Računalnik tarča napada - kako se lotiti reševanja

Pozdravljeni, iz SI-CERT sem dobil naslednje sporočilo:

Spoštovani!

V mesecu oktobru smo prejeli več prijav, ki se nanašajo na računalnik v
vašem omrežju z IP naslovom 194.249.184.152. Prijavitelji navajajo, da je bil
vaš računalnik del porazdeljenega napada za onemogočanje (Distributed Denial
of Service). Navedbe smo lahko potrdili s pregledom podatkov o prometu na
omrežju Arnes. Vaš sistem proizvaja promet na različne tarče na vrata 80,
vendar po protokolu UDP:

Date first seen Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets Bytes Flows
2013-10-13 08:32:35.488 9.967 UDP 194.249.184.152:54608 -> 173.192.65.61:80 1280 1.9 M 1
2013-10-13 08:32:48.560 53.032 UDP 194.249.184.152:54608 -> 173.192.65.61:80 3072 4.6 M 1
2013-10-13 08:33:48.518 56.925 UDP 194.249.184.152:54608 -> 173.192.65.61:80 7936 11.9 M 1
2013-10-13 08:34:49.214 56.943 UDP 194.249.184.152:54608 -> 173.192.65.61:80 5376 8.1 M 1
2013-10-13 08:35:48.048 5.336 UDP 194.249.184.152:54608 -> 173.192.65.61:80 1280 1.9 M 1
2013-10-13 14:51:35.146 11.690 UDP 194.249.184.152:53404 -> 162.219.58.3:80 2304 3.5 M 1
2013-10-13 14:51:51.917 56.172 UDP 194.249.184.152:53404 -> 162.219.58.3:80 6144 9.2 M 1
2013-10-13 14:52:52.943 52.249 UDP 194.249.184.152:53404 -> 162.219.58.3:80 7168 10.8 M 1
2013-10-13 14:53:51.332 53.248 UDP 194.249.184.152:53404 -> 162.219.58.3:80 6144 9.2 M 1
2013-10-13 14:54:49.480 57.000 UDP 194.249.184.152:53404 -> 162.219.58.3:80 6144 9.2 M 1
2013-10-13 14:55:50.396 58.181 UDP 194.249.184.152:53404 -> 162.219.58.3:80 6656 10.0 M 1
2013-10-13 14:56:52.445 9.396 UDP 194.249.184.152:53404 -> 162.219.58.3:80 1280 1.9 M 1
2013-10-13 16:10:53.541 52.926 UDP 194.249.184.152:58358 -> 72.5.195.3:80 6144 9.2 M 1
2013-10-13 16:11:49.444 57.249 UDP 194.249.184.152:58358 -> 72.5.195.3:80 7424 11.1 M 1
2013-10-13 16:12:51.115 56.230 UDP 194.249.184.152:58358 -> 72.5.195.3:80 8192 12.3 M 1
2013-10-13 16:13:56.938 50.302 UDP 194.249.184.152:58358 -> 72.5.195.3:80 4096 6.1 M 1
2013-10-13 16:14:53.904 50.928 UDP 194.249.184.152:58358 -> 72.5.195.3:80 5376 8.1 M 1
2013-10-13 16:15:50.155 30.278 UDP 194.249.184.152:58358 -> 72.5.195.3:80 3328 5.0 M 1
2013-10-13 23:16:06.497 42.411 UDP 194.249.184.152:60321 -> 162.218.53.81:80 672768 19.5 M 1
2013-10-13 23:16:48.893 55.305 UDP 194.249.184.152:60321 -> 162.218.53.81:80 946432 27.4 M 1
...
2013-10-27 02:32:02.780 35.027 UDP 194.249.184.152:60483 -> 71.127.152.219:80 3072 4.6 M 1
2013-10-27 02:32:40.967 55.126 UDP 194.249.184.152:60483 -> 71.127.152.219:80 5120 7.7 M 1
2013-10-27 02:33:39.929 57.924 UDP 194.249.184.152:60483 -> 71.127.152.219:80 5120 7.7 M 1
2013-10-27 02:34:40.814 56.818 UDP 194.249.184.152:60483 -> 71.127.152.219:80 9728 14.6 M 1
2013-10-27 02:35:39.190 52.001 UDP 194.249.184.152:60483 -> 71.127.152.219:80 3840 5.8 M 1
2013-10-27 02:36:48.090 2.497 UDP 194.249.184.152:60483 -> 71.127.152.219:80 768 1.2 M 1
2013-10-27 21:06:46.008 52.894 UDP 194.249.184.152:57687 -> 195.211.221.104:80 645632 82.6 M 1
2013-10-27 21:06:45.876 0.000 UDP 194.249.184.152:57687 -> 195.211.221.104:80 256 32768 1
2013-10-27 21:07:38.960 59.809 UDP 194.249.184.152:57687 -> 195.211.221.104:80 699392 89.5 M 1
2013-10-27 21:08:39.087 59.798 UDP 194.249.184.152:57687 -> 195.211.221.104:80 712960 91.3 M 1
2013-10-27 21:09:38.924 59.865 UDP 194.249.184.152:57687 -> 195.211.221.104:80 715776 91.6 M 1
2013-10-27 21:10:39.091 59.875 UDP 194.249.184.152:57687 -> 195.211.221.104:80 687616 88.0 M 1
2013-10-27 21:11:38.986 59.806 UDP 194.249.184.152:57687 -> 195.211.221.104:80 696576 89.2 M 1
2013-10-27 21:12:39.097 59.846 UDP 194.249.184.152:57687 -> 195.211.221.104:80 700416 89.7 M 1
2013-10-27 21:13:39.494 43.899 UDP 194.249.184.152:57687 -> 195.211.221.104:80 542976 69.5 M 1

Najbolj verjetno je, da gre za okužbo računalnika, ki je sedaj
pod nadzorom tretje osebe, ki izvaja te napade. Dostop do računalnika
preko omrežja smo sedaj zaprli na mejah omrežja Arnes. To pomeni, da
dostop ni možen iz tujine ali drugih omrežij v Sloveniji (Telekom, T-2,
Amis, itd).

Prosim za nasvete, kako se lotiti zadeve. Gre za Windows Server 2008R2, nameščen je f-secure v.9.0, ki ne najde ničesar, microsoft security esentials ni našel ničesar. S katerimi orodji naj še pregledam računalnik (po možnosti free orodji). Računalnik v osnovni deluje b.p., le da vsake toliko časa izbruhne iz njega takšen promet, da nam celo LAN počepne in se pri pinganju izgubljajo paketki, router CISCO1941 pa nabije CPU na 80%, kar pomeni da tudi dostop do spleta počepne. Zadeva traja običajno 15 minut, nakar se umiri.

Kaj pomeni, da sistem proizvaja promet na različne tarče na vrata 80, vendar po protokolu UDP. Je to lahko povezano z XAMPP-om, ki je nameščen na tem računalniku in naložen moole?

Vsak nasvet dobrodošel, ta zadeva namreč presega moje znanje.

Hvala in lp
MAtjaž

Preveri stanje v offline načinu z nečim od teh:
https://slo-tech.com/forum/t578223/p413...
Če je omenjeni server tudi glavni router, ki izvaja nat, potem je lahko promet prišel tudi znotraj omrežja (kateri drug pc).

Kot prvo na svojem routerju blokiraj outgoing UDP na port 80, da se ti zunaj ne bodo pritoževali zaradi smetenja. Saj bi ti rekel, da zapri VSE in pusti odprte samo tiste outgoing porte, ki jih dejansko potrebuješ, vendar je to že malo bolj konkreten poseg v konfiguracijo.

Poleg zgoraj navedenih orodij za spremljanje kateri program bi lahko generiral promet, bi eventuelno priporočil še Pocesshacker in Moo0 Connection Watcher - slednji lahko zadeve shrani tudi v log datoteko.

Sicer pa je že Hayabusa nakazal možnost, da lahko promet izvira tudi s katerega drugega računalnika. Če sem prav razumel, gre promet ven čez Cisco router, kjer imaš verjetno NAT in tako ne moreš z gotovostjo trditi, da dejansko izvira s tega strežnika. Kakšen spodoben firewall, bi tu hitro razjasnil zadeve (oz. jih niti ven nebi spustil, če bi bil pravilno konfiguriran).

Seveda pa lahko tudi loviš paketke po mreži pred routerjem, nastaviš filter na UDP 80 in gledaš, kateri IP se ti bo pojavil kot source.

Nimam NAT, IP-ji so vsi zunanji v omrežju - gre za omreženje na šoli v upravljanju ARNESA in iz arnesa sem dobil podatek da je promet iz tega IP-ja, tako da ni mogoče, da bi kateri drugi PC povzročal ta promet. Game strežnika ni nobenega na tem računalniku, gre za resno mašino, na njej teče SQL server in programi kot si SAOP Icenter, VASCO, MLS, WEB server (XAMPP), druga pa ni.

Bom poskusil z omenjenimi predlogi pa bom videl kaj lahko naredim. Moram omeniti, da sem pred cca 2 mesecema zaradi počasnosti se poglobil malo v strežnik, ugotovil, da se je nekako skreiral račun z admin pravicami z imenom XXL in da je v tekel v zadju proces spoolv.exe (ni bil spoolsv.exe, ampak spoolv.exe). Pobrisal sem vse kar sem našel, a mora je od tega kaj ostalo.

Hvala za vse predloge, za še kakšen predlog bom pa vesel.

Hvala in lp
matjaž

Se bom potrudil vzdržati komentiranja (ne)varne postavitve omrežja.

Tisti spoolv.exe je najverjetneje bil trojanec/črv (če je verjeti Trend Micru), ki je lahko pustil še druge škodljivce za seboj. Glede na to, da se zna razmnoževati preko mreže, bo obvezen pregled tudi ostalih računalnikov po hiši.

Vsekakor bo treba preizkusit še kakšen antivirus/rootkit remover, dokler ne najdeš takega, ki zadevo zazna in uspešno odstrani. Google mi je vrgel ven, da nek 'UnHackMe' to nadlogo kvazi uspešno odstranjuje, lahko pa da se gre zgolj za zavajajočo reklamo.
Najprej preizkusi malo bolj znana orodja, predvsem pa najprej naredi še kakšen backup za vsak slučaj, če bi bilo čisčenje 'preveč uspešno'.

Dolgoročno pa razmisli, kako boš bolje zaščitil strežnik, ki očitno nima ravno trivialnega pomena za vas.