Показано с 1 по 16 из 16.

заражена локальная сеть 2 (заявка № 38469)

  1. #1
    Junior Member Репутация
    Регистрация
    27.01.2009
    Сообщений
    24
    Вес репутации
    33

    Question заражена локальная сеть 2

    Заражен контролер домена
    win2003 sp2
    Вложения Вложения
    Последний раз редактировалось pig; 29.01.2009 в 02:30. Причина: убрал карантин

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Карантин вы зря приложили. virusinfo_syscheck давайте.

  4. #3
    Junior Member Репутация
    Регистрация
    27.01.2009
    Сообщений
    24
    Вес репутации
    33
    this?
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    27.01.2009
    Сообщений
    24
    Вес репутации
    33

    еще одно наблюдение

    На этом сервере в дистрибах лежали файлы ключей от AVK. Сегодня возникла необходимость загрузить на переинсталированный ноут.
    Загрузка не прошла при активации номер 0000000000 и дата не реальная.

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    В логах ничего плохого...

  7. #6
    Junior Member Репутация
    Регистрация
    27.01.2009
    Сообщений
    24
    Вес репутации
    33

    О подходе

    Цитата Сообщение от Гриша Посмотреть сообщение
    В логах ничего плохого...
    А чио делать если в логах нормально, а в компе нет?

    Добавлено через 1 час 26 минут

    Цитата Сообщение от Гриша Посмотреть сообщение
    В логах ничего плохого...
    Я как прилежный ламер выполнял все инструкции, не глядя в логи,
    но если 23 скрытых процеса "ничего плохого " то Гриша - робот.
    Последний раз редактировалось sp5-8; 30.01.2009 в 00:55. Причина: Добавлено

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Скрытые процессы - это, скорее всего, CGI в активно работающем web-сервере. Они короткоживущие, AVZ их не успевает по-нормальному опросить. Процессы видит, а получить информацию - их уже и нет.

  9. #8
    Junior Member Репутация
    Регистрация
    27.01.2009
    Сообщений
    24
    Вес репутации
    33
    Цитата Сообщение от pig Посмотреть сообщение
    Скрытые процессы - это, скорее всего, CGI в активно работающем web-сервере. Они короткоживущие, AVZ их не успевает по-нормальному опросить. Процессы видит, а получить информацию - их уже и нет.
    Это контролер длмена там нет web сервера.

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    о если 23 скрытых процеса "ничего плохого " то Гриша - робот
    Ага, я робот Это нормально для серверов...

  11. #10
    Junior Member Репутация
    Регистрация
    27.01.2009
    Сообщений
    24
    Вес репутации
    33
    Я приношу свои глубокие извенения Грише, за недопустимое высказывание в кго адрес.
    Но все-таки задача из студенчиского тервера.
    Есть коротко живущий (оценим до 1 минуты) процесс, которому присваивает случаенный номер ( из большо-го списка свободных) какова вероятность того что по прошествию 9 дней списки этих номеров процесов (в одном 197 в другом 194) будут отличатся по 10 значениям.
    Последний раз редактировалось sp5-8; 30.01.2009 в 13:28. Причина: ошибся в колличестве скрытых процессов

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от sp5-8 Посмотреть сообщение
    Это контролер длмена там нет web сервера.
    Тогда зачем он слушает 80 порт?

  13. #12
    Junior Member Репутация
    Регистрация
    27.01.2009
    Сообщений
    24
    Вес репутации
    33
    вопрос очень интересный.IIS на 80 и на других web портах погащен используется только для KAV и WSUS. Думаю, что это кусок smb протокола (там 80 прописана), но всеравно поеду разбиратся.

  14. #13
    Junior Member Репутация
    Регистрация
    27.01.2009
    Сообщений
    24
    Вес репутации
    33
    После проверки - увидел, что дефолтная IIS включилась ( наверное при обновление фремворк) не уследил.

    Но не апликухи и тем более трафика там небыло (IDS)

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Вы WSUS упомянули - это ведь тоже IIS со всеми вытекающими.

  16. #15
    Junior Member Репутация
    Регистрация
    27.01.2009
    Сообщений
    24
    Вес репутации
    33
    На данный момент (с сентября 200 WSUS перенесен с этого сервера. Процессы не могут иметь отнашения к IIS (их никто не запускал - небыло трафика по 80 порту), скриптов на дефолтном сайте тоже нет. Сейчас IIS остановлен - процессы остались.

    Можно осуда и из
    Есть коротко живущий (оценим до 1 минуты) процесс, которому присваивает случаенный номер ( из большо-го списка свободных) какова вероятность того что по прошествию 9 дней списки этих номеров процесов (в одном 197 в другом 194) будут отличатся по 10 значениям.

    --------------------------------------------------------------------------------
    сделать вывод - что процесы не связанны с web активностью?

  17. #16
    Junior Member Репутация
    Регистрация
    27.01.2009
    Сообщений
    24
    Вес репутации
    33

    таки плохо

    Так случаено случилось, что я вспомнил, что просил помощи.
    Ситуация продолхает ухудшатся. Пришлось востанавлмвать контролер AD из backupa (Использовался образ акронса) оь 15.12.
    Что характерно скрытые процессы после востановления сразу не появляются, а на следующий день полный комплект. Порты на dns открыты с самого начала. Все разговоры о web сервере не принтмаются - сервер 2 дня был недоступен из сети (проблемы ad)
    Вложения Вложения

  • Уважаемый(ая) sp5-8, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. заражена локальная сеть
      От sp5-8 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 03.02.2009, 12:49
    2. заражена локальная сеть 3
      От sp5-8 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 01.02.2009, 23:15
    3. Локальная сеть заражена (kido.da)
      От Watcher в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 21.01.2009, 16:44
    4. Тормозит локальная сеть
      От Rishat в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.09.2008, 13:21
    5. Локальная сеть
      От Толик в разделе Общая сетевая безопасность
      Ответов: 19
      Последнее сообщение: 19.02.2008, 10:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00493 seconds with 17 queries