:strip_icc():strip_exif()/u/233736/Tnet.jpg?f=community)
Beste,
Wij werken met een whitelist proxy, waardoor connecties naar domeinen die niet bekend zijn worden afgebroken. De afgelopen 2 dagen zien wij in de squid logs honderden POST requests voorbijkomen naar http : //6h63jfhc1.su/gate.php en http ://73n7v3k8h.su/gate.php , maar geen enkele (kapsersky, malwarebytes, microsoft's scanner) virusscanner ontdekt iets verdachts op onze servers. Op virustotal merkt momenteel slechts 1 scanner de link als verdacht aan. Een google search levert voor gelijkaardige url's een verband op met Zeus, maar deze domeinen zijn nog niet gekend. Zijn er mensen die gelijkaardig gedrag op hun netwerk zien? Onze gebruikers hebben geen admin rechten, en alle inkomende mails worden gescand op verdachte bijlagen of inhoud, het is dus een raadsel hoe het zich op ons netwerk genestelt heeft. Ook het feit dat geen enkele virusscanner iets vind is nogal vreemd. Kan iemand mij in de goede richting helpen wat we nog kunnen proberen, apart van een complete clean install te doen? (onze gebruikers werken op terminal servers, clean install willen we dus het liefst vermijden).
Wij werken met een whitelist proxy, waardoor connecties naar domeinen die niet bekend zijn worden afgebroken. De afgelopen 2 dagen zien wij in de squid logs honderden POST requests voorbijkomen naar http : //6h63jfhc1.su/gate.php en http ://73n7v3k8h.su/gate.php , maar geen enkele (kapsersky, malwarebytes, microsoft's scanner) virusscanner ontdekt iets verdachts op onze servers. Op virustotal merkt momenteel slechts 1 scanner de link als verdacht aan. Een google search levert voor gelijkaardige url's een verband op met Zeus, maar deze domeinen zijn nog niet gekend. Zijn er mensen die gelijkaardig gedrag op hun netwerk zien? Onze gebruikers hebben geen admin rechten, en alle inkomende mails worden gescand op verdachte bijlagen of inhoud, het is dus een raadsel hoe het zich op ons netwerk genestelt heeft. Ook het feit dat geen enkele virusscanner iets vind is nogal vreemd. Kan iemand mij in de goede richting helpen wat we nog kunnen proberen, apart van een complete clean install te doen? (onze gebruikers werken op terminal servers, clean install willen we dus het liefst vermijden).
/u/57387/claimedavatar-70.png?f=community){kind=avatar}
/u/208006/Zagor%2520small.JPG?f=community)
:strip_exif()/u/165147/YWdwO.gif?f=community)
:strip_icc():strip_exif()/u/17313/_IGP1526kl2.jpg?f=community)
