Показано с 1 по 6 из 6.

Лечение КОНФИКЕРА и прочей фигни на 2003 сервере (заявка № 44229)

  1. #1
    Junior Member Репутация
    Регистрация
    09.07.2008
    Сообщений
    54
    Вес репутации
    35

    Question Лечение КОНФИКЕРА и прочей фигни на 2003 сервере

    Имеется Сервер 2003, на котором живут АктивДиректори, DHCP, DNS и прочие 1Сы. Напал на мою сеть злобный конфикер.ав, никак его извести не могу. Решил запустить на серваке утильку для чистки от конфикера (econfickerremove), вирус был найден и удален, сказал что после перезагрузки больная DLL будет переименована. После перезагрузки начались глюки...
    Не работают принтеры по сети, а локально работают. Не работает DHCP. Вход в домен происходит по 3-5 минут.
    Последний раз редактировалось sveloga; 08.06.2010 в 11:45.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    09.07.2008
    Сообщений
    54
    Вес репутации
    35
    Стало еще хуже, половина компов вобще перестали видеть сеть.

    Добавлено через 1 час 7 минут

    Выяснил что всю прошлую ночь сервер упорно сканировал порты.
    Последний раз редактировалось sveloga; 21.04.2009 в 11:51. Причина: Добавлено

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от sveloga Посмотреть сообщение
    Стало еще хуже, половина компов вобще перестали видеть сеть.

    Добавлено через 1 час 7 минут

    Выяснил что всю прошлую ночь сервер упорно сканировал порты.
    Это нормально ... лечение простое, нужно в срочном порядке:
    1. ставить апдейты на сервера и рабочие станции - причем желательно все апдейты, дабы закрыть большинство "дыр"
    2. Позакрывать расшаренные папки, отключить админшары
    3. Отключить автозапуск
    4. Всем пользователям задать длинные и корявые пароли, содержащие буквы и цифры, типа "DbhecYtGhjqltn99"
    5. Массированный запуск kidokiller от ЛК на всех ПК (поможет толкьо временно, пока не сделано 1-4)
    6. Установка хорошего антивируса и его обновление на всех ПК юзеров несколько раз в день

    Параллельно с этим необходимо мониторить и снифферить сеть, поставить пару ловушек для детекта зараженных ПК и их первоочередного лечения.
    Плюс меры общей технической защиты:
    1. выход в Инет позвкрыть по максимуму на Firewall, всех пользователей запустить через проксик,порты 25/110 позакрывать всем кроме корпоративного почтаря (а иначе юзеры будут тащить всякую заразу из Инет), логи прокси изучать раз в день и за подозрительную активность наказывать
    2. Истребить сотовые телефоны, сотовые и WiFi модемы. Пока они есть и применяются, то получаем прямой выход незащищенного ПК в Инет, его заражение чем-то типа Kido, который далее накроет всю сеть ... и борость так можно до бесконечности

  5. #4
    Junior Member Репутация
    Регистрация
    09.07.2008
    Сообщений
    54
    Вес репутации
    35
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение

    Параллельно с этим необходимо мониторить и снифферить сеть, поставить пару ловушек для детекта зараженных ПК и их первоочередного лечения.
    Чем мониторить сеть ?
    Что такое ловушки ?

    И еще: у меня открыт на один комп порт для мюТоррента. Закрываю торрент, а входящие соединения на этом порту остались, я закрыл соединения, они опять повылазили. Закрыл порт, ес-но все прошло. Торрент тоже дырка в защите?

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от sveloga Посмотреть сообщение
    Чем мониторить сеть ?
    Что такое ловушки ?

    И еще: у меня открыт на один комп порт для мюТоррента. Закрываю торрент, а входящие соединения на этом порту остались, я закрыл соединения, они опять повылазили. Закрыл порт, ес-но все прошло. Торрент тоже дырка в защите?
    Мониторить - да чем угодно, можно любой сниффер (tcpdump, CommView ... ), можно IDS поднять типа Snort, можно свой небольшой сниффер написать (там коду то на два экрана) - путей тьма. Главная идея - мониторить трафик и искать аномалии, поведение сетевого червяка довольно характерное. При этом следует помнить, что при использвоании свитчей нельзя прослушивать весь трафик сети - только свой сегмент, следовательно необходимо или переходить из сегмента в сегмент с ноутбуком, или применять мониторинговый порт на свитче (что куда лучше), или поставить агенты на множество ПК.
    Ловушка - это выделенный на растерзание компьютер, на котором или поднимается IDS (т.е. идет регистрация событий и анализ логов), таковые почти во всех современных "продвинутых" Firewall есть, или там ничего не ставится защитного, но трафик этого ПК мониторится и идет наблюдение. В качестве приманки неплохо расшарить на полный доступ несколько папок и поднять аудит того, кто и что в них пишет - поможет поймать червяков, которые раскладывают себя на доступне ресурсы.
    Но в обще-то принцип простой - необходимо составить четкий план действий, и ему следовать. Причем одна из позичий плана должна состоять в создании жесткой инструкции для юзеров и доведении ее под роспись всем - иначе порядка не будет, технические меры будут конкурировать с шебутными юзерами, которые к примеру тот-же KIDO будут заносить на флешках

  7. #6
    Junior Member Репутация
    Регистрация
    09.07.2008
    Сообщений
    54
    Вес репутации
    35
    Чистил сервер сотней всяких приблуд и антивирусов. обновления все не встали, 21 обновление пишет что загрузка потерпела неудачу.
    Отрубил всю сетку от сервера, оставил только сервак и одну рабочую станцию.
    Ничего так и не изменилось.

  • Уважаемый(ая) sveloga, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус на сервере Win 2003 SE
      От Anton_ua в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 03.08.2010, 20:44
    2. не могу избавится от какой то фигни
      От SL_SL в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 31.01.2010, 20:33
    3. ntndis.exe на сервере
      От AlexJuventino в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.01.2010, 00:03
    4. проблемы с файлом ntos.exe на сервере виндовс 2003
      От Alexeysakh в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.02.2009, 09:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01150 seconds with 16 queries