Добрый день. Контроллер на 2003 Server лицензия. Недавно появились в журнале сообщения (много) неудачных попыток входа. Источник указан как ОН ЖЕ. Периодически блокируются (согласно политике) доменные учётки. Подбираются похоже по словарю - т.к. много попыток от юзеров с несуществующими у нас именами. Пока держимся. Заставил всех сменить пароли на длинные и сложные. Включил аудит на рабочих станциях. В них (особенно у кого XP) "Брандмауэр Windows обнаружил приложение прослушивающее входящий трафик". И после включения аудита такие юзеры не могут начать работу, т.к. из-за переполнения журнала безопасности их не пускает в систему.
Помогите пожалуйста вычислить зловреда. Антивирус на серваке NOD и на ПК юзеров тоже.
Последний раз редактировалось Config13; 31.10.2017 в 22:25.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Config13, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Прошу прощения пока без логов - жду разрешения от руководства на перезагрузку, т.к. он контроллер домена и SQL server
пример сообющения :
Сбой входа в систему:
Причина: неизвестное имя пользователя или неверный пароль
Пользователь: e1
Домен: GURT
Тип входа: 10
Процесс входа: User32
Пакет проверки: Negotiate
Рабочая станция: MEGASERVER
Имя вызывающего пользователя: MEGASERVER$
Домен вызывающего: GURT
Код входа вызывающего: (0x0,0x3E7)
Код процесса вызывающего: 2948
Промежуточные службы: -
Адрес сети источника: 181.214.87.5
Порт источника: 50287
Последний раз редактировалось Config13; 31.10.2017 в 11:31.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Меры против взлома надо принять как организационные, так и технические.
1. Сменить пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.
2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также менять пароли, обновлять до последних версий эти программы.
3. MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.
4. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
5. Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Спасибо Вам огромное за участие. Всё вышеперечисленное выполнил. Но я так понимаю это относиться больше к профилактике. А каким способом можно именно вычислить эту заразу??? Определить откуда она прилезла и прибить. В нашей организации бюджета IT просто нет и я уже стёр язык объясняя что на старье работать не есть гуд.