Некоторые из наших компьютеров в нашей компании были заражены червем Conficker. Мы не знаем источника заражения, но я хочу наблюдать за внешней активностью, чтобы узнать, инфицированы ли мы (некоторые компьютеры мы уже «защитили»). Это важно для того, чтобы я мог попросить, чтобы меня не внесли в список.
Мой вопрос: что означает, что я должен отслеживать весь исходящий трафик с моего исходного IP-адреса и / или конкретный трафик на конкретный IP-адрес, и / или исходящий трафик на основе портов (трафик с каждого порта вместе со своим портом назначения / IP), все удаленно (вне зараженной сети)?
Я не спрашиваю здесь о способах обнаружения зараженных компьютеров, но хочу видеть внешнюю активность как косвенное доказательство «чистоты».
Посмотреть наш IP и описание нашей заразы вы можете по следующей ссылке:
http://cbl.abuseat.org/lookup.cgi?ip=79.108.33.94&.pubmit=Lookup
IP-адрес назначения - 216.66.15.109. Если я dig в этом:
$ dig -x 79.108.33.94
109.64-26.15.66.216.in-addr.arpa. 3600 IN PTR sinkhole-iad1-1.cwg.fsi.io.
Никаких сюрпризов (четко обозначено как воронка).
Я могу исследовать из дома (Ubuntu 14.04), но, если мой интернет-провайдер или маршрутизатор каким-то образом блокирует меня, я могу ssh-подключиться к общедоступному серверу нашей компании (Ubuntu Server 14.04) для сканирования оттуда. Итак, давайте предположим, что у меня нет ограничений на такое сканирование.
Если на вашем маршрутизаторе включен rflow, вы можете отправить отчет на внешний компьютер, на котором запущен сборщик rflow.
Пример для роутера ddwrt: http://www.dd-wrt.com/wiki/index.php/Using_RFlow_Collector_and_MySQL_To_Gather_Traffic_Information