Windows Server 2003 постоянно что-то отправляет под 100 Mb.
За последний месяц 9TB! за предыдущий 6 TB! исходящего трафика.
Проверял Kaspersky Rescue Disk 10, Essential.
AVZ видит множество процессов замаскированных под 0 PID.
Завершить процессы не могу, не знаю что делать.
Брандмаур не включается, Kaspersky не ставится.
Последний раз редактировалось e0m; 06.09.2013 в 18:26.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) e0m, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Ничего необычного. Обязательно обновите Java 6 Update 24 до актуальной версии, либо деинсталлируйте вовсе, в ней имеются критические уязвимости, а приложений, которым необходима Java, я не вижу. У утилит RAID своя в комплекте.
Adobe Acrobat Reader 5.0 - древний и крайне уязвимый.
Уточним роли и состояние сервера.
1. Он выставлен наружу голой ж..., пардон, незащищённым сетевым интерфейсом прямо в интернет, или есть аппаратный файрволл/NAT, Какие сервисы доступны снаружи - RDP, IIS, ...?
2. Какие вообще роли сервера активны и используются: файловый, сервер печати, сервер приложений, DNS, DHCP?
3. Какие ошибки возникают при попытке запуска службы брандмауэра, приведите сообщение системного журнала.
4. Есть ли возможность отследить, на какие именно адреса уходит трафик, через какое приложение/процесс? Воспользуйтесь, например, утилитами CurrPorts и NetworkTrafficView из пакета NirSoft Utilities.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Сразу хочу пояснить: Сервер ставила сторонняя компания, за долго до меня, им помогали удаленно из IBM. Поэтому даже они не понимают как это работает. Закидываем видео в папку, оно кодируется и запихивается в ленточный архив. Я бы просто переустановил систему, но боюсь потом не заведу. Какие роли за что отвечают не знаю, я раз пароль пользователя поменял и все перестало работать. Сервер раздавал нам всем интернет... я ведь не системный администратор, а оператор видеомонтажа - понимаю мало.
Выглядит это так untitled.JPG
1. Сервер торчит наружу именно в этой позе. Фаерволов нет.
2. Роли:
File Server
Application server (IIS, ASP.NET)
Remote access / VPN server
DNS server
DHCP server
WINS server
3. При запуске фаервола выдает окно: Windows Firewall cannot run because anover program or service is running that might use the network address translation component (Ionat.sys). Записей в журнале не нашел.
4. На различные адреса. Какое приложение не знаю... прилогаю логи (неполные)CurrPorts_log.txt
5. AWZ нашел уязвимость. Я ее пофиксил (msxml4-KB2758694-enu.exe)
Удали Java, Acrobat и все лишнее.
ЕЩЕ заметил, если в настройках NAT включить dasicfirewall трафик исчезает.
Сделайте лог MiniToolBox.
Вообще, в режиме NAT файрволл и не должен запускаться, о чём система и сообщает.
По VPN подключаются клиенты снаружи? Есть ли утечка трафика, если отключить VPN?
И так, замечание: столько ролей для сервера с одним гигабайтом памяти...
Судя по трафику - очень много идёт по протоколу UDP причём на ip-адреса в Штатах, Бразилии, Израиле и т. п., действительно, идёт через VPN. Есть подозрение, что пароли от подключений могли утечь, так что либо меняйте пароли, либо отключайте VPN вовсе, тем более, что внешние подключения не принципиальны.
WBR,
Vadim
Уважаемый(ая) e0m, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: