-
Junior Member
- Вес репутации
- 51
win 2003 r2 64-bit server перестал работать протокол http
Коллеги, приветствую. Но такое вижу первый раз. Сервер, основной контроллер домена. Стоит nod32 64bit , делает зеркало обновлений для нашего офиса. Так же стоит основная консоль администрирования Нода уже на всю Сибирь. В начале июня nod перестал обновляться, ок, я перекинул зеркало на второй сервер.
Сейчас же на сервере полностью пропала возможность использовать протокол http. Ни на внешку, ни на внутренние хосты. Ни по ip, ни по dns. И невозможно запустить обе службы консоли администрирования нода.
Встроенный файрвол отключен, все остальные службы сервера работают вроде нормально.
Проверка Avp tool (которая бесплатная), DrWeb CUREIT - ничего не найдено в принципе, ни в активных процессах, ни в файлах.
В одной из проверок avz на неделе было вот это в подозрительных портах:
Порт 50000 UDP - Backdoor.Starline (dns.exe)
Большая просьба - подскажите, что ещё можно сделать? Третий файл по правилам приложить не могу, т.к. сеть отключить не могу, а самого инета на сервере и нету по вышеуказанным причинам.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 51
м-да... я, конечно, параноик... но походу нас хакнули. лог с DC в другом городе:
На данном ПК открыто 50 TCP портов и 2533 UDP портов
>>> Обратите внимание: Порт 4899 TCP - Remote Admin (c:\windows\syswow64\rserver30\rserver3.exe - опознан как безопасный процесс)
>>> Обратите внимание: Порт 6129 TCP - Dameware Remote Admin (c:\windows\syswow64\dwrcs.exe - опознан как безопасный процесс)
>> Обратите внимание: Порт 61748 UDP - Backdoor.Kilo.0119 (dns.exe)
и так же не работает http...
Добавлено через 4 часа 36 минут
в первом отчёте видно много портов listening с процессом dns.exe - это странно.
Последний раз редактировалось evgeny.v; 01.07.2010 в 12:00.
Причина: Добавлено
-
Похоже, вы "вылечили" Настройки SPI/LSP через AVZ, чего на серверных версиях делать нельзя.
Сброс параметров протокола Интернета (TCP-IP).
-
-
Что значит "не работает http"? Не запускаются браузеры, или не желают страницы открывать? Если попытаться телнетом HTTP эмулировать - до какого шага дойдёте?
-
-
Junior Member
- Вес репутации
- 51
netsh int ip reset не помогло , уже делал.
по telnet все отлично работает. не работает ни в каком виде через броузеры.
пока подкинули вот эти ссылки:
http://social.technet.microsoft.com/ и http://support.microsoft.com/kb/956188/ буду копаться вечером.
-
Какие браузеры пробовали?
-
-
Junior Member
- Вес репутации
- 51
IE, Opera, Firefox. не работает.
-
IE 64 бит должен работать.
-
-
Junior Member
- Вес репутации
- 51
AndreyKa, спасибо Вам большое. через 64-битный действительно работает. буду искать, что же в итоге прицепилось к системе.
даже зеркало нода на сервере в итоге извне работает,
http://serverip:port/update.ver спокойно отдается...
а с самого сервера полный затык. ощущение, что это даже и не вирус, а результаты как раз работы avz.