Avast Antivirus 的網路掃描行為
由 darkranger 在 週三, 09/29/2021 - 22:38 發表,更新日期:週四, 10/07/2021 - 09:47
一直以來,DR 對防毒軟體的印象都不是太好。即便前陣子曾在某防毒軟體代理商工作過,但也沒有因此改觀(甚至可能還更糟了)。儘管如今對於這項領域已經沒有什麼涉入,但不幸地,偶爾還是會遇到跟防毒軟體有關的事情。
某日在登入公司的一部 Linux 主機時,注意到有幾筆 SSH 登入失敗記錄。由於平常這些遠端服務,一般來說只有 DR 在用而已,所以這顯然不正常。進一步查看日誌,這些連線的時間點非上班時間,且似乎背後有一份經過蒐集的清單在那邊試,而不是只有嘗試登入 root 或 admin 等等這些常見的名稱。
此外也同步查核了公司內的 Windows Server 主機,則發現其 SMB 服務,在相同的時間點,也有同樣來源的嘗試登入記錄。如此蓄意的行為,當然不能就這樣放過。於是便從 IP 位址循線找到了來源電腦,發現那是一部 Windows 7 SP1 的客戶端電腦。雖然略舊,但一時之間也沒查看出明顯有問題的地方。
於是回頭再翻查伺服器日誌,用來源 IP 再搜了一遍。這才意識到其實 httpd 也有被嘗試登入的情形,而且這回線索就很明顯了,因為所留下的 User-Agent 字串,直接就寫著「Avast Antivirus」。
那部電腦確實裝了 Avast Antivirus,上網查了一下,看起來 Avast Antivirus 的掃描功能,也會找尋區域網路上的設備,然後嘗試做登入的動作來檢查其安全性。而 DR 自己裝了一套測試,比對連線記錄也確實是如此。然而說實在話,這種功能大可不必,徒增威脅識別的困擾。DR 寧可直接把 Avast Antivirus 移除掉,改用其它防毒軟體來減少困擾。