Один из серверов стал вырабатывать необычно большой исходящий интернет трафик, который забивает практически весь интернет канал.
На сервере постоянно функционирует Kaspersky Endpoint Security 10.2.6.3733. Предположительно началось после того, как касперский обнаружил несколько угроз, а именно:MEM:Trojan.Win32.SEPEH.gen, MEM:Trojan.Win32.EquationDrug.gen, MEM:Trojan.Win32.Cometer.gen После этого установил все возможные обновления безопасности, хотя большинство уже стояли на сервере. Несколько раз прогонял и DrwebCureIt и Kaspersky Virus Removal Tool . Удалил все подозрительные файлы. Почистил временные файлы учетных записей и ОС Windows. Проверить автозагрузку с помощью утилиты Autoruns из SysinternalsSuite, так же удалил левые задачи из Windows Scheduler'а. После этого касперский перестал обнаруживать вышеперечисленные угрозы, однако исходящий интернет трафик все равно периодически возникает. Причем в разные дни разная интенсивность. Так же периодически Компонент KES10 Защита от сетевых атак обнаруживает и блокирует сетевые атаки вроде : Intrusion.Win.EternalRomance.fish.nbt.leak, Intrusion.Win.CVE-2017-7269.cas.exploit
Буду благодарен за любые подсказки по возможным решениям данной проблемы.
Спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) asrb, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:
Здравствуйте.
Пофиксил HijackThis, правда во время фикса вышла ошибка программы, но в конце было написано, что все готово.
Образ автозапуска под текущим пользователем во вложении
Последний раз редактировалось asrb; 10.04.2019 в 05:54.
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Перезагрузите сервер.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.
Silverlight лучше удалить вообще.
IE желательно обновить до 8-й версии, хоть и не используете, на него завязана безопасность системы.
Я бы включил файрвол в KES, настроил на пропуск легитимного трафика и ловил бы аномалии.
Кстати, источник сетевых атак - в локальной сети, или за периметром? Есь возможность ограничить доступ к серверу на маршрутизаторе? Там Cisco, насколько я вижу.
Cлужбу остановил, удалил из реестра данные о ней и сам физический файл xinstaller.exe. Обновление KB2758694 установил. Silverlight удалил. IE и Adobe пока не трогал, врят ли в них дело. Трафик так и забивается. Сетевой экран пробовал включать, он фиксирует что идет трафик, но в списке процессов которые сетевой экран фиксирует, нет такого, который гигабайты бы отсылал.
Сетевые атаки идут с внешних адресов.
Из недавних атак:
TCP от 91.92.186.2 на локальный порт 139
TCP от 47.52.255.202 на локальный порт 80
TCP от 194.135.14.154 на локальный порт 139
TCP от 47.52.255.202 на локальный порт 80
Можно конечно попробовать на циске ограничить доступ, но хочется все таки обнаружить, что за паразит на серваке забивает интернет канал.
А какие порты открыты для сервера во внешний мир и зачем, задайтесь этим вопросом. Закрывать всё, что не нужно надо обязательно, система устаревшая, не поддерживаемая MS.
В момент сетевой активности сохраните её с помощью TCPView в файл и прикрепите.
Судя по данным netflow наибольший трафик в момент сохранения данных с TCPview шел на адреса 23.19.85.185 и 23.81.168.150. Однако ни в TCPview ни в сетевом экране касперского не вижу, чтобы какая то программа или процесс ломились на эти адреса.
- - - - -Добавлено - - - - -
Хотя недавно в сетевом экране увидел странное соединение процесс system по tcp с удаленным адресом 131.100.83.193:53529
Да, нелегитимного трафика не видно, руткитов тоже не видно.
Можете сделать захват сомнительного трафика на Cisco или на самом сервере, через WireShark и результат в .pcap передать через файлообменник?
https://yadi.sk/d/qhiXElVKDhvFiA
Судя по всему трафик идет через протокол CLDAP. И судя по тому, что в инете удалось найти, используется он для Ddos атак.
Надо видимо будет попробовать на роутере делать списки доступа для блокировки всех входящих по 389 порту, либо на сетевом экране касера правило писать.
Пароли у пользователей поменяйте, в первую очередь у тех, у кого права администратора.
И учётку Administrator крайне не рекомендуется использовать, отключите.