টি এল; ডিআর
আমি নিশ্চিত যে আমাদের ছোট নেটওয়ার্কটি একরকম পোকার / ভাইরাস দ্বারা আক্রান্ত হয়েছে। তবে এটি কেবল আমাদের উইন্ডোজ এক্সপি মেশিনকেই ক্ষতিগ্রস্থ করছে বলে মনে হচ্ছে। উইন্ডোজ 7 মেশিন এবং লিনাক্স (ভাল, হ্যাঁ) কম্পিউটারগুলি অকার্যকর বলে মনে হচ্ছে। অ্যান্টি-ভাইরাস স্ক্যানগুলি কিছুই দেখায় না, তবে আমাদের ডোমেন সার্ভার বিভিন্ন বৈধ এবং অবৈধ ব্যবহারকারী অ্যাকাউন্টগুলিতে বিশেষত প্রশাসককে হাজার হাজার ব্যর্থ লগইন প্রচেষ্টা লগ করেছে। আমি কীভাবে এই অজানা কৃমিটি ছড়িয়ে পড়া বন্ধ করতে পারি?
লক্ষণ
আমাদের উইন্ডোজ এক্সপি ব্যবহারকারীর মধ্যে কয়েকজন একইরকম সমস্যা রিপোর্ট করেছেন, যদিও সম্পূর্ণ অভিন্ন নয়। তারা সকলেই এলোমেলো শাটডাউন / পুনঃসূচনাগুলি যা সফ্টওয়্যার দ্বারা শুরু করা হয়েছে তা অভিজ্ঞতা অর্জন করে। কম্পিউটারগুলির মধ্যে একটিতে ডায়ালগটি সিস্টেম পুনরায় আরম্ভ না হওয়া অবধি গণনা সহ পপ আপ হয়, দৃশ্যত এনটি-অথরিটি Y সিস্টেম দ্বারা শুরু হয়েছিল এবং এটি আরপিসি কল সহ করতে হবে। বিশেষত এই ডায়ালগটি পুরানো আরপিসির শোষণকারী কৃমির বিবরণ সম্পর্কিত নিবন্ধগুলিতে হুবহু একই রকম।
দুটি কম্পিউটার পুনরায় বুট করার পরে, তারা লগইন প্রম্পটে ফিরে এসেছিল (তারা ডোমেন কম্পিউটার) তবে তালিকাভুক্ত ব্যবহারকারীর নাম 'অ্যাডমিন' ছিল, যদিও তারা প্রশাসক হিসাবে লগইন করেনি।
আমাদের উইন্ডোজ সার্ভার 2003 মেশিনটি ডোমেনটি চালাচ্ছে, আমি লক্ষ্য করেছি বিভিন্ন উত্স থেকে কয়েক হাজার লগইন প্রচেষ্টা। তারা প্রশাসক, প্রশাসক, ব্যবহারকারী, সার্ভার, মালিক এবং অন্যান্য সহ সমস্ত পৃথক লগইন নামের চেষ্টা করে।
কিছু লগ আইপি তালিকাভুক্ত, কিছু না। যেগুলির সোর্স আইপি ঠিকানা ছিল (তার মধ্যে ব্যর্থ লগইনগুলির জন্য) তাদের মধ্যে দুটি দুটি উইন্ডোজ এক্সপি মেশিনের সাথে পুনরায় বুট করার অভিজ্ঞতা রয়েছে। গতকালই আমি বাইরের আইপি ঠিকানা থেকে অনেকগুলি ব্যর্থ লগইন প্রচেষ্টা লক্ষ্য করেছি। একটি ট্রেস্রোয়েট দেখিয়েছে যে বাইরের আইপি ঠিকানাটি কানাডিয়ান আইএসপি হতে হবে। আমাদের সেখান থেকে কখনও সংযোগ থাকা উচিত নয় (যদিও আমাদের ভিপিএন ব্যবহারকারী রয়েছে)। সুতরাং আমি এখনও নিশ্চিত নই যে একটি ফোরইগেন আইপি থেকে লগইন প্রচেষ্টা নিয়ে কী চলছে।
এটি স্পষ্টতই মনে হয় যে এই কম্পিউটারগুলিতে কোনও ধরণের ম্যালওয়্যার রয়েছে এবং এটি যা করে তার একটি অংশ অ্যাক্সেস পাওয়ার জন্য ডোমেন অ্যাকাউন্টগুলিতে পাসওয়ার্ডগুলি গণনা করার চেষ্টা করা হয়।
আমি এতদূর যা করেছি
কী ঘটছে তা উপলব্ধি করার পরে, আমার প্রথম পদক্ষেপটি ছিল তা নিশ্চিত করা যে সবাই আপ টু ডেট অ্যান্টি-ভাইরাস চালাচ্ছে এবং একটি স্ক্যান করেছে। প্রভাবিত কম্পিউটারগুলির মধ্যে একটির মেয়াদোত্তীর্ণ অ্যান্টি-ভাইরাস ক্লায়েন্ট, তবে অন্য দুটি নর্টনের বর্তমান সংস্করণ এবং উভয় সিস্টেমের সম্পূর্ণ স্ক্যান কিছুই আপ করে নি।
সার্ভার নিজেই নিয়মিত আপ টু ডেট অ্যান্টি-ভাইরাস চালায় এবং কোনও সংক্রমণ দেখায় নি।
সুতরাং উইন্ডোজ এনটি ভিত্তিক কম্পিউটারগুলির 3/4 কম্পিউটারে অ্যান্টি-টু ডেট অ্যান্টিভাইরাস রয়েছে তবে এটি কিছুই সনাক্ত করতে পারেনি। তবে আমি নিশ্চিত যে কিছু চলছে যা মূলত বিভিন্ন অ্যাকাউন্টের হাজার হাজার ব্যর্থ লগইন প্রচেষ্টা দ্বারা প্রমাণিত।
আমি আরও লক্ষ্য করেছি যে আমাদের মূল ফাইল ভাগের মূলটিতে বেশ খোলা অনুমতি ছিল, তাই আমি কেবল এটি সাধারণ ব্যবহারকারীদের জন্য + চালানো পড়তে সীমাবদ্ধ করেছিলাম। প্রশাসকের অবশ্যই সম্পূর্ণ প্রবেশাধিকার রয়েছে। আমি ব্যবহারকারীদের তাদের পাসওয়ার্ডগুলি আপডেট করতে চাই (শক্তিশালীগুলিতে), এবং আমি সার্ভারে প্রশাসকের নাম পরিবর্তন করতে এবং এর পাসওয়ার্ড পরিবর্তন করতে চলেছি।
আমি ইতিমধ্যে নেটওয়ার্কের বাইরে থাকা মেশিনগুলি নিয়েছি, একটি নতুন একটি দ্বারা প্রতিস্থাপিত হচ্ছে, তবে আমি জানি যে এই জিনিসগুলি নেটওয়ার্কগুলির মাধ্যমে ছড়িয়ে যেতে পারে তাই আমার এখনও এটির নীচে পৌঁছানো দরকার।
এছাড়াও, সার্ভারটির একটি NAT / ফায়ারওয়াল সেটআপ রয়েছে কেবলমাত্র কয়েকটি নির্দিষ্ট পোর্ট খোলা। আমি লিনাক্স ব্যাকগ্রাউন্ড থেকে আসা পোর্টগুলি সহ পোর্টগুলি সহ উইন্ডোজ সম্পর্কিত কিছু পরিষেবাদি সম্পর্কে এখনও সম্পূর্ণ তদন্ত করেছি।
এখন কি?
সুতরাং সমস্ত আধুনিক এবং আধুনিক যুগের অ্যান্টি-ভাইরাস কিছুই সনাক্ত করতে পারেনি তবে আমি নিশ্চিত যে এই কম্পিউটারগুলিতে কিছুটা ভাইরাস রয়েছে। আমি এই মেশিনগুলি থেকে উদ্ভূত হাজারে লগইন প্রচেষ্টাগুলির সাথে মিলিত এক্সপি মেশিনগুলির এলোমেলো পুনঃসূচনা / অস্থিরতার উপর ভিত্তি করে আছি।
আমি যা করার পরিকল্পনা করছি তা হল ক্ষতিগ্রস্থ মেশিনগুলিতে ব্যবহারকারীদের ফাইলগুলি ব্যাক আপ করা, এবং তারপরে উইন্ডোজ পুনরায় ইনস্টল করা এবং ড্রাইভের তাজা বিন্যাস করা। অন্যান্য ফাইলগুলিতে ছড়িয়ে পড়ার জন্য ব্যবহৃত সাধারণ ফাইল শেয়ারগুলি সুরক্ষিত করার জন্যও আমি কয়েকটি ব্যবস্থা নিচ্ছি।
এই সমস্ত কিছু জানার পরে, এই কীটটি নেটওয়ার্কে অন্য কোথাও না রয়েছে তা নিশ্চিত করতে আমি কী করতে পারি এবং কীভাবে আমি এটিকে ছড়িয়ে পড়া থেকে আটকাতে পারি?
আমি জানি এটি একটি আঁকানো প্রশ্ন, তবে আমি এখানে আমার গভীরতার বাইরে এবং কিছু পয়েন্টার ব্যবহার করতে পারি।
দেখার জন্য ধন্যবাদ!