Взломали компьютер под Windows server 2003 и забрали файлы с диска!
На компьютер под Win Server 2003 был разрешен доступ через удаленный рабочий стол из сети интернет. Так было пока не залезли на этот компьютер и не забрали все файлы с диска Д, оставив сообщение: "Если вас интересует ваша информация пишите на наш эл. адрес..." После этого доступ через Удаленный стол был запрещен и компьютер был проверен Dr.Web cureit в Safe mode - найденный зараженный файл был удален! Был установлен антивирус NOD ESS 4. Спустя месяц история повторилась 22_03_2014. Проверка Dr.Web Cureit, KaspRemTool, AVZ - ничего не находит! AVZ находит две службы Driver System (frnxolb) и Halper task (rimvaxmq) - удалить и отключить их не могу (даже в безопасном режиме под пользователем "Администратор") - пишет Отказано в доступе. На компьютере две учетные записи Администратор (встроенная) и SA - обе в группе Администраторы! После взлома комп., обнаружил что sa находилось еще и в группе "Debugger Users" - я её удалил из пользователя sa, но сама группа все еще существует! Помогите пожалуйста - это сервер работающего магазина! Заранее спасибо!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Yuriy_86, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
1. Сменить пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.
2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также менять пароли, обновлять до последних версий эти программы.
2. MS SQL сервер - также менять пароль на sa, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.
3. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
4. Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
После Проверки программой uVS обнаружил файл _uninst_67708088.bat в С/...sa/Temp и на время между вашими заданиями переименовывал его в _uninst_67708088.txt (во время проверки возвращал исходное расширение *.bat! Сегодня после проверки Gmer и создания лога который и прикрепляю к сообщению - обнаружил, что могу отключить и отключил Службы Driver System (frnxolb) и Halper task (rimvaxmq), чего не мог ранее и которые описывал в первом своем сообщении! Извините за излишнюю самостоятельность, но боюсь повторения той ситуации! Всё что сделал можно вернуть как было...!
В чем же тогда проблема и как ко мне смогли попасть на компьютер...?!!! Я знаю точно, что закрывал доступ через Удаленный рабочий стол (снимал галочки в Мой Комп-Свойства-Удаленное использование), но после взлома он опять был разрешен! Компьютер сейчас без доступа к и-нету...но он на нем должен быть...включу - опять залезут...!!!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от Yuriy_86
