-
Junior Member
- Вес репутации
- 61
Вирус почтовой рассылки
Помогите. Отключили интернет за вирусы. Сказали что с моего IP адреса по 25 порту идет массовая рассылка почтовых сообщений. Сделал проверку по правилам подскажите есть ли что-либо. У меня стоит сервер Win2003 R2 на нем UserGate 4. Через него разрешен доступ в интернет только на 2 компьютера. В локальной сети еще порядка 15 компов, в основном ХР, но есть несколько 98 операционок. Вирус будет на сервере или может быть и на других? Может ли он осуществлять рассылку с компьютеров через UserGate разрешенными для интернета пользователями или с других компьютеров?
Последний раз редактировалось Sprut; 03.03.2010 в 14:40.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В логах с данной машины активного заражения не видно. Вероятно, заражен не шлюз, а одна из рабочих станций - смотрите в логах Usergate, с какой машины идет паразитный SMTP-трафик. Если увидите, делайте логи с этой машины. Если есть время, проверьте рабочие станции CureIt!-ом - ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Если будете снимать логи с других машин, пожалуйста, открывайте на каждую машину отдельную тему.
-
-
Junior Member
- Вес репутации
- 61
А может ли отправлять пакеты машина не прописанная в UserGate?
-
Безотносительно к описанной проблеме... Обратите внимание:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
RemoteRegistry на сервере - это не дырка. Это черная дыра!...
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
Bratez
Безотносительно к описанной проблеме... Обратите внимание:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
RemoteRegistry на сервере - это не дырка. Это
черная дыра!...
Если ето относится к моей проблеме, то как от нее избавиться?
-
Вот так :
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('RDSessMgr', 4);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
А как у вас устроен доступ через гейт?с авторизацией или без?
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
Muzzle
Вот так :
А как у вас устроен доступ через гейт?с авторизацией или без?
Наверное без авторизации. В гетсе прописаны пользователи которым доступен интернет и все.
Добавлено через 2 минуты
Еще не скажется ли отключение вышеперечисленных служб на работоспособности локальной сети? Ведь сервер выступает в качестве Файл Сервера и раздает Ip адреса в локальную сеть.
Последний раз редактировалось Sprut; 06.11.2007 в 15:52.
Причина: Добавлено
-
Адреса раздает DHCP, но уж никак не RemoteRegistry
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
RemoteRegistry отключил через панель управления. А остальные службы также критичны или нет? Я для управления компьютером использую Remote Administrator 3.0 как быть с ним оставить или лучше ходить к серверу ножками?
-
Если служба Вам нужна, то оставляйте
-
-
Junior Member
- Вес репутации
- 61
Если не трудно объясните "к ПК разрешен доступ анонимного пользователя", что это значит и как это отключить?
-
Службы_Windows_XP доступ анонимного пользователя делает видимым ваш компьютер в локальной сети ...
-