小弟架了一個網站,用的架站軟體是appserv,但自從透過隨身碟中了病毒或惡意軟體後,就被計中通知我的主機一直在送資料出去而被斷線,我一開始的處理是重灌主機(把所有分割槽打散重切重新格式化),灌好之後防毒用小紅傘(professional),windows的防火牆也開啟,再利用appserv再架一次網站。結果還是被計中通知說疑似被值入惡意軟體,一直在送資料出去給國外的主機。請問各位網友有相關的經驗能提供我解決辦法或建議嗎?謝謝! 計中給我的log檔如下所附,再次謝謝!
=======================
客 戶 名 稱
國立台灣大學示範點
事 件 編 號
0000038075
事 件 名 稱
主機進行大量IRC連線(IRC: IRC Client Activity Detected)
事 件 類 型
中繼站
風 險 等 級
第1級事件
發 生 時 間
2011-08-24 11:09:33.000
發 生 次 數
101
攻 擊 來 源 IP
140.112.56.4
攻 擊 來 源 PORT
多個來源PORT
目 標 IP
188.120.245.53
目 標 PORT
6661
事 件 說 明
行 為 分 析
入侵偵測防禦系統偵測到來源IP(140.112.56.4)對目標IP(188.120.245.53)進行IRC
連線。
這個警示屬於資訊提示,並非攻擊性警示。 您的安全性原則可能會限制 IRC 連線,因此這個警示可能違反安全性原則。 某些類型的惡意軟體(
(例如,間諜軟體))) 使用 IRC 做作為通訊工具,這些工具會在使用者不知情的狀況下嘗試進行 IRC 連線。 後者的活動可能表示主機已遭到破壞。
可 能 影 響
來源IP可能遭受駭客入侵或遭植入惡意程式,並造成資訊外洩或成為殭屍網路一員而對外發動攻擊。 這個警示表示,偵測到 IRC 工作階段。
建議處理措施
若來源IP該連線行為已得到授權,則請忽略此訊息。
若來源IP該連線為異常行為,可先利用掃毒軟體進行全系統掃描,並利用ACL暫時阻擋該可疑IP。同時建議管理者進行以下檢查:
a.請查看來源IP有無異常動作(如:新增帳號、開啟不明Port、執行不明程式)。
b.確認防毒軟體的病毒碼已更新為最新版本、系統已安裝相關修正檔,或關閉不使用的應用軟體與相關通訊埠。 這個警示可協助辨識正嘗試進行 IRC
連線的主機,以及所嘗試連接的伺服器/通訊埠。 如果您的網路限制使用 IRC,或是在已知未執行 IRC 軟體的主機上偵測到 IRC
的活動,則您應該調查相關的主機。
發生次數: 101 #s 開始時間 名稱 來源 IP 來源 Port 來源地國名 目的
IP 目的 Port 目的地國名 集合事件數
設備行動 設備客制字串1 檔案名稱 設備產品 1 2011/08/24 11:08:52 IRC: IRC
Client Activity
Detected 140.112.56.4 Taiwan 188.120.245.53 6661 Russian Federation
41 IntruShield 2 2011/08/24 11:08:08 IRC: IRC Client Activity
Detected 140.112.56.4 Taiwan 188.120.245.53 6661 Russian Federation
37 IntruShield 3 2011/08/24 11:07:40 IRC: IRC Client Activity
Detected 140.112.56.4 Taiwan 188.120.245.53 6661 Russian Federation
23 IntruShield
