Опять история повторяться жжерается трафик! Смотрю процессы, а там нати они: surfguard.exe, safesurf.exe! Прошу помощи. Я так и не понимаю как они залезают ко мне на сервер....
Printable View
Опять история повторяться жжерается трафик! Смотрю процессы, а там нати они: surfguard.exe, safesurf.exe! Прошу помощи. Я так и не понимаю как они залезают ко мне на сервер....
Уважаемый(ая) [B]andy60rus[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
TerminateProcessByName('C:\Intel\Web\Microsoft\xStarter\services.exe');
TerminateProcessByName('c:\intel\web\microsoft\surfguard.exe');
TerminateProcessByName('c:\intel\web\microsoft\safesurf.exe');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\control_panel.exe','');
QuarantineFile('c:\intel\web\microsoft\surfguard.exe','');
QuarantineFile('c:\intel\web\microsoft\safesurf.exe','');
DeleteFile('c:\intel\web\microsoft\safesurf.exe','32');
DeleteFile('c:\intel\web\microsoft\surfguard.exe','32');
DeleteFile('C:\Intel\Web\Microsoft\xStarter\services.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Update');
DeleteFileMask('C:\INTEL','*',true);
DeleteDirectory('C:\INTEL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.[/CODE]Перегрузите сервер вручную, сделайте логи RSIT, MiniToolBox и полный образ автозапуска uVS.
Готово!
Забыл вчера:
выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Если после выполнения этого второго скрипта архив с карантином будет пустой, то
Пришлите в карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Загрузил! Он пуст.
...
[QUOTE=regist;1047213]Если после выполнения этого второго скрипта архив с карантином будет пустой, то
Пришлите в карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы[/QUOTE]
так в avz тоже пусто!
[QUOTE=andy60rus;1046973]Я так и не понимаю как они залезают ко мне на сервер....[/QUOTE]
А что тут удивительного, с прошлого взлома ничегошеньки не изменилось...:> Сервер так и торчит в интернет голой ж..., порты не закрыты, уязвимости не устранены.
Из того, что определилось удалённо древней демо-версией XSpider:
[QUOTE]Серьезная уязвимость
Удаленное выполнение команд (ms03-039)
Возможно получение удаленной командной строки с правами системы из-за переполнения буфера в DCOM RPC сервиса.
Решение:
Установите обновление:
[url]http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx[/url][/QUOTE]
Скопируйте всё содержимое страницы [URL="http://dataforce.ru/~kad/ScanVuln.txt"]http://dataforce.ru/~kad/ScanVuln.txt[/URL] в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt, прикрепите его к своему следующему сообщению.
"Сервер так и торчит в интернет голой ж..., порты не закрыты, уязвимости не устранены."
Хорошо, как тогда эту ж... закрыть вместе с портами?!
Установите обновление:
[url]http://www.microsoft.com/technet/sec.../MS04-012.mspx[/url] - пишет что более новая установлена уже.
Ну, сканер старый, ошибся, видимо. Но портов открыто множество.
Настраивайте файрволл, оптимально было бы установить аппаратный роутер - на трафике сэкономили бы уже давно.
Как, что настраивать - я частично упоминал в предыдущей теме, читайте книжки, самообразовывайтесь, вы ж сисадмин.
Скрипт уязвимости какие-то нашёл?
Папка [B]C:\Intel[/B] существует?
Уязвимостей нет! C:\Intel папки нет!
Настройки брандмауэра для сетевого соединения "Internet" какие? Можно со скриншотом.