব্যবহারকারীদের তালিকা নীচে যাবে। শারীরিকভাবে পিসিতে গিয়ে এর কাছাকাছি কোথাও কেউ খুঁজে পায় না এবং এই আচরণটি নেটওয়ার্ক জুড়ে ছড়িয়ে পড়ে তাই এটি কোনও ধরণের ভাইরাস বলে মনে হয়। ম্যালওয়ারবাইটিস, সুপার অ্যান্টিস্পাইওয়্যার এবং বিটডেফেন্ডার (এটি ক্লায়েন্টের অ্যান্টিভাইরাস এটি) এর সাহায্যে সার্ভার স্প্যামিং করে এমন স্ক্যান করা কম্পিউটারগুলির কোনও ফলাফল পাওয়া যায় না।

এটি প্রায় 2500 পিসি সহ একটি এন্টারপ্রাইজ নেটওয়ার্ক তাই পুনর্নির্মাণ করা অনুকূল বিকল্প নয়। আমার পরবর্তী পদক্ষেপটি হ'ল তারা কী সহায়তা সরবরাহ করতে পারে তা দেখার জন্য বিটডিফেন্ডারের সাথে যোগাযোগ করা।
কেউ কি এর মতো কিছু দেখেছেন বা সম্ভবত এটি কী হতে পারে তার কোনও ধারণা আছে?

— নাট পিঞ্চট
সূত্র

গুগল এবং সমস্ত কী হিট হয়েছিল তার লাইন ধরে কিছু হতে পারে। মার্কিন সংস্থাগুলি বিগত মাস থেকে একবছর ধরে এমন কোনও ব্যক্তির দ্বারা আক্রান্ত হয়েছিল যা তাদের নিজস্ব শোষণ লিখতে সক্ষম হয়েছিল এবং যারা নিয়মিত নন-অ্যাডমিন ব্যবহারকারী থেকে ডোমেন অ্যাডমিনে উন্নতি করতে জানেন কে। গুগল এবং অন্যদের বিরুদ্ধে সাম্প্রতিক আক্রমণ সম্পর্কিত কিছু প্রযুক্তিগত গল্প অনুসন্ধান করুন।

— অ্যালেক্স হলস্ট

অ্যালেক্স, এটি একটি এপিটি আক্রমণটির মডেলের সাথে খাপ খায় না - এপিটি আক্রমণগুলি খুব সুনির্দিষ্ট, নির্দিষ্ট এবং নিম্ন কী। এই আক্রমণটি কীভাবে আবিষ্কার হয়েছিল? কারণ এটি নেটওয়ার্কের পারফরম্যান্সে একটি বড় হিট তৈরি করেছে - এটির জন্য কারও পক্ষে যথেষ্ট - অবশ্যই এপিটি নয়; আসল আক্রমণকারী ভেক্টরটিকে লুকিয়ে রাখাই যদি না হয়, তবে সম্ভবত এটি একটি অনুরাগ।

— জোশ ব্রাউন

উত্তর:

দুঃখিত, এটি কী তা আমার কোনও ধারণা নেই তবে আপনার কাছে এখনই আরও গুরুত্বপূর্ণ সমস্যা রয়েছে।

কয়টি মেশিন এটি করছে? আপনি কি তাদের সমস্ত নেটওয়ার্ক থেকে সংযোগ বিচ্ছিন্ন করেছেন? (এবং যদি না, কেন না?)

যে কোনও ডোমেন অ্যাকাউন্টের আপোস করা হচ্ছে তার প্রমাণ খুঁজে পেতে পারেন (বিশেষত ডোমেন প্রশাসক অ্যাকাউন্টগুলি)

আমি বুঝতে পারি যে আপনি আবার আপনার ডেস্কটপগুলি তৈরি করতে চান না, তবে আপনি যদি না করেন তবে আপনি মেশিনগুলি পরিষ্কার করবেন তা নিশ্চিত হতে পারবেন না।

প্রথম পদক্ষেপ:

আপনার ডোমেনে জটিল পাসওয়ার্ড সক্ষম রয়েছে তা নিশ্চিত করুন
একটি লক আউট নীতি সেট করুন - আপনার যদি এখনও স্ক্যানিং মেশিন থাকে তবে এটি আরও সমস্যার সাথে সমঝোতার চেয়ে আরও ভাল
একটি পরিচিত খারাপ মেশিনকে বিচ্ছিন্ন করুন, এটি কি বাইরের বিশ্বের সাথে কথা বলার চেষ্টা করছে? আপনার গেটওয়েতে আপনার নেটওয়ার্ক জুড়ে এটি ব্লক করা দরকার
সমস্ত পরিচিত খারাপ মেশিনকে আলাদা করার চেষ্টা করুন।
আরও স্ক্যানিং মেশিনের জন্য নিরীক্ষণ।
ফোর্স সব তাদের পাসওয়ার্ড পরিবর্তন করার জন্য আপনার ব্যবহারকারী, সব আপনার পরিষেবা অ্যাকাউন্ট চেক করুন।
কোনও অ্যাকাউন্ট আর ব্যবহারে অক্ষম করুন।
সার্ভার এবং ডিসি (ডোমেন প্রশাসক, প্রশাসক, ইত্যাদি) এ আপনার গোষ্ঠী সদস্যতার জন্য পরীক্ষা করুন Check

এরপরে আপনার যা জানা গেছে তা সনাক্ত করার জন্য আপনার জানা খারাপ মেশিনে কিছু ফরেনসিক করা দরকার। একবার আপনি এটি জানাজানি হয়ে গেলে, এই আক্রমণটির সুযোগ কী তা জানার জন্য আপনি আরও ভাল সুযোগে দাঁড়াতে পারেন। রুট কিট রিভেলার ব্যবহার করুন, সম্ভবত কোনও প্রমাণ নষ্ট করার আগে হার্ড ডিস্কটিকেও চিত্রিত করুন। এনটিএফএস সমর্থনযুক্ত লিনাক্স লাইভ সিডিগুলি এখানে খুব দরকারী।

বিবেচনা করার বিষয়গুলি:

সমস্ত ওয়ার্কস্টেশনগুলিতে আপনার কি কোনও মানক স্থানীয় প্রশাসক (দুর্বল) পাসওয়ার্ড রয়েছে?
আপনার ব্যবহারকারীদের প্রশাসনের অধিকার আছে?
সমস্ত ডোমেন প্রশাসকরা ডিএ ক্রিয়াকলাপের জন্য পৃথক অ্যাকাউন্ট ব্যবহার করছেন? এই অ্যাকাউন্টগুলিতে সীমাবদ্ধতা নির্ধারণ বিবেচনা করুন (যেমন ওয়ার্কস্টেশনগুলিতে আপনি লগ ইন করতে পারেন)।
আপনি আপনার নেটওয়ার্ক সম্পর্কে কোনও তথ্য দেবেন না। আপনার কি কোনও প্রকাশ্যে উন্মুক্ত পরিষেবা আছে?

সম্পাদনা: আরও তথ্য দেওয়ার চেষ্টা করা কঠিন, কারণ এটি আপনি যা আবিষ্কার করেন তা নির্ভর করে, তবে বেশ কয়েক বছর আগে একইরকম পরিস্থিতিতে থাকার কারণে আপনাকে সত্যিকার অর্থে সমস্ত কিছুতে অবিশ্বাস করা দরকার, বিশেষত মেশিন এবং অ্যাকাউন্টগুলি যে আপনি আপস করার জন্য জানেন।

— ব্রায়ান
সূত্র

আমাদের কাছে ভাল পাসওয়ার্ড এবং নীতি রয়েছে। বাইরের অ্যাক্সেস ইতিমধ্যে অত্যন্ত সীমাবদ্ধ (কেবলমাত্র প্রক্সি, বেশিরভাগ পোর্ট ব্লক করা ইত্যাদি ইত্যাদি) - কোনও সমস্যা নয়। সমস্ত ব্যবহারকারীকে পাসওয়ার্ড পরিবর্তন করতে বাধ্য করতে পারে না, তবে সমস্ত অ্যাডমিন ব্যবহারকারীরা করণীয়। ফরেনসিক সম্পর্কিত তথ্যের জন্য নীচে জোশে আমার মন্তব্য দেখুন। প্রয়োজনীয় যা ব্যতীত অন্য কোনও ব্যবহারকারীর প্রশাসকের অধিকার নেই। ডিএমজেডে ওয়েব ট্র্যাফিক ব্যতীত আর কোনও প্রকাশ্য পরিষেবা উন্মুক্ত করা হয়নি তবে এই মেশিনগুলি প্রভাবিত হয়নি - এখন পর্যন্ত কেবল ডেস্কটপগুলি।

— নেট পিঞ্চট

এটিও লক্ষণীয় যে আমি পুনর্নির্মাণটি অনুকূল নয় বলে আমি মূলত এই মুহুর্তে ডেটা পরে এসেছি যাতে আমি যে চিত্রটি পুনর্নির্মাণের জন্য ব্যবহার করছি তা রক্ষা করতে পারি যেহেতু স্পষ্টতই কোথাও কোনও ছিদ্র রয়েছে। যদি আমি "কীট জেনারিক" এর চেয়ে আরও দরকারী ডেটা খুঁজে পাই তবে আমি একটি উত্তরে পোস্ট করব। এটিকে যেহেতু উত্তর হিসাবে চিহ্নিত করা সত্যই এটি যাওয়ার পথ।

— নেট পিঞ্চট

আপনার ভেক্টরটি সনাক্ত করতে হবে যে এই কোডটি আপনার নেটওয়ার্কে প্রবর্তিত হয়েছিল। এটি সর্বদা ইন্টারনেট থেকে আসে না, ইউএসবি কী এবং ব্যক্তিগত স্টোরেজে কার্যকর হয়। যদি আপনি ভেক্টরটি খুঁজে না পান তবে এটি সম্ভবত ফিরে আসার সম্ভাবনা রয়েছে।

— ইউনিক্স জেনিটার

@Nate। এই পুরানো থ্রেডটিকে ব্যাক আপ টেনে আনতে দুঃখিত, তবে আপনি কেন সমস্ত ব্যবহারকারীকে পাসওয়ার্ড পরিবর্তন করতে বাধ্য করতে সক্ষম হন নি? আমরা এটি প্রত্যাহার ব্যবহারকারীদের সহ খুব বেশি প্রচেষ্টা ছাড়াই 25 কে ব্যবহারকারীদের জন্য করেছিলাম। আমি বিশ্বাস করি যাইহোক আপনার পক্ষে সব ভাল হয়েছে?

— ব্রায়ান

নেটওয়ার্কটি একটি বিদ্যালয়ের ব্যবস্থার জন্য, প্রায় 5 ক বা তার বেশি শিক্ষার্থী ব্যবহারকারী এবং প্রচুর কম্পিউটার-বুদ্ধিমান শিক্ষক এবং স্কুল কর্মী নেই with পরের লগইনে সমস্ত ব্যবহারকারীর পাসওয়ার্ড পরিবর্তন করতে এটি বেশ কিছুটা মাথা ব্যাথা তৈরি করতে পারত। সবকিছু ঠিকঠাক হয়েছে। আমরা সমস্ত প্রশাসনিক পাসওয়ার্ড পরিবর্তন করেছি, প্রয়োজনীয় হিসাবে ব্যাকআপ থেকে সার্ভার পুনরুদ্ধার করেছি এবং সমস্ত পিসি পুনরায় চিত্রিত করেছি।

— নাট পিঞ্চট

এটি L0phtCrack থেকে THC-Hydra বা এমনকি একটি কাস্টম কোডেড অ্যাপ্লিকেশন হতে পারে, যদিও আপনার এভি সমাধানটি সুপরিচিত অ্যাপ্লিকেশনগুলি বেছে নেওয়া উচিত ছিল।

এই মুহুর্তে, আপনাকে সংক্রামিত সমস্ত সিস্টেম সনাক্ত করতে হবে, সেগুলি পৃথক করা (ভ্যালান, ইত্যাদি), এবং ম্যালওয়্যারটি ধারণ এবং নির্মূল করতে হবে।

আপনি কি এখনও আপনার আইটি সুরক্ষা দলের সাথে যোগাযোগ করেছেন?

অবশেষে, আমি বুঝতে পারি যে আপনি পুনর্নির্মাণ করতে চান না, তবে এই মুহুর্তে (আপনার দেওয়া সামান্য তথ্য দিয়ে), আমি বলব যে ঝুঁকি পরোয়ানা পুনর্গঠন করে।

-Josh

— জোশ ব্রোয়ার
সূত্র

লিঙ্কগুলির জন্য ধন্যবাদ। আমাদের সম্ভবত পুনর্নির্মাণ করতে হবে, আমাদের ছবি আছে তবে আরও গুরুত্বপূর্ণ বিষয়, আমরা পুনর্নির্মাণ করতে চাই না এবং একই জিনিসটি আবার ঘটতে চাই না, তাই আমাদের কী তা আছে তা খুঁজে বের করা দরকার যাতে আমরা চিত্রগুলি এর বিরুদ্ধে রক্ষা করতে পারি এবং তারপরে পুনর্নির্মাণের। GMER ব্যবহার করে আমি নির্ধারণ করতে সক্ষম হয়েছি যে একটি রুটকিট ছিল এবং এটি ইনস্টল করা পরিষেবাগুলি অক্ষম করে। আমি পুনরায় বুট করার সময়, বিটডেফেন্ডার এটি কীট হিসাবে জেনেরিক হিসাবে সনাক্ত করেছে 26২26১৯৯ (এটির জন্য গুগলিং সহায়ক নয় - বা এটি তাদের ভাইরাস ডিবিতে অনুসন্ধান করছে না)। সুতরাং তাদের জন্য অপেক্ষা করুন এখন আমাকে আরও তথ্য দেওয়ার জন্য।

— নাট পিঞ্চট

নিট- প্রকৃতপক্ষে, কীট জেনেরিক ৪26২19১৯ আমাকে এখানে নিয়েছে ( goo.gl/RDBj ), যা আমাকে এখানে নিয়ে গেছে ( goo.gl/n6aH ), আপনি যদি প্রথম হিট ( goo.gl/Le8u ) দেখুন তবে বর্তমানে আপনার নেটওয়ার্কে সংক্রামিত ম্যালওয়ারের সাথে কিছু মিল ....

— জোশ ব্রোভার

"আমরা পুনর্নির্মাণ করতে চাই না এবং আবার একই ঘটনা ঘটতে চাই, তাই এটি কী তা আমাদের খুঁজে বের করতে হবে" +1 পরোয়ানা

— ম্যাক্সিমাস মিনিমাস

ফলাফলগুলি ওয়্যারশার্ক কী দেখছে তা নিশ্চিত করে তা নিশ্চিত করার জন্য একটি ভিন্ন ক্যাপচার প্রোগ্রাম চালানোর চেষ্টা করুন। অতীতে কার্বেরোস ট্র্যাফিকের ডিকোডিংয়ের ক্ষেত্রে ওয়্যারশার্কের সমস্যা ছিল। আপনি যা দেখছেন তা কোনও লাল রঙের হারিং নয় তা নিশ্চিত করুন।

আপনি ক্যাপচারে অন্য কোনও "অ্যানোমোলিজ" দেখছেন?

— joeqwerty
সূত্র

অবশ্যই কোনও রেড হেরিং নয়, একটি ভাইরাস আবিষ্কার করেছে - জোশ ব্রোভারের জবাব সম্পর্কে মন্তব্যগুলিতে বিশদ রয়েছে।

— নেট পিঞ্চট