Mein Rechner wurde als Verstärker für einen DRDoS-Angriff identifiziert. Wie kann ich nachvollziehen, wie mein Rechner dafür verwendet wurde und die verwendete Software entfernen?
Ich habe versucht, das Systemprotokoll des Computers zu überprüfen, konnte aber nichts finden. Es hieß, auf meinem Computer sei ein Dienst auf Port 17 UDP aktiv gewesen, der am Angriff beteiligt war, aber ich kann ihn derzeit mit netstat nicht finden.
Antwort1
Wenn der DDoS-Angriff vorbei ist, läuft das System, das auf Port 17 lauschte, möglicherweise nicht mehr, da der C&C-Server ihm möglicherweise gesagt hat, dass es herunterfahren soll. Es ist auch möglich, dass Ihr PC nichtVersendungDatenverkehr auf UDP/17, sondern es wurden Anfragen an einen anderen QOTD-Server auf UDP/17 erstellt.
Wenn Sie derjenige waren, der verstärkten Datenverkehr sendet, ist udp/17 traditionell QOTD (Quote of the Day), was auf keinem modernen Server wirklich etwas zu suchen hat. QOTD kann zur DNS-Verstärkung verwendet werden und sendet bis zu 512 Bytes für eine gefälschte UDP-Anforderung.
Die Möglichkeit, sich dagegen zu wehren, besteht darin, eine Firewall zu verwenden, die keine eingehenden Anfragen von Diensten zulässt, die Sie nicht explizit durchlassen.
Es kann jedoch auch einfach sein, dass Ihr Computer mit Malware infiziert ist und nicht als Verstärker verwendet wird, sondern dass Sie die Verstärkung angefordert haben (z. B. indem Sie gefälschte UDP-Pakete an einen anderen Computer gesendet haben, der die Verstärkung durchgeführt hat).
Wenn Sie Ihr eigenes Edge-Netzwerk betreiben, implementieren SieBCP38(oder bitten Sie Ihren Upstream-ISP, dies umzusetzen). Dies bedeutet im Wesentlichen: „Lassen Sie keinen Datenverkehr in Ihr Netzwerk hinein oder hinaus, der nicht für Ihr Netzwerk bestimmt ist oder nicht von Ihrem Netzwerk stammt.“ Wenn jedes Edge-Netzwerk und jeder ISP dies umsetzen würde, würden UDP-Amplification-Angriffe über Nacht verschwinden. Im Wesentlichen bedeutet dies, dass Ihr Edge-Gerät, wenn Ihr Computer anfängt, UDP-Anfragen zu fälschen, sagen würde: „Oh, diese UDP-Anfrage ist für bestimmt, 203.0.113.77
aber ich kenne nur das Netzwerk 198.51.100.0/24
, daher ist dieser Datenverkehr Müll und ich sollte ihn verwerfen, bevor ich ihn mein Netzwerk verlassen lasse.“ (BCP38 ist für Client-Netzwerke, nicht für Transit-Netzwerke. Wenn ISPs dies in allen ihren Netzwerken umsetzen würden, käme das Internet natürlich zum Stillstand.)
Noch wichtiger ist jedoch, dass Sie den gesamten Computer zerstören und neu starten müssen, wenn er mit dieser Malware infiziert ist.