我们公司的一些计算机已经感染了蠕虫 Conficker。我们不知道感染源,但我想监控外部活动以查看我们是否仍然受到感染(我们已经“保护”了一些计算机)。这对于确保我可以要求不被列入名单很重要。
我的问题是:这意味着我是否必须远程监控所有出站流量(在受感染网络之外)?
我在这里并不是询问检测受感染 PC 的方法,而是将外部活动视为“清洁”的间接证明。
您可以从以下链接查看我们的IP和感染描述:
http://cbl.abuseat.org/lookup.cgi?ip=79.108.33.94&.pubmit=Lookup
目标 IP 是 216.66.15.109。如果我dig在其中:
$ dig -x 79.108.33.94
109.64-26.15.66.216.in-addr.arpa. 3600 IN PTR sinkhole-iad1-1.cwg.fsi.io.
这里没有什么惊喜(显然是一个天坑)。
我可以在家里 (Ubuntu 14.04) 进行探索,但如果我的 ISP 或路由器以某种方式阻止我,我可以通过 ssh 连接到我们公司的公共服务器 (Ubuntu Server 14.04) 进行扫描。因此,我们假设我进行这种扫描没有任何限制。
答案1
如果您的路由器启用了 rflow,您可以让它向运行 rflow 收集器的外部计算机报告。
ddwrt路由器的示例: http://www.dd-wrt.com/wiki/index.php/Using_RFlow_Collector_and_MySQL_To_Gather_Traffic_Information