Это началось несколько недель назад, и мы думали, что это вирус, поэтому мы проверили каждый компьютер, и хотя 50% (да, именно так) были заражены, после того, как их вылечили, проблема не исчезла. Это действительно расстраивает, поэтому я хочу разобраться, поэтому мне нужны предложения о том, как найти виновника. Я думаю, что маршрутизатор ведет журнал, но он регистрирует всех, поэтому трудно сказать, и я мог бы настроить прокси, но опять же трудно сказать, когда и что отслеживать. Каковы ваши предложения?
решение1
Лучший способ проверить наличие подобной проблемы — проверить шлюз вашего интернет-соединения.
Есть ли у вас какой-либо брандмауэр? Если да, то вам будет проще фильтровать журналы (на коробке), чем на маршрутизаторе.
Если нет, то в зависимости от вашего маршрутизатора вы все равно можете выполнить базовую фильтрацию журналов на маршрутизаторе. В идеале вы бы регистрировали весь трафик на сервере syslog.Сплунц, а затем фильтровать и искать оттуда.
Вам также следует проверитьэта ссылка, в котором были некоторые хорошие предложения и идеи. (Возможные расширения Firefox, ошибка Firefox и т. д.)
решение2
Я не собирался публиковать и отвечать, пока не дойду до конца вопроса, где вы просите о предложениях. У меня их всего два, и если они покажутся вам немного резкими, просто помните, вы спрашивали.
- Вам нужно очистить ВСЕ ваши машины и начать заново. С таким уровнем заражения вы никогда не будете уверены, что все очищено, пока вы этого не сделаете и на этот раз не установите достойное и эффективное антивирусное программное обеспечение.
- Наймите кого-нибудь с опытом, чтобы он пришел и помог вам. Получите их совет и выслушайте его. Все, что вы сказали до сих пор, говорит мне, что ваши системы в полном беспорядке, и вы, похоже, несколько неохотно принимаете соответствующие меры. Вы должны быть так заняты исправлением этого, что у вас не должно быть времени писать в Server Fault. Более того, комментарии типа «Я думаю, что маршрутизатор ведет журнал» говорят мне, что вы даже не знаете свое собственное оборудование. Чувак, ты в дерьме по уши и тебе нужен кто-то, кто вытащит тебя — быстро.
решение3
Как давно вы «чистили» системы? Я предполагаю, что у Google есть порог, по которому после срабатывания сигнализации должно пройти определенное время, прежде чем они сбросят порог.
Также я согласен с Крисом С., простое сканирование всех компьютеров один раз вряд ли очистит все, при таком высоком уровне заражения, как у вас, вероятность повторного заражения очищенных компьютеров еще не очищенными компьютерами высока. Я бы хотел сделать несколько проходов, пока не получу полностью чистый проход (никаких обнаружений), а затем регулярно контролировать его в течение некоторого времени. Когда я управлял сетью, в которой использовался Symantec, я помещал зараженные компьютеры в группу «тифозных Мэри» в Symantec, что означало, что они сканировались в два раза чаще (или чаще, если я был зол), чем обычные ПК.
решение4
Я не уверен, как Google справляется с большим количеством хостов за одним и тем же публичным IP, но есть невинные способы, которыми алгоритм блокировки ботов Google может быть неосознанно отключен благонамеренными пользователями. Так что если один человек в вашей сети сделает что-либо из следующего, он может пометить ваш IP:
Используя Google как тезаурус. Теперь, потерпите меня... Из-за большого количества определенного растения изхмельСемья, поглощенная в студенческие годы, у меня ужасная память, до такой степени, что мне трудно вспомнить даже общие слова или фразы. Во многих случаях, если тезаурус не выдает то, что я ищу, я делаю поиск в Google для фразы с подстановочным знаком вместо слова, которое ускользает из моей памяти, например
"police use of agent *". Иногда параметры поиска очень широки, и мне, возможно, придется продираться через 40-50 страниц результатов поиска (почему да, яделатьу меня ОКР). И это, к сожалению, запускает бот-фильтр, особенно когда я просматриваю 10-12 страниц в минуту. Это случалось со мной не раз, но обычно меня помечают только на час или два.Gmail стал действительно популярным почтовым сервисом, и к настоящему времени большинство очевидных хороших имен пользователей/адресов уже заняты. Поэтому в последний раз, когда я пытался зарегистрировать учетную запись Gmail, я перебрал, наверное, 30 разных имен пользователей, прежде чем нашел доступный адрес электронной почты, который был хотя бы немного приличным. К тому времени мой IP был отмечен, и Google разрешил мне зарегистрировать учетную запись. И после еще нескольких попыток все мои ответы Captcha были отклонены. Я не выполнял никаких поисков Google в этот период, но возможно, что это могло привести к тому, что IP будет отмечен для всех служб Google.