Вирусная активность, подозрительный трафик, атака с моего айпи

Вложений: 3

Добрый день,
Пришло письмо от провайдера
Относительно попытки несанкционированого вмешательства в роботу вычислительных систем. с моего айпи.

[COLOR=#000000][FONT=SFNSText]здравствуйте,[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]согласно письма вероятные сервера для атаки:[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]It is most likely the attack traffic is directed at one of the following [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]endpoints:[/FONT][/COLOR]

[COLOR=#000000][FONT=SFNSText]account.sonyentertainmentnetwork.com[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]auth.np.ac.playstation.net[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]auth.api.sonyentertainmentnetwork.com[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]auth.api.np.ac.playstation.net[/FONT][/COLOR]

[COLOR=#000000][FONT=SFNSText]These endpoints on our network are resolved by Geo DNS, so the IP [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]addresses they resolve to will depend on the originating IP address.[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]The destination port will be TCP 443.[/FONT][/COLOR]

[COLOR=#000000][FONT=SFNSText]поиск проводился по 23.59.112.0/20, вероятно активность осталась:[/FONT][/COLOR]

[COLOR=#000000][FONT=SFNSText] 0.061588 62.80.161.130 -> 23.59.118.77 SSL Client Hello[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.076070 23.59.118.77 -> 62.80.161.130 TCP 443 > 50614 [ACK] Seq=1 [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Ack=136 Win=30272 Len=0[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.078650 23.59.118.77 -> 62.80.161.130 TLSv1 Server Hello,[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.078678 23.59.118.77 -> 62.80.161.130 TCP [TCP segment of a [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]reassembled PDU][/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.078729 23.59.118.77 -> 62.80.161.130 TLSv1 Certificate, Server Key [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Exchange, Server Hello Done[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.085319 62.80.161.130 -> 23.59.118.77 TCP 50614 > 443 [ACK] Seq=136 [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Ack=2921 Win=65700 Len=0[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.090241 62.80.161.130 -> 23.59.118.77 TLSv1 Client Key Exchange, [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Change Cipher Spec, Encrypted Handshake Message[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.105443 23.59.118.77 -> 62.80.161.130 TLSv1 Change Cipher Spec, [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Encrypted Handshake Message[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.109965 62.80.161.130 -> 23.59.118.77 TLSv1 Application Data, [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Application Data[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.125786 23.59.118.77 -> 62.80.161.130 TLSv1 Application Data[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.230295 62.80.161.130 -> 23.59.118.77 TCP 50614 > 443 [FIN, ACK] [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Seq=520 Ack=4175 Win=64444 Len=0[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.244769 23.59.118.77 -> 62.80.161.130 TLSv1 Encrypted Alert[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.244803 23.59.118.77 -> 62.80.161.130 TCP 443 > 50614 [FIN, ACK] [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Seq=4212 Ack=521 Win=32416 Len=0[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.247956 62.80.161.130 -> 23.59.118.77 TCP 50614 > 443 [ACK] Seq=521 [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Ack=4213 Win=64408 Len=0
----
а это письмо приходило за 2 недели до этого
[/FONT][/COLOR][COLOR=#000000][FONT=SFNSText]Здравствуйте.[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]согласно жалобы основное, вероятное направление атак на сервера:[/FONT][/COLOR]

[COLOR=#000000][FONT=SFNSText]account.sonyentertainmentnetwork.com 23.0.0.0/12[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]auth.np.ac.playstation.net 23.0.0.0/12[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]auth.api.sonyentertainmentnetwork.com 23.0.0.0/12[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]auth.api.np.ac.playstation.net 104.64.0.0/10[/FONT][/COLOR]

[COLOR=#000000][FONT=SFNSText]к этим адресам активности нет, но есть к другим хостам в одной AS с [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]этими ip:[/FONT][/COLOR]

[COLOR=#000000][FONT=SFNSText] 0.000000 62.80.161.130 -> 23.0.47.122 TCP 50086 > 443 [SYN] Seq=0 [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Win=65535 Len=0 MSS=1460 WS=5 TSV=535348208 TSER=0[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.027445 23.0.47.122 -> 62.80.161.130 TCP 443 > 50086 [SYN, ACK] [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Seq=0 Ack=1 Win=28960 Len=0 MSS=1460 TSV=3128298856 TSER=535348208 WS=5[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.035923 62.80.161.130 -> 23.0.47.122 TCP 50086 > 443 [ACK] Seq=1 [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Ack=1 Win=131744 Len=0 TSV=535348241 TSER=3128298856[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.044585 62.80.161.130 -> 23.0.47.122 SSL Client Hello[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.071945 23.0.47.122 -> 62.80.161.130 TCP 443 > 50086 [ACK] Seq=1 [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Ack=211 Win=30048 Len=0 TSV=3128298900 TSER=535348243[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.072928 23.0.47.122 -> 62.80.161.130 TLSv1.2 Server Hello,[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.072942 23.0.47.122 -> 62.80.161.130 TCP [TCP segment of a [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]reassembled PDU][/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.073048 23.0.47.122 -> 62.80.161.130 TLSv1.2 Certificate, Server [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Key Exchange, Server Hello Done[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.079970 62.80.161.130 -> 23.0.47.122 TCP 50086 > 443 [ACK] Seq=211 [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Ack=2897 Win=129600 Len=0 TSV=535348285 TSER=3128298901[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.079980 62.80.161.130 -> 23.0.47.122 TCP 50086 > 443 [ACK] Seq=211 [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Ack=3781 Win=128736 Len=0 TSV=535348285 TSER=3128298901[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.155743 62.80.161.130 -> 23.0.47.122 TLSv1.2 Client Key Exchange[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.155753 62.80.161.130 -> 23.0.47.122 TLSv1.2 Change Cipher Spec[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.155764 62.80.161.130 -> 23.0.47.122 TLSv1.2 Encrypted Handshake [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Message[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.183403 23.0.47.122 -> 62.80.161.130 TCP 443 > 50086 [ACK] Seq=3781 [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Ack=337 Win=30048 Len=0 TSV=3128299012 TSER=535348359[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.183413 23.0.47.122 -> 62.80.161.130 TLSv1.2 Change Cipher Spec, [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Encrypted Handshake Message[/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText] 0.191649 62.80.161.130 -> 23.0.47.122 TCP 50086 > 443 [ACK] Seq=337 [/FONT][/COLOR]
[COLOR=#000000][FONT=SFNSText]Ack=3832 Win=131008 Len=0 TSV=535348394

у меня купленные антивирусы dr.wen и kaspersky, как только пришло письмо я сканировал 30 компьютеров в своей сети, понаходил мелкие трояны, но проблема не закрылась, я в роутере(mikrotik) забанил эту подсеть [/FONT][/COLOR][COLOR=#000000][FONT=SFNSText]23.0.0.0/12 и [/FONT][/COLOR][COLOR=#000000][FONT=SFNSText]104.64.0.0/10, увидел в LOG файлах с каких хостов были запросы на эти айпи, снова стал чистить эти компьютеры DR.web live CD и kaspersky cd, так же пробовал все антивирусы какие только можно, ничего не изменилось, но я заметил что пока я чистил зараженные компьютеры, с других хостов стала активность к данным айпи адресам, потом спустя пару дней пришло письмо снова об атаке с моего айпи на адресс [/FONT][/COLOR][COLOR=#000000][FONT=SFNSText]23.59.112.0/20, его я тоже заблокировал, микротик их отбрасывает, но внутри сети активность осталась, пакеты идут от зараженных хостов к микротику,а тот отбрасывает, в тех поддержке сказали что у клиентов была похожая проблема, антивирусы не помогали, клиент решил как то по другому трабл)
возможно мне необходимо приобрести подписку помогите +? буду очень благодарен за помощь, заранее спасибо!!!!![/FONT][/COLOR]

Уважаемый(ая) [B]g0dL1k3[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].

Вложений: 1

[QUOTE=Vvvyg;1390097]Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [URL="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/URL].[/QUOTE]

rar или zip?

Если бы скачали по моей ссылке, был бы архив .7z.

Ничего вредоносного в логах.