Показано с 1 по 17 из 17.

Исходящий трафик сервера забивает интернет канал. (заявка № 222473)

  1. #1
    Junior Member Репутация
    Регистрация
    09.04.2019
    Сообщений
    8
    Вес репутации
    1

    Исходящий трафик сервера забивает интернет канал.

    Здравствуйте.

    Один из серверов стал вырабатывать необычно большой исходящий интернет трафик, который забивает практически весь интернет канал.
    На сервере постоянно функционирует Kaspersky Endpoint Security 10.2.6.3733. Предположительно началось после того, как касперский обнаружил несколько угроз, а именно:MEM:Trojan.Win32.SEPEH.gen, MEM:Trojan.Win32.EquationDrug.gen, MEM:Trojan.Win32.Cometer.gen
    После этого установил все возможные обновления безопасности, хотя большинство уже стояли на сервере. Несколько раз прогонял и DrwebCureIt и Kaspersky Virus Removal Tool . Удалил все подозрительные файлы. Почистил временные файлы учетных записей и ОС Windows. Проверить автозагрузку с помощью утилиты Autoruns из SysinternalsSuite, так же удалил левые задачи из Windows Scheduler'а. После этого касперский перестал обнаруживать вышеперечисленные угрозы, однако исходящий интернет трафик все равно периодически возникает. Причем в разные дни разная интенсивность. Так же периодически Компонент KES10 Защита от сетевых атак обнаруживает и блокирует сетевые атаки вроде : Intrusion.Win.EternalRomance.fish.nbt.leak, Intrusion.Win.CVE-2017-7269.cas.exploit

    Буду благодарен за любые подсказки по возможным решениям данной проблемы.
    Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,313
    Вес репутации
    351
    Уважаемый(ая) asrb, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,907
    Вес репутации
    913
    Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)пофиксите только эти строки:
    Код:
    O4 - MSConfig\startupreg: WinSent Messenger [command] = C:\Program Files\WinSent Messenger Free\winsent.exe (HKLM) (2017/11/03) (file missing)
    O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = WScript wbem\adsutil.vbe (file missing)
    В момент, когда в очередной раз будет ненормальный трафик, скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    09.04.2019
    Сообщений
    8
    Вес репутации
    1

    uvz

    Здравствуйте.
    Пофиксил HijackThis, правда во время фикса вышла ошибка программы, но в конце было написано, что все готово.
    Образ автозапуска под текущим пользователем во вложении
    Изображения Изображения
    Вложения Вложения
    Последний раз редактировалось asrb; 10.04.2019 в 05:54.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,907
    Вес репутации
    913
    Вся сетевая активность - внутри LAN.

    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.1.4 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    v400c
    deltmp
    delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\5F6AD3D020AF07CD2EFD2814A0D8395E\WINDOWSSERVER2003-KB2698365-X86-ENU.EXE
    delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\8CD10427A9D4DE5BBF62827CBA8EA17C\WINDOWSSERVER2003-KB978542-X86-EXPRESS-ENU.EXE
    delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\5A8F8C0CC383459CB363B6014F70C989\WINDOWSSERVER2003-KB2423089-X86-ENU.EXE
    delref %SystemDrive%\WEBSERVERS\DENWER\BOOT.EXE
    delref %SystemDrive%\PROGRAM FILES\SKYPE\PLUGIN MANAGER\EZPMUTILS.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\ACCESSIBLEMARSHAL.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\DREAMAKUS\XCONTROLS.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.2.183.39\GOOPDATE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.65\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.79\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.111\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.57\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.99\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.69\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\GOOGLETOOLBARNOTIFIER\5.10.11023.1534\SWG.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\CYBERLINK\POWERDVD\POWERDVD.EXE
    delref %SystemDrive%\PROGRAM FILES\CYBERLINK\POWERDVD\OLRSUBMISSION\OLRSUBMISSION.EXE
    delref %SystemDrive%\PROGRAM FILES\CYBERLINK\POWERDVD\CLDMA.EXE
    delref %SystemDrive%\PROGRAM FILES\INSTALLSHIELD INSTALLATION INFORMATION\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\SETUP.EXE
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\8.0.552.237\INSTALLER\SETUP.EXE
    delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
    delref %SystemDrive%\PROGRAM FILES\UTORRENT ULANOVKA EDITION\UNINS000.EXE
    apply
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Перезагрузите сервер.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Кроме уже установленных, отметьте галочками также "90 Days Files".
    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    09.04.2019
    Сообщений
    8
    Вес репутации
    1

    FRST файлы

    FRST файлы
    Вложения Вложения
    • Тип файла: rar 1.rar (21.4 Кб, 2 просмотров)

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,907
    Вес репутации
    913
    Эта служба Вам известна?
    Код:
    S4 WITS; C:\WINDOWS\Winlog\xinstaller.exe [76312 2017-05-09] (GuangZhou KuGou Computer Technology Co.,Ltd. -> 酷狗音乐)
    В Kaspersky Endpoint Security файрвол включен?

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    09.04.2019
    Сообщений
    8
    Вес репутации
    1

    ответ

    Служба xinstaller.exe не известна
    В KES10 файервол отключен, включены контроль активности программ, файловый антивирус и защита от сетевых атак
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,907
    Вес репутации
    913
    Тогда остановите и отключите эту службу.

    Уязвимость в MSXML делает возможным удаленное выполнение кода
    https://www.microsoft.com/downloads/...9-335d5feee55b

    Установите Adobe Reader XI (11.0) или удалите старый.
    http://get.adobe.com/reader/otherversions

    Microsoft Silverlight 5.1.40416.0 устарел. Удалите его или установите новый
    https://www.microsoft.com/getsilverl...lverlight.ashx
    Silverlight лучше удалить вообще.
    IE желательно обновить до 8-й версии, хоть и не используете, на него завязана безопасность системы.

    Я бы включил файрвол в KES, настроил на пропуск легитимного трафика и ловил бы аномалии.

    Кстати, источник сетевых атак - в локальной сети, или за периметром? Есь возможность ограничить доступ к серверу на маршрутизаторе? Там Cisco, насколько я вижу.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    09.04.2019
    Сообщений
    8
    Вес репутации
    1
    Cлужбу остановил, удалил из реестра данные о ней и сам физический файл xinstaller.exe. Обновление KB2758694 установил. Silverlight удалил. IE и Adobe пока не трогал, врят ли в них дело. Трафик так и забивается. Сетевой экран пробовал включать, он фиксирует что идет трафик, но в списке процессов которые сетевой экран фиксирует, нет такого, который гигабайты бы отсылал.
    Сетевые атаки идут с внешних адресов.
    Из недавних атак:
    TCP от 91.92.186.2 на локальный порт 139
    TCP от 47.52.255.202 на локальный порт 80
    TCP от 194.135.14.154 на локальный порт 139
    TCP от 47.52.255.202 на локальный порт 80

    Можно конечно попробовать на циске ограничить доступ, но хочется все таки обнаружить, что за паразит на серваке забивает интернет канал.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,907
    Вес репутации
    913
    А какие порты открыты для сервера во внешний мир и зачем, задайтесь этим вопросом. Закрывать всё, что не нужно надо обязательно, система устаревшая, не поддерживаемая MS.

    В момент сетевой активности сохраните её с помощью TCPView в файл и прикрепите.

    Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска.)
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    09.04.2019
    Сообщений
    8
    Вес репутации
    1

    TCPview + TDSS

    TCPview + TDSS

    Судя по данным netflow наибольший трафик в момент сохранения данных с TCPview шел на адреса 23.19.85.185 и 23.81.168.150. Однако ни в TCPview ни в сетевом экране касперского не вижу, чтобы какая то программа или процесс ломились на эти адреса.

    - - - - -Добавлено - - - - -

    Хотя недавно в сетевом экране увидел странное соединение процесс system по tcp с удаленным адресом 131.100.83.193:53529
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,907
    Вес репутации
    913
    Да, нелегитимного трафика не видно, руткитов тоже не видно.
    Можете сделать захват сомнительного трафика на Cisco или на самом сервере, через WireShark и результат в .pcap передать через файлообменник?
    WBR,
    Vadim

  15. #14
    Junior Member Репутация
    Регистрация
    09.04.2019
    Сообщений
    8
    Вес репутации
    1
    https://yadi.sk/d/qhiXElVKDhvFiA
    Судя по всему трафик идет через протокол CLDAP. И судя по тому, что в инете удалось найти, используется он для Ddos атак.
    Надо видимо будет попробовать на роутере делать списки доступа для блокировки всех входящих по 389 порту, либо на сетевом экране касера правило писать.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,907
    Вес репутации
    913
    Пароли у пользователей поменяйте, в первую очередь у тех, у кого права администратора.
    И учётку Administrator крайне не рекомендуется использовать, отключите.

    Сообщите в личку внешний ip сервера, посканирую.
    WBR,
    Vadim

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,907
    Вес репутации
    913
    Порты SMB 139/445 вообще нельзя открывать, RPC - 135 - тоже.

    Порт 53 - DNS, неработающий, на 80-м заглушка веб-сервера, на 21-м ftp, anonymous FTP login allowed, зачем?

    И множество других портов, зачем? Векторов атаки и взлома слишком много, я понимаю, что только порты для почтового сервера - 110, 25 нужны по делу.

    Всё ненужное закрыть, для подключения к серверу извне настроить VPN.
    WBR,
    Vadim

  18. #17
    Junior Member Репутация
    Регистрация
    09.04.2019
    Сообщений
    8
    Вес репутации
    1
    Ок. Спасибо за советы. В понедельник буду пробовать закрывать, все лишнее.

Похожие темы

  1. Ответов: 4
    Последнее сообщение: 25.12.2013, 20:27
  2. Процесс lsass.exe забивает исходящий канал
    От Dioxin в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 03.12.2010, 11:26
  3. Ответов: 3
    Последнее сообщение: 12.12.2008, 00:06
  4. Ответов: 4
    Последнее сообщение: 12.11.2008, 16:34
  5. Неизвестный трафик забивает канал
    От TimurChi в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 29.08.2008, 12:24

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00630 seconds with 18 queries