Большой исходящий трафик на Windows server

**AlexKoin13** · 24.08.2021, 12:27

Добрый день! последнее время наблюдаю большой исходящий трафик на Windows server 2016 от lsass.exe по 389 порту. Трафик поднимается до 70мбит, при этом канал у меня на 15мбит. По этому инет начинает лагать, порт закрыть не могу, иначе отваливается AD. Помогите плиз ;(

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.08.2021, 12:28

Уважаемый(ая) AlexKoin13, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**AlexKoin13** · 24.08.2021, 12:51

Логи прикрепил

**Vvvyg** · 24.08.2021, 21:40

Сообщение от AlexKoin13

последнее время наблюдаю большой исходящий трафик на Windows server 2016 от lsass.exe по 389 порту

Это исходящий ОТ этого сервера по LDAP, так? Можете в Wireshark сделать захват трафика на секунд 5-10 именно между серверами, фильтр захвата ip.addr== ip Windows server 2016? Результат упаковать архиватором, в облако и мне ссылку в личку.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security security.evtx', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=96m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку опять-таки, в личном сообщении.

**AlexKoin13** · 25.08.2021, 12:10

Первый Код не выявил уязвимостей. Второй выполнил и результат отправил вам в личку, Wireshark тоже сделал, не уверен что правильно. Весь тафик идет на какие то левые адреса
Безымянный.png

**Vvvyg** · 25.08.2021, 23:07

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**AlexKoin13** · 26.08.2021, 12:43

Готово

**Vvvyg** · 26.08.2021, 21:21

Выделите и скопируйте в буфер обмена следующий код:

Код:

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cKkys5u\"",Filter="__EventFilter.Name=\"fKkys5u\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cXlHsPrIFizd\"",Filter="__EventFilter.Name=\"fXlHsPrIFizd\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cgpaVAXD\"",Filter="__EventFilter.Name=\"fgpaVAXD\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cqBJ3iY2jesy\"",Filter="__EventFilter.Name=\"fqBJ3iY2jesy\"::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

И после этого сделайте полный образ автозапуска uVS.

**AlexKoin13** · 31.08.2021, 12:59

готово

**Vvvyg** · 31.08.2021, 19:41

fixlist содержимое:
*****************

*****************

==== Конец от Fixlog 12:44:36 ====

Что-то пошло не так, не сработало.

Образ автозапуска посмотрю позже.

- - - - -Добавлено - - - - -

Почистим то, что через FRST не вышло.
копируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
regt 39
deltmp
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FGPAVAXD]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FKKYS5U]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FQBJ3IY2JESY]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FXLHSPRIFIZD]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
del %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\GOOGLE CHROME.LNK
del %SystemDrive%\USERS\A.ARLASHKIN\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\GOOGLE CHROME.LNK
del %SystemDrive%\USERS\A.ARLASHKIN\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\GOOGLE CHROME.LNK
apply

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

Перезагрузите сервер.
Сообщите, что с проблемой.

**AlexKoin13** · 02.09.2021, 10:47

Сделал, скрипт выполнился успешно, перезагрузил, но ничего не изменилось, исходящий трафик примерно 50мб/сек.

**Vvvyg** · 02.09.2021, 21:36

Теперь новый образ нужен. Включили скриптом отслеживание процессов, может, теперь что-то новое увидим.

**AlexKoin13** · 03.09.2021, 15:06

Сообщение от Vvvyg

Теперь новый образ нужен. Включили скриптом отслеживание процессов, может, теперь что-то новое увидим.

скинул в лс

**Vvvyg** · 03.09.2021, 22:27

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
zoo %Sys32%\XBLGAMEUPDATETASK.EXE
delall %Sys32%\XBLGAMEUPDATETASK.EXE
apply
czoo
deltmp

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Перезагрузите систему.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

**AlexKoin13** · 06.09.2021, 13:31

Готово.

**Vvvyg** · 06.09.2021, 13:39

После скрипта и перезагрузки лучше не стало?

**AlexKoin13** · 06.09.2021, 13:57

Сообщение от Vvvyg

После скрипта и перезагрузки лучше не стало?

Неа

**Vvvyg** · 06.09.2021, 14:18

Жду новый образ. Можно сюда ссылку, там нет чувствительной информации.

**AlexKoin13** · 06.09.2021, 14:38

Сообщение от Vvvyg

Жду новый образ. Можно сюда ссылку, там нет чувствительной информации.

https://drive.google.com/file/d/1r2E...ew?usp=sharing

готво

**Vvvyg** · 06.09.2021, 23:19

В общем, так примерно я вижу ситуацию.
Методы поиска и удаления угроз, которые используются на этом и подобных форумах, применимы для обычных рабочих станций. Пойман лишь один классический троян, его удаление ничего не изменило.
У вас задача - провести серьёзный аудит безопасности IT инфраструктуры, включая AD, MS Exchange, IIS. С этими приложениями я не работал, могу давать лишь ссылки на уязвимости, через которые вас, скорее всего взломали.
Снаружи ваша сеть выглядит как изба, где все двери и окна нараспашку: открыто множество портов: Microsoft IIS на 80 и 81 портах (неработающие страницы), kerberos - 88, порты, которые наружу из Windows вообще торчать не должны: Microsoft Windows RPC, Microsoft lpd, .NET Message Framing и пр.
На 3268-м порту - LDAP, по которому у вас трафик бешеный. И много всего ещё, отчёт о сканировании скинул в личку.
Почему Windows server нормально не натируется за шлюзом на Linux, а, похоже, просто перенаправляются все запросы к нему, да ещё и на отдельный внешний ip - непонятно.

При такой "открытости" у вас в сети может и не быть троянов, либо они не на сервере, а на рабочих станциях. либо просто сервером управляют извне.

Разбираться со всем этим надо специалисту на месте, и не моей квалификации.

В первую очередь закрывайте всё, что не нужно снаружи, без этого всё бесполезно.

Большой исходящий трафик на Windows server (заявка № 227104)

Опции темы