Показано с 1 по 5 из 5.

Lsasss.exe забивает трафик (заявка № 222765)

  1. #1
    Junior Member Репутация
    Регистрация
    14.05.2019
    Сообщений
    3
    Вес репутации
    1

    Lsasss.exe забивает трафик

    Здравствуйте.
    Есть сервер 2012 R2. В домене. На арендуемом хостинге. Подключен к Kerio VPN. Выполняет роли терминала и репликации домена (не кидать тапками, но пока только так). Был некоторое время назад взломан. Основные следы вроде убрали-почистили, после этого даже на KES Cloud разорились. Однако сейчас есть проблемы с сервисом lsass.exe - он активно отправляет на непонятные адреса трафик.
    Пока остановились на 2х мерах: 1. Пустили весь трафик через Kerio VPN. 2. В касперском закрыли 389 порт. Стало чуть легче, но все-равно этот процесс отсылает кучу информации, только теперь через Керио.
    Прикладываю логи всего, что можно было. Все отчеты были получены через терминальную сессию, кроме одного - HiJackThisKVM он через КВМ сразу после перезагрузки.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,316
    Вес репутации
    351
    Уважаемый(ая) Mr.Slam, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,017
    Вес репутации
    915
    Логи не по правилам, но ладно уж...

    Что за файл
    Код:
    C:\USERS\ZALETOV\DESKTOP\91.109.202.19.EXE
    знаете? На virustotal.com проверьте и дайте ссылку на результат.
    Кстати, ip это вашего сервера? Microsoft IIS на нём, DNS - всё по делу? Крайне неосмотрительно публиковать наружу сервисы без ограничений по ip? с которых можно подключаться. Уже ведь и взламывали, и шифровали...

    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.1.5 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v400c
    deltmp
    delall %SystemDrive%\USERS\SA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
    delall %SystemDrive%\USERS\SA\APPDATA\ROAMING\INFO.HTA
    delref %SystemDrive%\USERS\SA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.17\GOOGLEUPDATECORE.EXE
    delall %SystemDrive%\USERS\SA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-18B152D0.[BFILES2@COCK.LI].COMBO
    delref %SystemDrive%\USERS\SA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.17\NPGOOGLEUPDATE3.DLL
    delref %SystemDrive%\USERS\SA\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\69.0.3497.100\NOTIFICATION_HELPER.EXE
    delref %SystemDrive%\USERS\SA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.17\PSUSER.DLL
    delref %SystemDrive%\USERS\SA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.7\PSUSER.DLL
    delref %SystemDrive%\USERS\SA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.17\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.7\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SA\APPDATA\LOCAL\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
    delref %SystemDrive%\USERS\SA\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.17\GOOGLEUPDATEONDEMAND.EXE
    apply
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Перезагрузите сервер.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    14.05.2019
    Сообщений
    3
    Вес репутации
    1
    Файл 91.109.202.19.EXE - как я понимаю, когда сервер зашифровали - там скрипты на дешифровку лежат. https://www.virustotal.com/gui/file/...895d/detection

    Кстати, ip это вашего сервера? Microsoft IIS на нём, DNS - всё по делу? Крайне неосмотрительно публиковать наружу сервисы без ограничений по ip?
    Да, это IP этого сервера. IIS на нем (настройки стандартные). DNS - стоит, но тоже особо никто не настраивал (когда AD поставили). По публикации сервисов - конечно согласен, но, к сожалению моей квалификации пока не достаточно, чтобы разработать оптимальную схему. До этого работал только с локальными сетями (без отдельных серверов), а там - всегда или прокси сервер, или, на худой конец, роутер какой стоял между серверами и интернетом. Поэтому буду благодарен, если подскажите куда копать? К серверу несколько человек подключаются с разных мест (скачет их ip), да и вынесли часть сервисов в облака, т.к. в основном офисе часто свет отрубают, поэтому и прокси становится недоступен. Я планирую в перспективе оставить только 80й порт для IIS открытым, чтобы 1С работала, а все остальное - позакрывать, но пока такой возможности нет.

    Логи UVS, AVZ и Farbar прикладываю.
    По UVS - меня самого смутил профиль sa, поэтому я вчера удалил этот профиль (сам профиль в папке users и вырезал ветку реестра по нему).
    С AVZ - тоже интересно. В одной из похожих тем я уже видел скрипт, который вы мне прислали, и вчера прогонял им. Он также писал, что UAC отключен. Я его включил (хотя сам не отключал), проверил у других пользователей - у еще одного админа включен на 2й уровень, у простых пользователей - на 1й. Сегодня после перезагрузки - опять отключен. На GPO грешить не могу, ибо и у меня и у другого админа права идентичные. В общем как много вопросов, как мало ответов!
    Вложения Вложения
    Последний раз редактировалось Mr.Slam; 15.05.2019 в 20:19. Причина: добавил вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,017
    Вес репутации
    915
    Несмотря на то, что в явном виде бэкдоров/троянов/etc нет, обольщаться не надо при текущем подходе к безопасности
    Простые принципы системного администрирования выполняйте.

    Всё, что не обязательно для работы и управления сервером, должно быть закрыто, отключено, законопачено файрволом. IIS не нужен - службу погасить. DNS, LDAP, RPC и прочее - зачем делать доступным снаружи? Не взломают, так заDDOSят. Только RDP открыт должен быть + то, что используете для удалённого управления, должен быть запасной вариант - SSH, Radmin или что-то подобное.

    В прошлый раз ломанули через учётку sa, возможно, используя уязвимости MS SQL (все SP и обновления безопа, сейчас она отключена, это хорошо, но тривиальные имена админов sysadmin, Администратор и подобные - недопустимы и должны быть отключены, или не иметь хотя бы прав терминального подключения.

    Слишком много пользователей с правами администратора, это означает, что лень было раздавать права на нужные папки, разделы реестра и прочее.
    Я бы сделал тотальную смену паролей юзеров, отключил лишних и посмотрел по журналу безопасности, есть ли попытки входа по RDP с явно чужих ip.
    WBR,
    Vadim

Похожие темы

  1. Явно что-то забивает трафик входящий.
    От karue17 в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 02.12.2014, 23:41
  2. Что-то забивает трафик
    От login в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 19.05.2011, 16:01
  3. Ответов: 1
    Последнее сообщение: 20.10.2008, 10:16
  4. Неизвестный трафик забивает канал
    От TimurChi в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 29.08.2008, 12:24
  5. Утекает трафик, забивает сеть
    От Александр-2008 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 28.07.2008, 11:03

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01465 seconds with 20 queries