我最近運行了 BitDefender AV 掃描,它發現並清除了 GenericKDZ 木馬 - 一種非常討厭的感染,其中包括擊鍵記錄器。我對安全性非常重視 - 總是更改預設密碼、強密碼、驗證連結、關閉不必要的服務、防火牆、NoScript、修補、氣隙等。 D資料磁碟機未凍結,但已加密)!
感染這種病毒令人震驚(擁有 15 年以上經驗和 3 張證書的 IT 專業人士)。不過,我不是安全專業人士。就我個人而言,我認為這很可能是一次有針對性的攻擊 - 根據當前的防火牆日誌,「似乎」我仍然受到攻擊 - 攻擊來自亞馬遜、MS 等運營的基於雲端的託管平台。始終來自同一網路組。他們正在掃描不同的連接埠和 IP。
最初,一些 Word 文件似乎受到了很小的“輕微”損壞 - 奇怪的是,這些文檔是用密碼鎖定的(我知道)。數十個文檔的損壞情況相同 - 似乎可能運行了一個腳本來首先解鎖這些文檔,然後以完全相同的方式損壞它們。奇怪的是,我的一些 Excel 工作簿突然出現了另一個非常奇怪的問題 - 當將遊標移動到不同的單元格時,遊標總共閃爍了 11 次。每次。所有新舊 Excel 電子表格都會發生這種情況。無論我是用大公式更新單元格、輸入數字“2”,還是只是將遊標移動到新的空白單元格,都沒關係。操作期間目前使用多少記憶體並不重要。它每次都會閃爍 11 次。 K,是字母表中的第11個字母。當你把一系列“K”放在一起時,你會得到什麼?嘗試將 3 個並排排列。非常非常奇怪。還有其他奇怪的事情發生,例如 Windows Defender 停止、更新失敗、離線掃描未完成、執行 SysInternals 時出現奇怪現像等。
我訂購了更換硬件,但非常奇怪的是,筆記型電腦螢幕上有揮舞旗幟的圖像殘留(啟動筆記型電腦時清晰可見)。我無法彌補這一點。
感染病毒的筆記型電腦確實在 BIOS 中啟用了 Computrace - 我不會妄下結論,但它是永久啟用的。解決這個問題的唯一方法是完全更換硬體。
我現在正在用替換筆記型電腦進行構建 - 新硬件,無 Computrace(禁用),全新安裝作業系統,防火牆,AV,更新,補丁等。攻擊的受害者。簡而言之,有以下幾個原因:
- 當我對我使用的網域進行 NSLOOKUP 時,我得到的回應總是指出“非權威答案”,這是非常令人擔憂的。除其他原因外,我不記得以前發生過這種情況。
- 當我對 Fidelity.com 等網域進行 Tracert 或 ping 操作時,我看到不同的 IP 位址。 (104.78.120.120) (69.192.61.249)。有時,像 Shutterstock.com 這樣的網站會給我 3 個不同的位址:tracert、ping 和 nslookup。我意識到很多網站都使用 CDNS,但我不確定這會如何影響負載平衡、IP 位址等。
- 當我查看網站證書時,我也看到了令人驚訝的事情。我看到我使用的本地銀行網站的「網域驗證」網站憑證。我希望至少能看到「組織驗證」證書。
- 當我執行“路由列印”命令時,我收到的回應表明大部分路由表為“on-link”。根據我的理解,這是創建一個指向相關 IP 的直接「撥號」連結並繞過網關。如果這是真的,這似乎確實令人震驚。
- 當我執行 Tracert 時,在封包到達我的 ISP 路由器之前我就看到了 5 個 IP 位址!乍一看,這些絕對看起來像是電腦 IP 位址(例如 1.2.3.4),而不是普通的路由器名稱。當我追蹤這些 IP 時,「似乎」它們位於 ISP 的網路上,問題是在做什麼。
- 我最近表示使用 BitDefender VPN 來提高安全性。然而,現在看來,我被迫使用位於芝加哥的 VPN 伺服器,而之前我能夠斷開連接,然後自動重新連接到其他美國伺服器 - 例如邁阿密或紐約。這是一個全新的軟體,只安裝了幾天。我現在唯一可以連接到的美國伺服器是位於芝加哥的一家名為“24 Shells”的公司。
- 我的電腦整天都不斷地與 WIFI 斷開連接——有些日子,情況比其他日子更糟。但奇怪的是,85% 的斷線發生在芝加哥的康卡斯特路由器。我打電話給支援人員,他們總是想指出我的設備和筆記型電腦。但事實仍然是,該航線 85% 的時間都很好,只是在芝加哥下降了。斷開並重新連接 wifi 似乎可以解決問題。這幾乎就像我在芝加哥的那個設備上被手動刪除一樣。
- 我沒有透過這個盒子(或任何時間任何設備)做任何邪惡的事情。我只是擁有需要保護的業務資產和資料。我在我的家庭辦公室經營合法的生意。
任何幫助或指導將不勝感激。
答案1
當我對我使用的網域進行 NSLOOKUP 時,我得到的回應總是指出“非權威答案”,這是非常令人擔憂的。除其他原因外,我不記得以前發生過這種情況。
non-authoritative answer是 NSLOOKUP 的完全正常回應。
非權威答案簡單來說就是沒有從所查詢網域的權威DNS伺服器取得答案。
當我對 Fidelity.com 等網域進行 Tracert 或 ping 操作時,我看到不同的 IP 位址。 (104.78.120.120) (69.192.61.249)。有時,像 Shutterstock.com 這樣的網站會給我 3 個不同的位址:tracert、ping 和 nslookup。我意識到很多網站都使用 CDNS,但我不確定這會如何影響負載平衡、IP 位址等。
您所描述的情況是正常的,也是這些網站所期望的。如果您的瀏覽器沒有表明憑證有問題,則對於有問題的網站,您正在造訪合法網站。
當然,您正在執行 BitDefender,它具有掃描安全 HTTP 流量的功能。 BitDefender 能夠使用其自己的憑證掃描安全加密的 HTTP 流量。
當我執行 Tracert 時,在封包到達我的 ISP 路由器之前我就看到了 5 個 IP 位址!乍一看,這些絕對看起來像是電腦 IP 位址(例如 1.2.3.4),而不是普通的路由器名稱。當我追蹤這些 IP 時,「似乎」它們位於 ISP 的網路上,問題是在做什麼。
這其實是完全正常的行為
我打電話給支援人員,他們總是想指出我的設備和筆記型電腦。但事實仍然是,該航線 85% 的時間都很好,只是在芝加哥下降了。斷開並重新連接 WiFi 似乎可以解決問題。這幾乎就像我在芝加哥的那個設備上被手動刪除一樣。
既然您已經確認自己感染了惡意軟體,那麼他們的結論(問題出在您的筆記型電腦上)似乎是正確的。聽起來您應該執行 Windows 的全新安裝並重新安裝所有應用程式。
我最近表示使用 BitDefender VPN 來提高安全性。然而,現在看來,我被迫使用位於芝加哥的 VPN 伺服器,而之前我能夠斷開連接,然後自動重新連接到其他美國伺服器 - 例如邁阿密或紐約。這是一個全新的軟體,只安裝了幾天。我現在唯一可以連接到的美國伺服器是位於芝加哥的一家名為“24 Shells”的公司。
我認為 BitDefender 製作了一些最糟糕的軟體。我只想使用不同的 VPN 應用程式。有更多的VPN提供者有更好的軟體,甚至更好地支援OpenVPN,所以這是不必要的。
就我個人而言,我認為這很可能是一次有針對性的攻擊 - 根據當前的防火牆日誌,「似乎」我仍然受到攻擊 - 攻擊來自亞馬遜、MS 等運營的基於雲端的託管平台。始終來自同一網路組。他們正在掃描不同的連接埠和 IP。
根據所描述的問題,我可以向您保證這不是有針對性的攻擊,而只是在很可能部分刪除惡意軟體感染後導致伺服器系統損壞的結果。您描述的大多數問題都不是實際問題。