17.01.2012, 12:36 | #1 (ссылка) |
Новичок
Регистрация: 16.10.2010
Сообщений: 331
Репутация: 3
|
Хак-атаки на интернет сервер
Всем привет. Попался мне такой экземпляр... У людей начал тупить инет оч сильно. Я залез на сервак, и что я вижу помимо пользователя Администратор появились в группе админов еще 2 пользователя suppport и scvchost я их сразу зарубил, один из них был в активной сессии.. На самом серваке было установлено кучу бреда аля казино онлайн были тхт файлы с кучей мэйл адрессов... вдимо для рассылки. Посмотрел нод32 с 4 января там сплошные атаки и так по сегодняшний день. Как раз когда люди на отдыхе... Так как у сервака выделенный Ip могли там основательно ребята засесть. Посмотрите пожалуйста образ. Файл host так же был засран, я его почистил. http://zalil.ru/32515175. http://zalil.ru/32515184 Это журнал нод32. Посмотрите пожайлуйста. Полюбому хвосты их остались.
|
17.01.2012, 13:33 | #3 (ссылка) |
Эксперт
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
|
mixa1ich, тут лечение мало поможет, компьютер явно взломан, подбирались пароли и т. п. Пусть наймут хотя бы разово нормального сисадмина, чтобы закрыл все уязвимости, ограничил доступ снаружи, обновил систему и приложения, поменял пароли на всё (это в первую очередь). Лечить по переписке тут тяжело, явных зловредов удалим, но там есть приложения вполне легитимные, но использоваться они могут в своих целях взломавшими. Это сервер на Windows 2003 Server SP2, используется только как шлюз в интернет и файлсервер?
|
17.01.2012, 16:01 | #4 (ссылка) |
Новичок
Регистрация: 16.10.2010
Сообщений: 331
Репутация: 3
|
Доступ из вне я могу убрать вообще. Порт в роутере закрою и всё. Пароли там можно было выкрасть только на подключения интернета. Сервак чисто для раздачи инета был. Но желательно windows там не переставлять.
---------- Добавлено в 14:57 ---------- Предыдущее сообщение было написано в 14:51 ---------- Доступ я завтра отрублю там через роутер по рдп. Нужно теперь только чтоб там не было прог типо ammy по которой они б могли заходить на сервак и тд. Можно это по логам тем просмотреть? Завтра ещё скину AVZ и все как полагается. ---------- Добавлено в 15:01 ---------- Предыдущее сообщение было написано в 14:57 ---------- Как файловый сервер он не использовался. |
17.01.2012, 16:01 | #5 (ссылка) |
Эксперт
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
|
mixa1ich, к роутеру ещё нет снаружи подключения с паролем по умолчанию?
Пока выполните такой скрипт в uVS: Код:
;uVS v3.73 script [http://dsrt.dyndns.org] delref %SystemRoot%\SVCHOST.EXE delref %SystemRoot%\SECURITY\MUPA.EXE zoo %Sys32%\DRIVERS\ALG.BAT delall %SystemRoot%\MICROSOFT.NET\CSRSS.EXE deltmp delnfr restart |
18.01.2012, 16:36 | #7 (ссылка) |
Новичок
Регистрация: 16.10.2010
Сообщений: 331
Репутация: 3
|
http://zalil.ru/32524895 rsit
http://zalil.ru/32524908 rsit http://zalil.ru/32524919 AVZ http://zalil.ru/32524926 UVS Не получилось на роутер пробиться. В крайнем случае отключу выделенный айпишник. Да и отрубил возможность захода на сервер по удаленке. Но сейчас смотрю в управлении безопасности висит какой-то анонимный вход сейчас скриншот выложу. ---------- Добавлено в 15:36 ---------- Предыдущее сообщение было написано в 15:24 ---------- http://zalil.ru/32525024 http://zalil.ru/32525029 |
18.01.2012, 16:57 | #8 (ссылка) |
Эксперт
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
|
mixa1ich, программа SafeSurf там используется?
---------- Добавлено в 15:57 ---------- Предыдущее сообщение было написано в 15:49 ---------- Выполняйте такой скрипт в AVZ: Код:
begin QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\CTFMON.EXE',''); QuarantineFile('C:\WINDOWS\SYSTEM32\DLLCACHE\MSHTS.BAT',''); QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\ALG.BAT',''); DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\CTFMON.EXE'); DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\ALG.BAT'); DeleteFile('C:\WINDOWS\EHOME\WMISRV.EXE'); DeleteFile('C:\WINDOWS\SYSTEM32\DLLCACHE\MSHTS.BAT'); DeleteFile('C:\WINDOWS\SYSTEM32\WBEM\SLSCV.EXE'); DeleteFile('C:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\VK_CHECK.EXE'); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RebootWindows(False); end. Выполните в AVZ скрипт: Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Анонимный доступ будет отключен, но надо будет ещё на роутере доступ снаружи к серверу ограничить до минимума. Как сейчас к нему подключаетесь, чтобы рулить удалённо? |
Ads | |
18.01.2012, 17:25 | #9 (ссылка) |
Новичок
Регистрация: 16.10.2010
Сообщений: 331
Репутация: 3
|
Проблема в том что от роутера могли ломануть пароль. А зайти на него уже не могу... Видимо там уже много чего поменяли. К серваку заход по удаленке я убрал. В завтра отключу выделенный айпи. Сами настройки роутера скинут пока нельзя. У них тут шифровальщики и тд через роутер подвязанны. Раньше было по рдп порту заход на сервак по удаленке(по выделенному ип адресу). Сейчас бду отрубать все компы от сервака и кидать на другой роутер. Но пару компов останется а этом серваке..
SafeSurf не ставил такой проги. Сейчас еще дам лог мбам.. или сделать скан после AVZ чистки? |
18.01.2012, 17:27 | #11 (ссылка) |
Новичок
Регистрация: 16.10.2010
Сообщений: 331
Репутация: 3
|
http://zalil.ru/32525444 МБАМ до AVZ
---------- Добавлено в 16:27 ---------- Предыдущее сообщение было написано в 16:27 ---------- Сейчас делаю Avz... |
18.01.2012, 17:49 | #13 (ссылка) |
Новичок
Регистрация: 16.10.2010
Сообщений: 331
Репутация: 3
|
http://zalil.ru/32525528 Avz
Mbam Сейчас заново скан и удаляю всё. Потом дам образ Uvs. ---------- Добавлено в 16:47 ---------- Предыдущее сообщение было написано в 16:38 ---------- http://zalil.ru/32525617 Uvs Хм в Управлении безопасности в 16-42 зафиксировало анонимный вход ---------- Добавлено в 16:49 ---------- Предыдущее сообщение было написано в 16:47 ---------- Во и только, что опять 2 входа в 16-48 |
18.01.2012, 20:40 | #15 (ссылка) |
Новичок
Регистрация: 16.10.2010
Сообщений: 331
Репутация: 3
|
Адрес сети источника: 10.10.32.14 Это получается с внутреннего айпи заходят. или это служба стандартная заходит? UserGate стоит если что)
---------- Добавлено в 16:53 ---------- Предыдущее сообщение было написано в 16:51 ---------- Нет локальных юзеров не появилось. остался только я- администратор ( да пароль сменил ). Только Аноним какой-то бьется как в скринах. ---------- Добавлено в 16:55 ---------- Предыдущее сообщение было написано в 16:53 ---------- Просматриваю тут историю куда они лазили по сайтам... Они субд тут устанавливали.... По кошлькам разным прыгали. Програмка Денвер-3 не в курсе для чего? ---------- Добавлено в 16:58 ---------- Предыдущее сообщение было написано в 16:55 ---------- Мбам больше ничего не находит! По нему вроде чисто ---------- Добавлено в 17:06 ---------- Предыдущее сообщение было написано в 16:58 ---------- Вообщем отрубаю я инет! Чтоб ночью они не лазили , если таковая возможность у них и есть. Завтра с утра переведу основную часть компов на другой инет. ---------- Добавлено в 17:08 ---------- Предыдущее сообщение было написано в 17:06 ---------- Кстати хотел спросить. Тут вшивенький нод32 стоит обычый. Может есть смысл каспера инет секьюрити 2012 поставить? Или от таких атак он не поможет? ---------- Добавлено в 19:40 ---------- Предыдущее сообщение было написано в 17:08 ---------- Огромное спасибо Vvvyg!!! |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Сетевые атаки | Asenka | Безопасность | 11 | 10.01.2012 22:55 |
Интернет сервер глючит, посмотрите логи | anetik85 | Безопасность | 7 | 21.06.2011 08:49 |
Сервер CS в интернет | chukles | Игры | 13 | 09.02.2010 12:37 |
Атаки на комп | ABSOLUT | Безопасность | 1 | 05.12.2009 11:10 |
В сети офиса в интернет не выходит только сервер | HedgehogNSK | Интернет и сети | 26 | 27.11.2009 15:32 |