Сервер win2003st, AD, DNS, DHCP, UserGate 5.2. Около месяца назад, когда сис.админ (т.е. я) находился в отпуске, что-то начало жрать трафик, т.к. у нас с инетом дела плачевные, у нас лимит 10 gb в месяц на офис в количестве 10 человек. Приехал и начал разбираться и увидел по ip логам, что с 2-х замечательных процессов surfguard.exe и safesurf.exe, идут пакеты (нереально много). И у нас за 5 дней лимит кончился.
прошу помощь с удалением!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) andy60rus, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Перезагрузите сервер и удалите папку C:\Intel со всем содержимым.
Меняйте админские пароли и пароли на удалённый доступ, ищите левых пользователей на сервере и удаляйте их.
В процессе выполнения скрипта будет создан новый полный образ автозапуска, дождитесь окончания процесса и перезагрузите сервер вручную.
Прикрепите файл с образом к своему следующему сообщению.
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Судя по датам создания файлов, отложили яичко вам ещё 14 июня, в т. ч. программу взлома паролей поставили, в июле догрузили софт, а 14 августа развернулись по полной, установили нелегальный игровой сервер WarSpace.
Очистите папку ZOO, чтобы не паковать то же самое повторно, и выполните скрипт в uVS:
Вам лучше знать - по логам этого не видно. Анализируйте способы удалённого доступа к серверу. По RDP есть возможность подключиться? Файрволл работает? Пароли, надеюсь, уже сменили?
Готово! ZOO так и не понял залил ли я в карантин или нет, отчета о заливке так и не получил...
- - - Добавлено - - -
Пароли изменил, 2 учетки левые удалил! По RDP есть доступ, но я настроил только его так, что только с определенного адреса можно подключаться было! Файрволл так такого нет, вкл Брандмауэр. Я почему спросил то, как эта шляпа попала серв?! так как у нас инет "никакой", и лимит ещё. В этот офис приходят с конторы "123" обновляют "Консультант+", я подозреваю их, но могу ошибаться!
begin
DeleteFileMask('C:\INTEL','*',true);
DeleteDirectory('C:\INTEL');
DeleteFileMask('C:\WMPUB\LOGS\WA','*',true);
DeleteDirectory('C:\WMPUB\LOGS\WA');
end.
После его выполнения проверьте - папка C:\INTEL грохнулась?
У сервера, кроме RDP, много сервисов наружу торчит.
DNS - зачем позволять его использовать с публичного ip-адреса? На запросах к нему трафик может уйти не такой маленький.
NTP - кто-то синхронизирует снаружи время? Кстати, на сервере, похоже, не установлено обновление KB2570791, корректирующее настройку часовых поясов.
Почта, LDAP майкрософтовские службы - это должно быть открыто для доступа снаружи? Закройте брандмауэром всё, кроме того, что действительно необходимо, предоставьте доступ только нужным ip-адресам.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Станьте владельцем папки и подпапок, дайте полные права и удалите вручную.
Насчёт DNS всё же непонятно - зачем обслуживать запросы снаружи? UserGate это не нужно совсем.
В ручную не удаляет. Я владелец и у меня полный доступ, но не удаляет!
В настройка UG есть настройка DNS, -> Использовать DNS из списка -> у меня стоит dns - сервер, который дал мне провайдер! Без это UG, когда самый первый раз настраивал его, через день, пропал ping на сервер провайдера! думал что у них что то сбилось! support UG программой si.exe, посмотрели и сказали изменить настройки на те которые написал выше! и вауля заработало.
А Вы про какой DNS, может я не про то понял?!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: