Это началось несколько недель назад, и мы подумали, что это вирус, поэтому мы проверили каждый компьютер, и все, хотя 50% (да, верно) были заражены, после очистки проблема не исчезла. Это действительно расстраивает, поэтому я хочу понять это, поэтому мне нужны предложения о том, как найти виновника. Я думаю, что у маршрутизатора есть журнал, но он регистрирует всех, поэтому трудно сказать, и я мог бы настроить прокси, но опять же трудно сказать, когда и что отслеживать. Ваши предложения?
Я не собирался публиковать и отвечать, пока не дойду до конца вопроса, где вы просите предложения. У меня только два, и если они кажутся немного резкими, просто помните, вы спросили.
Лучший способ проверить наличие такой проблемы - у вашего шлюза к интернет-соединению.
У вас есть какой-нибудь брандмауэр? Если это так, вы сможете фильтровать журналы (на коробке) проще, чем на маршрутизаторе.
В противном случае, в зависимости от вашего маршрутизатора, вы все равно можете выполнить базовую фильтрацию журналов на маршрутизаторе. В идеале вы должны регистрировать весь трафик на сервере системного журнала /Splunk, а затем фильтровать и искать оттуда.
Вы также должны проверить эта ссылка, у которого было несколько хороших предложений и идей. (Возможные расширения Firefox, ошибка Firefox и т. Д.)
Как давно вы «чистили» системы? Я ожидаю, что у Google есть порог, по которому после срабатывания будильника должно пройти определенное время, прежде чем они сбросят порог.
Также я согласен с Крисом С., простое сканирование всех компьютеров один раз вряд ли приведет к очистке всего, при таком высоком уровне заражения, как у вас, высока вероятность повторного заражения очищенных компьютеров компьютерами, которые еще не были очищены. Я бы хотел сделать несколько проходов, пока не получу полностью чистый проход (без обнаружений), а затем какое-то время регулярно его контролировать. Когда я управлял сетью, в которой использовалась Symantec, я помещал зараженные компьютеры в группу «больных тифом» в Symantec, что означало, что их сканировали в два раза чаще (или чаще, если я злился), чем обычные ПК.
Вот что ты можешь сделать.
Как сказал Джош, попробуйте посмотреть журналы вашего брандмауэра, чтобы узнать, что происходит в дампе PORT 80 на сервер системного журнала.
Это своего рода обходной путь. Установить Скрипач на машине (ах) и просмотрите в режиме реального времени просмотр HTTP-трафика скрипта, пока никто не использует эту машину. Это может дать вам представление о том, какая машина выполняет HTTP-запросы, когда никого нет за рулем. Fiddler используется разработчиками для отладки проблем HTTP.
Загляните в OpenDNS. Есть платная услуга, которая, как мне кажется, может блокировать активность шпионского ПО.
Надеюсь, это поможет.
Я не уверен, как Google обрабатывает большое количество хостов за одним и тем же общедоступным IP-адресом, но есть невинные способы, которыми алгоритм блокировки ботов Google может быть неожиданно отключен пользователями с благими намерениями. Итак, если один человек в вашей сети сделает одно из следующих действий, он может пометить ваш IP-адрес:
Использование Google в качестве тезауруса. А теперь послушайте меня ... Из-за большого количества определенного растения из хмель Когда я учился в семье, у меня была ужасная память, до такой степени, что я с трудом запоминаю даже общие слова или фразы. Во многих случаях, если тезаурус не показывает то, что я ищу, я выполняю поиск в Google по фразе с подстановочным знаком вместо слова, которое ускользает от меня, например "police use of agent *"
. Иногда параметры поиска очень широкие, и мне, возможно, придется пролезть 40-50 страниц результатов поиска (почему да, я делать есть ОКР). И это, к сожалению, срабатывает бот-фильтр, особенно когда я просматриваю 10-12 страниц в минуту. Такое случалось со мной не один раз, но обычно меня помечают всего на час или два.
Gmail стал действительно популярной службой электронной почты, и к настоящему времени уже занято большинство очевидных хороших имен пользователей / адресов. Итак, в последний раз, когда я пытался зарегистрировать учетную запись Gmail, я перебрал, вероятно, 30 разных имен пользователей, прежде чем нашел доступный адрес электронной почты, который был наполовину приличным. К тому времени мой IP-адрес был помечен, и Google разрешил мне создать учетную запись. И после еще нескольких попыток все мои ответы на Captcha были отклонены. В течение этого периода я не выполнял никаких поисков в Google, но, возможно, это может привести к тому, что IP-адрес будет помечен для всех сервисов Google.