Хорошо, ждём.
Printable View
Хорошо, ждём.
Опять всплыл. Теперь в новой папке и под обычным пользователем. Новых пользователей администраторов нет..
Сделайте новый полный образ автозапуска uVS, загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку.
Я снес процесс и он не проявляется больше. Есть смысл делать логи или подождать пока он снова вылезет?
Если под обычным пользователем - может, и не появится. Под каким именно, как/откуда мог попасть в систему, есть идеи?
Раньше он запускался и висел в процессах от имени СИСТЕМА. После вашей помощи он запустился из другой папки и под именем рядового пользователя АСЕЕВА. Я проверил все компьютеры, имеющие доступ к серверу, там все чисто.. У меня вариантов нет... Есть олна призрачная идея, что вирус находится на одном из Терминалов Сбора Данных (Прибор работает на Андройд 4.4.2 и обращается к серверу через Smart Mobile службу).. Сейчас майнера нет. НО мы так и не нашли откуда он приходит, вот и не знаю, что сейчас лучше сделать....
У меня сейчас отключена учетка Администратора и отключена служба. И то и другое нужно будет включать. ПО Smart Mobile я переустановлю на новую версию, с сайта производителя. А вот Администратора почистить я не могу..
Про Smart Mobile были подозрения. К серверу этому есть доступ из интернета, могут через него ломать.
Ждём новостей.
Вообщем вылез опять
[url]http://rgho.st/7SGSmqbR8[/url]
под рядовым пользователем без прав администратора работает
Выполните скрипт в UVS:[CODE];uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\TEMP\SVCHOST.EXE
addsgn BA6F9BB2926FEE7206D4AEB164C8FA583081FC1E3106E08715538D3F94FEB2DC705F40BB1ED054C0E0F4AC6053317BF77D97657F4D01BB2C61FAEC4F86BE0873 8 Tool.BtcMine.389 [DrWeb] 7
chklst
delvir
delref HTTP://WWW.MAIL.RU/CNT/7829
delref KERNCAP.VBS
czoo[/CODE]
Новый лог выполнения скрипта прикрепите.
Свежий ZOO_ отправьте в карантин. Другой несколько майнер. Файл создан 17.07.2017 в 11:28:16, запускался из explorer.exe под юзером Игаунь - он в терминале работает? Можно с его компьютера полный образ автозапуска uVS?
Файл отправил в карантин
Лог выполнения скрипта: [url]http://rgho.st/private/6nfHWqfPc/12220f8fd55766c3b46ef9eeb4c7b058[/url]
Прикладываю два сканирования.
Первое это компьютер пользователя Асеева, под которым вылез вирус после чистки
[url]http://rgho.st/75wPbKLkx[/url]
Второе это пользователь Игуань
[url]http://rgho.st/8rGRp5zbD[/url]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
снова появился под пользователем Асеева
На каких ещё компьютерах есть этот пользователь? Смените ему пароль.
Есть ли у него доступ по RDP снаружи?
Время создания файла майнера - что-то подозрительное есть в журналах сервера? Работал ли в это время пользователь Асеева в терминале на сервере?
У вас там Mikrotik? Запретите на нём доступ к адресам хотя бы этого сервера майнинга: xmr-eu.dwarfpool.com
Addresses: 178.32.145.31
178.32.196.217
79.137.57.106
А ещё лучше и доступ наружу по порту 8080, на нём сервера майнинга и прокси.
Оба компьютера чисты. Всео бновления на них установлены?
Каждый пользователь работает сугубо под своим именем и только на одном комьютере. И пользователь Игуань и пользователь Асеева находятся за пределами физического расположения сервера и подключаются к нему через интернет по РДП.
Вчера майнер висел под пользователем Асеева. Но как только Асеева завершила сеанс, майнер соотвественно исчез. Сегодня Асеева работает уже два часа по РДП и майнер не появляется... По какому принципу идет его запуск от этих двух пользователей я не пойму... Нет никакой привязки по времени и никакой последовательности...
В журналах по времени создания ничего интересного нет
Микротика у нас нет, но на роутере можно заблокировать айпи. Заблокировал все тсп соединения по этим трем айпишникам, ну и на всякий случай еще в хостс их прописал. Сейчас сменю паролю обоим пользователям. Их компьютеры чисты, я несколько раз разными антивирусами проверял, обновления все стоят.. Будем смотреть ((
Хорошо, ждём-с...
Опять запустился под пользователем Игуань.
Причем самого пользователя физически нет сегодня, НО север показывает, что он был активен 5 часов назад. Пароли у пользователя для доступа к серверу были сменены...
Куда копать и что делать...
Задача чисто админская, не думаю, что новый. никому неизвестный эксплоит используют для банального и малоэффективного майнинга.
В логах есть информация, откуда подклбчался пользователь?
И так в логах стоит айпишник
176.15.98.220
Это крайне далеко от моего города
С этого айпи подключается по нескольким моим пользователям. Всех их удалил
[url]http://rgho.st/8GVTYNt7S[/url]
Новый лог автозагрузки... Теперь два процесса и полная блокировка доступа к компу....
Сразу предупрежу, снять процессы не могу, сразу синий экран
В безопасный режим не могу зайти, сразу синий экран
Вопрос, как он подключается ко мне, каким образом под логинами нескольких пользователей? Троян? Скомпрометирован весь список паролей?
Запретите в маршрутизаторе, либо в системном брандмауэре доступ из левых подсетей, разрешите только для нужных.
Полечим мягко, без снятия процессов. Скрипт:[CODE];uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
sreg
zoo %Sys32%\SACSVR.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B841724C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4F05AD038CAEEBF 58 Trojan.BtcMine.1324 [DrWeb] 4
zoo %Sys32%\MMCSS.DLL
zoo E:\CONSUSERDATA\SVCHOST.EXE
addsgn A7A4F676C56A4C724359C2954C809B703DC2758BA9B29625858F4CF9789AF801135B4A02061914146BCC0DFA0E5AC0972D9361070D9639514D3F2D62CF4EAB26 8 Win32.BitCoinMiner.ibto [Kaspersky] 6
chklst
delvir
czoo
apply
areg[/CODE]
И после перезагрузки восстановление системных DLL:[CODE];uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
sfc %Sys32%\MMCSS.DLL
sfc %Sys32%\SACSVR.DLL[/CODE]
Закрывайте доступ по RDP полностью, пока не разберётесь в утечке учётных данных.
Есть ip адрес и время подключения паскудника - есть повод обратиться в полицию, отдел "К", говорят, иногда даже выполняет свои функции. Или хотя бы на Корбину/Билайн с жалобой выйти на их пользователя.
[url]http://www.securitylab.ru/news/487311.php[/url] - не тот ли самый случай?
Вполне возможно.. Я меняю пользователю пароль, а уже через час под ним заходят с левого айпи
РДП закрыли своей подсетью, поменяли внешние айпи и порты, сменили всем пользоватлеям пароли. Щас будем смотреть
У меня явное чувство, что Mobile SMARTS Сервер тут причём. Нет у меня данных чтобы выступить с обоснованными обвинениями - но, извините, это уже не просто совпадение. На этом форуме [URL="https://virusinfo.info/showthread.php?t=213423"]ещё тема[/URL] с тем же непонятно откуда берущимся майнером, [URL="https://forum.drweb.com/index.php?showtopic=327849&page=6#entry833210"]на форуме Dr. Web[/URL] то же самое, да ещё в частном порядке ко мне обратился человек - и, не поверите, и у него на сервере эта же программа установлена.
"Совпадение? Не думаю"(С)
Кстати, на форуме зелёного антивируса тоже спрашивали:[QUOTE][COLOR=#282828][FONT=helvetica]Вопрос к пострадавшим, [/FONT][/COLOR][COLOR=#282828][FONT=helvetica]софт Cleverence Mobile SMARTS Server присутствует на сервере? сами ставили на сервер? Какая версия установленна?[/FONT][/COLOR][/QUOTE]
Так что, либо в этом софте уязвимость, замеченная и эксплуатируемая кем-то, либо закладочка-бэкдор, оставленная одним из разработчиков. Как вариант - фирма-установщик софта постаралась. 2-й вариант мне кажется более вероятным.
Оговорюсь ещё раз - это лишь мои личные предположения, а не клевета/очернение и т. п. Но в ТП Клеверенс я бы рекомендовал обратиться за разъяснениями, оснований для проверки кода программы и внутреннего расследования достаточно. Да и засранца, который майнер запускает, это спугнёт наверняка.