Исходящий трафик сервера забивает интернет канал.

Printable View

09.04.2019, 09:57
asrb

Вложений: 1

Исходящий трафик сервера забивает интернет канал.

Здравствуйте.

Один из серверов стал вырабатывать необычно большой исходящий интернет трафик, который забивает практически весь интернет канал.
На сервере постоянно функционирует Kaspersky Endpoint Security 10.2.6.3733. Предположительно началось после того, как касперский обнаружил несколько угроз, а именно:[COLOR=#444444][FONT=&quot]MEM:Trojan.Win32.SEPEH.gen, [/FONT][/COLOR][COLOR=#444444][FONT=&quot]MEM:Trojan.Win32.EquationDrug.gen, [/FONT][/COLOR][COLOR=#444444][FONT=&quot]MEM:Trojan.Win32.Cometer.gen
[/FONT][/COLOR]После этого установил все возможные обновления безопасности, хотя большинство уже стояли на сервере. Несколько раз прогонял и DrwebCureIt и [COLOR=#444444][FONT=&quot]Kaspersky Virus Removal Tool [/FONT][/COLOR]. Удалил все подозрительные файлы. Почистил временные файлы учетных записей и ОС Windows. Проверить автозагрузку с помощью утилиты Autoruns из SysinternalsSuite, так же удалил левые задачи из Windows Scheduler'а. После этого касперский перестал обнаруживать вышеперечисленные угрозы, однако исходящий интернет трафик все равно периодически возникает. Причем в разные дни разная интенсивность. Так же периодически Компонент KES10 Защита от сетевых атак обнаруживает и блокирует сетевые атаки вроде : Intrusion.Win.EternalRomance.fish.nbt.leak, Intrusion.Win.CVE-2017-7269.cas.exploit

Буду благодарен за любые подсказки по возможным решениям данной проблемы.
Спасибо.
09.04.2019, 09:58
Info_bot

Уважаемый(ая) [B]asrb[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.04.2019, 14:14
Vvvyg

Запустите HijackThis, расположенный в папке Autologger (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B])и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O4 - MSConfig\startupreg: WinSent Messenger [command] = C:\Program Files\WinSent Messenger Free\winsent.exe (HKLM) (2017/11/03) (file missing)
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = WScript wbem\adsutil.vbe (file missing)[/code]

В момент, когда в очередной раз будет ненормальный трафик, скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
10.04.2019, 04:34
asrb

Вложений: 2

uvz

Здравствуйте.
Пофиксил HijackThis, правда во время фикса вышла ошибка программы, но в конце было написано, что все готово.
Образ автозапуска под текущим пользователем во вложении
10.04.2019, 07:04
Vvvyg

Вся сетевая активность - внутри LAN.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\5F6AD3D020AF07CD2EFD2814A0D8395E\WINDOWSSERVER2003-KB2698365-X86-ENU.EXE
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\8CD10427A9D4DE5BBF62827CBA8EA17C\WINDOWSSERVER2003-KB978542-X86-EXPRESS-ENU.EXE
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\5A8F8C0CC383459CB363B6014F70C989\WINDOWSSERVER2003-KB2423089-X86-ENU.EXE
delref %SystemDrive%\WEBSERVERS\DENWER\BOOT.EXE
delref %SystemDrive%\PROGRAM FILES\SKYPE\PLUGIN MANAGER\EZPMUTILS.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\ACCESSIBLEMARSHAL.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\DREAMAKUS\XCONTROLS.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.2.183.39\GOOPDATE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.65\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.79\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.111\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.69\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\GOOGLETOOLBARNOTIFIER\5.10.11023.1534\SWG.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\CYBERLINK\POWERDVD\POWERDVD.EXE
delref %SystemDrive%\PROGRAM FILES\CYBERLINK\POWERDVD\OLRSUBMISSION\OLRSUBMISSION.EXE
delref %SystemDrive%\PROGRAM FILES\CYBERLINK\POWERDVD\CLDMA.EXE
delref %SystemDrive%\PROGRAM FILES\INSTALLSHIELD INSTALLATION INFORMATION\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\8.0.552.237\INSTALLER\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
delref %SystemDrive%\PROGRAM FILES\UTORRENT ULANOVKA EDITION\UNINS000.EXE
apply[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Перезагрузите сервер.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
10.04.2019, 09:22
asrb

Вложений: 1

FRST файлы

FRST файлы
10.04.2019, 10:44
Vvvyg

Эта служба Вам известна?[CODE]S4 WITS; C:\WINDOWS\Winlog\xinstaller.exe [76312 2017-05-09] (GuangZhou KuGou Computer Technology Co.,Ltd. -> 酷狗音乐)[/CODE]
В Kaspersky Endpoint Security файрвол включен?

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.
10.04.2019, 11:25
asrb

Вложений: 1

ответ

Служба xinstaller.exe не известна
В KES10 файервол отключен, включены контроль активности программ, файловый антивирус и защита от сетевых атак
10.04.2019, 13:04
Vvvyg

Тогда остановите и отключите эту службу.

[QUOTE]
Уязвимость в MSXML делает возможным удаленное выполнение кода
[url]https://www.microsoft.com/downloads/details.aspx?FamilyID=1e2738b9-d3c2-4dfe-8a79-335d5feee55b[/url]

Установите Adobe Reader XI (11.0) или удалите старый.
[url]http://get.adobe.com/reader/otherversions[/url]

Microsoft Silverlight 5.1.40416.0 устарел. Удалите его или установите новый
[url]https://www.microsoft.com/getsilverlight/handlers/getsilverlight.ashx[/url][/QUOTE]
Silverlight лучше удалить вообще.
IE желательно обновить до 8-й версии, хоть и не используете, на него завязана безопасность системы.

Я бы включил файрвол в KES, настроил на пропуск легитимного трафика и ловил бы аномалии.

Кстати, источник сетевых атак - в локальной сети, или за периметром? Есь возможность ограничить доступ к серверу на маршрутизаторе? Там Cisco, насколько я вижу.
11.04.2019, 05:02
asrb

Cлужбу остановил, удалил из реестра данные о ней и сам физический файл xinstaller.exe. Обновление KB2758694 установил. Silverlight удалил. IE и Adobe пока не трогал, врят ли в них дело. Трафик так и забивается. Сетевой экран пробовал включать, он фиксирует что идет трафик, но в списке процессов которые сетевой экран фиксирует, нет такого, который гигабайты бы отсылал.
Сетевые атаки идут с внешних адресов.
Из недавних атак:
TCP от 91.92.186.2 на локальный порт 139
TCP от 47.52.255.202 на локальный порт 80
TCP от 194.135.14.154 на локальный порт 139
TCP от 47.52.255.202 на локальный порт 80

Можно конечно попробовать на циске ограничить доступ, но хочется все таки обнаружить, что за паразит на серваке забивает интернет канал.
11.04.2019, 06:53
Vvvyg

А какие порты открыты для сервера во внешний мир и зачем, задайтесь этим вопросом. Закрывать всё, что не нужно надо обязательно, система устаревшая, не поддерживаемая MS.

В момент сетевой активности сохраните её с помощью [URL="https://docs.microsoft.com/ru-ru/previous-versions/bb897437(v=msdn.10)"]TCPView[/URL] в файл и прикрепите.

Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/viruses/disinfection/5350[/url].
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
11.04.2019, 11:26
asrb

Вложений: 1

TCPview + TDSS

TCPview + TDSS

Судя по данным netflow наибольший трафик в момент сохранения данных с TCPview шел на адреса 23.19.85.185 и 23.81.168.150. Однако ни в TCPview ни в сетевом экране касперского не вижу, чтобы какая то программа или процесс ломились на эти адреса.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Хотя недавно в сетевом экране увидел странное соединение процесс system по tcp с удаленным адресом 131.100.83.193:53529
11.04.2019, 11:28
Vvvyg

Да, нелегитимного трафика не видно, руткитов тоже не видно.
Можете сделать захват сомнительного трафика на Cisco или на самом сервере, через WireShark и результат в .pcap передать через файлообменник?
12.04.2019, 06:02
asrb

[url]https://yadi.sk/d/qhiXElVKDhvFiA[/url]
Судя по всему трафик идет через протокол CLDAP. И судя по тому, что в инете удалось найти, используется он для Ddos атак.
Надо видимо будет попробовать на роутере делать списки доступа для блокировки всех входящих по 389 порту, либо на сетевом экране касера правило писать.
12.04.2019, 07:03
Vvvyg

Пароли у пользователей поменяйте, в первую очередь у тех, у кого права администратора.
И учётку Administrator крайне не рекомендуется использовать, отключите.

Сообщите в личку внешний ip сервера, посканирую.
13.04.2019, 11:51
Vvvyg

Порты SMB 139/445 вообще нельзя открывать, RPC - 135 - тоже.

Порт 53 - DNS, неработающий, на 80-м заглушка веб-сервера, на 21-м ftp, anonymous FTP login allowed, зачем?

И множество других портов, зачем? Векторов атаки и взлома слишком много, я понимаю, что только порты для почтового сервера - 110, 25 нужны по делу.

Всё ненужное закрыть, для подключения к серверу извне настроить VPN.
13.04.2019, 12:25
asrb

Ок. Спасибо за советы. В понедельник буду пробовать закрывать, все лишнее.