Stroj zasílá podezřelé požadavky na službu. Může se jednat např. o požadavky zasílané za účelem zneužití určité zranitelnosti dané služby. Takových požadavků stroj zaslal vyšší množství, nebo byl požadavek vyhodnocen jako závažný, a proto byl detekován. Jelikož se jedná o nelegitimní provoz, byl stroj s největší pravděpodobností napaden malwarem a je nyní kompromitován a zneužíván k neautorizovaným účelům. Bylo by vhodné stroj proskenovat antivirovým softwarem a odstranit následky nákazy, dále prohledat logy a najít další artefakty (např. zdroj nákazy) a prověřit, zda nedošlo k laterálnímu pohybu útočníka a zda není nakaženo více zařízení v síti.
Příklad antivirového skenu pro Windows (za využití Defenderu):
Start - Zabezpečení Windows (Windows Security) - Ochrana před viry a hrozbami (Virus & Threat Protection) - Možnosti kontroly (Scan Options) - Úplná kontrola (Full Scan) - Zkontrolovat hned (Scan Now)
Příklad antivirového skenu pro Linux (za využití open-source antiviru ClamAV):
ClamAV je dostupný jako balíček clamav
na většině linuxových distribucí. Po instalaci je vhodné aktualizovat malwarové definice příkazem freshclam
. Následně je možné skenovat příkazem clamscan <příznaky> <složka/soubor>
. Pro oskenování celého systému lze zvolit příznak rekurze (-r
), zobrazování pouze infikovaných souborů (-i
) a počátek v rootu (/
). Příkaz poté vypadá následovně: clamscan -r -i /
. Výstupem skenu je seznam škodlivých souborů.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz