روش مبارزه با یک کرم خطرناک

**m_golpayegani** · 2007-05-13, 10:52 PM

سلام دوستان
دو روزه که اعصابم خیلی داغون شده ، چون سیستمی که Mail Server روش بود ، بعد از اینکه ریست شد ، همون پیغام معروف کرم Blaster رو داد که سرویس RPC ویندوز کار نمی کنه و بعد از 1 دقیقه ویندوز باید ریست بشه.
من که دارم شاخ می آرم. آخه ویندوز 2003 من سرویس پک 2 داره ، پس چطور به Blaster آلوده شده ؟؟؟؟؟
کل هارد رو فرمت کردم دوباره پارتیشن بندی کردم ، بعد از نصب ویندوز وقتی سیستم رو وارد دامین کردم دوباره پیغام داد.
یه مدل ویندوز 2003 دیگه ریختم ، بعد از 1 ساعت اونم پیغام داد.نکته جالب هم اینه که فقط این یک سیستم اینطوری شده و بقیه سرورها با اینکه ریست شون کردم ، مشکلی نداشتن.

بعدش هم اینکه روی تمام سرورهای من Nod32 آپدیت شده وجود داره ولی اصلا هیچ پیام هشداری ندیدم ؟؟؟

آیرا هم نرم افزار GFI WEB MONITOR رو داره که توی خودش آنتی ویروس داره. پس چطوی آلوده شدم ؟؟؟

و مهمتر از همه اینکه من با هر نوع آنتی ویروسی که فکرش رو بکنید تست کردم ، میگه سالمه سالمه !!! هیچی نشون نمیده !!!!

سوال من اینه که اگر Blaster هستش چرا Fix Blaster روش جواب نمیده و از کجا بفهمم که چه نوع کرم یا ویروسی گرفتم ؟؟؟؟؟

خیلی برام مهمه که جواب بدین ، کارم گیره...

**Hakimi** · 2007-05-14, 06:22 AM

کل Hard رو Format کنید. بدون اتصال به شبکه Windows نصب کنید و بعد هم SP2
سپس Update های بعد از SP2 رو روی یک سیستم دیگه دریافت کنید و به سرور تازه نصب شده منتقل کنید و نصب کنید. دقت کنید که هنوز نباید سیستم را به شبکه متصل کنید.
سپس Antivirus نصب کنید. من Symantec را توصیه می کنم. Corporate Edition 10.1.6.6000 آخرین نسخه موجود است.
بعد IP بدهید و به شبکه متصل کنید، در اولین گام یک بار برای اطمینان بیشتر Windows Update را اجرا کنید تا از به روز بودن اطمینان حاصل کنید.

قاعدتا با این شرایط نباید هیچ مشکلی داشته باشید.

پس از اطمینان از صحت عملکرد سیستم، آن را وارد Domain کنید و به ادامه نصب برنامه ها بپردازید.

در گام بعد برای رفع اساسی مشکل
تمامی سرورهای خود را از نظر به روز بودن و امن بودن مورد آزمایش و کنترل قرار دهید.
دقت کنید در کدام سیستم ها از کاربر با سطح دسترسی Domain Admin استفاده شده است، آن سیستم ها را با دقت بررسی کنید.
از کاربر با سطح دسترسی Domain Admin برای کارهای عمومی استفاده نکنید و روی Client هایتان با کاربری معمولی کار کنید.

**a_ahmadi** · 2007-05-14, 08:12 AM

وارد رجيستر شده
به قسمت زير رفته
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
EnableDCOM را به N تغيير بدهيد مشكل شما به احتمال زياد حل خواهد شد
يا اينكه كد زير در فايل نوت پد قرار داده به پسوند reg تبديل و اجرا كنيد

کد:

 
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"

**m_golpayegani** · 2007-05-14, 10:00 AM

محمد جان از توضییحاتی که دادی بسیار ممنونم

راه حل رو تست می کنم. البته من از ویندوز 2003 R2 استفاده می کنم. از نظر شما این ویندوز خوبه ؟

بعدش هم اینکه همونطور که گفتم توی بقیه سرورهام موردی دیده نشده ، فقط این یکی اینطوری شده ، که این برام خیلی عجیبه !!! نظر شما چیه ؟

**Hakimi** · 2007-05-14, 10:15 AM

خوب بودن که خوب است. من کی باشم که بگم 2003 خوبه یا بده!

ولی، نیازی به قابلیتهای R2 دارید که R2 نصب کرده اید؟
قاعدتا هر چه سرویس های کمتری روی سرورتان وجود داشته باشد، خطاهایی هم که ممکن است رخ دهند کمتر هستند. پس به عنوان یک اصل کلی هیچ سرویس و Application اضافی نباید بر روی سرور وجود داشته باشد.

در مورد این که بقیه سرور ها مشکلی ندارند،احتمالا به آن دلیل است که به روز هستند و بنابراین مشکلی برایشان پیش نیامده است.
من به Client هایتان مشکوکم، مخصوصا آنهایی که با کاربر دارای سطح دسترسی Domain Administrator مورد استفاده قرار می گیرند.

به عنوان یک اصل کلی: از کاربرانی که سطح دسترسی بالا دارند، به غیر از در مواقع نیاز استفاده نکنید. هرگز با کاربری که سطح دسترسی Domain Admin دارد روی یک Client به Browse کردن در اینترنت نپردازید. برای کارهای عمومی خود از کاربری با سطح دسترسی معمولی استفاده کنید که نهایتا روی همان سیستم خودتان Administrator باشد.

**m_golpayegani** · 2007-05-14, 01:57 PM

خدا خیرت بده. با همون روشی که گفتی قدم به قدم جلو رفتم فعلا داره درست کار می کنه و فقط هم پروتکل های MaIL رو روی آیزا براش باز گذاشتم که برنامه Exchang POP3 بتونه کار کنه.

آنتی ویروس هم Symantec Corporate Edition روش نصب هستش. باز هم اگر نکته امنیتی خاصب به نظرت میرسه ما رو بی نصیب نکن حاجی...

**resius92** · 2007-05-18, 11:31 AM

فکر میکنم برای ایشون مزیت R2 این باشه که میتونه بعد از نصب ویندوز با پورتهای بسته به سایت وصل بشه و ویندوز رو کاملا آپدیت کنه. و بعد از آپدیت کامل پورتها و سرویسها را فعال کند.

**Hakimi** · 2007-05-18, 11:47 AM

البته این نکته که ذکر کردید از قابلیتهای R2 نیست و روی 2003 معمولی هم وجود دارد.

**resius92** · 2007-05-18, 11:50 AM

سلام
آیا این امکان به صورت default بعد از نصب 2003 معمولی است یا باید کار خاصی انجام داد؟ چون در ویندوزهای 2003 معمولی من بعد از نصب هیچ گزینه ای برای فعال کردن یا نکردن پورتها ظاهر نمیشد.

**parviz_p_t** · 2007-05-18, 01:13 PM

1. اصلا به ویندوز ت کاری نداشته باش
2. تا پیغام رو دیدی ( قبل از اتمام وقتت ) توی ران این دستور رو اجرا کن :
shutdown -a
توی ستاپ سیستم ساعت سیستمت رو کمی جلو جلو ببر ( راه حل قطعی برای هربار آلوده شدن )
من هم شرایط شما رو داشتم
اما جواب گرفتن از این روش 1000000000000 درصده
اما هنوز نمی دونم چرا سیمانتک آپ شده هم اونو نمی شناسه و بعد از نصب مجدد ویندوز هنوز هم هستش
اگه کسی بلده به ما هم بگه

**resius92** · 2007-05-18, 09:37 PM

اینجوری که یه نفر باید 24 ساعته بالای سرور باشه!
به این روش میگن نصب ادمین به جای نصب برنامه!!

**m_golpayegani** · 2007-05-19, 05:32 AM

به اون دوست عزیزم باید بگم که :

عزیزم درسته که این روش شما عمل میکنه ولی شما میدونی وقتی سرویس های ویندوز Disable میشن و مثلاً روی سروری که Exchange نصب شده و باید کار کنه ، این کرم فعال بشه ، اون وقت فقط با جلوگیری از بوت شدن سیستم میشه گفت همه چیز مرتبه !!!؟؟؟

دوم هم خدمت بقیه بچه ها بگم که این احتمالاً Blaster نبوده ، چون من با تحقیقاتی که کردم متوجه شدم یک کرم جدید بنام W32/RJump.B هم بتازگی شیوع پیدا کرده که تقریباً شبیه همین Blaster عمل می کنه.

**naserturk** · 2007-05-19, 04:23 PM

من یکی اشکم در اومده
تو اداره یکی از این کارمندهای ....... یه کول دیسک زده به سرور و فرشتگان الهی دهن سرور را مورد عنایت قرار داده اند

دقیقا هم همین بلا سرش اومده

بلاخره بعد از زیر رو کردن این انجمن متوجه نشدم کدوم انتی ویروس و فایروال نرم افزاری بهتر از همه هستش

محمد خان ایا همین نورتن خوبه ؟ از این بهترش نیست ؟

**m_golpayegani** · 2007-05-20, 01:51 PM

دوستان سلام مجدد
من دوباره همون مشکل روی یه کامپیوتر دیگه برام پیش اومده !!!!

هارد رو LOW-LEVEL-FORMAT کرئم و ویندوز رو Local ریختم و آپدیت کردم.آنتی ویروس Nod32 رو هم از طریق CD اوریجینالش که داشتیم قبلاً نصب کردم و کار کرد... ولی :

وقتی خواستم بیارمش توی دامین ، اولین بار پیفام داد که همچین دامینی رو پیدا نکرده که خیلی هم تعجب کردم. بعد از ریست کردن اومد توی دامین ، اما وقتی بعد از ریست شد ، یکدفعه پیغام سرویس rpc رو داد و....

واقعا دیگه کلافه شدم. فکر می کنم توی دامین من یکی از کلاینت ها یا سرورها ویروس داره. ولی چرا بقیه کامپیوتر ها نشدند !!!؟؟؟

**mgholami** · 2007-05-22, 08:30 AM

شاید واقعا از ویروس نیست ؟!!؟

موضوع: روش مبارزه با یک کرم خطرناک

پیوند

ابزارهای موضوع

نمایش

روش مبارزه با یک کرم خطرناک

این راه رو که من یاد گرفتم عمل کن تسکین دهنده 100% اعصای شماست

کلمات کلیدی در جستجوها:

برچسب برای این موضوع

مجوز های ارسال و ویرایش