Закрыто Атака на FTP сервер

Тема в разделе "Лечение компьютерных вирусов", создана пользователем -BiG-BAPBAP, 4 май 2015.

Статус темы:
Закрыта.
  1. -BiG-BAPBAP
    Оффлайн

    -BiG-BAPBAP Активный пользователь

    Сообщения:
    212
    Симпатии:
    123
    Здравствуйте! С недавних пор я заметил что кто то посторонний пытается зайти на мой фтп сервер, подключение осуществлялось с разных IP, по этим адресам я нашел что эти адреса используются для взлома ФТП серверов методом перебора паролей, насколько я сужу что взлом не был произведен, журнал показывает что пользователя постоянно обрубает, но я на всякий случай сделал только один IP которому предоставляется доступ (мой нужный), но теперь атака идет во основном через

    02] Mon 04May15 13:20:39 - Соединение запрещено с IP адреса 127.0.0.1 (локальный адрес 127.0.0.1, порт 80)
    Подскажите что делать? И это уже длиться где то 4 дня (это я заметил)
     

    Вложения:

  2. -BiG-BAPBAP
    Оффлайн

    -BiG-BAPBAP Активный пользователь

    Сообщения:
    212
    Симпатии:
    123
    Думаю может все таки что то сидит, как он он нашел мой комп?
    --- Объединённое сообщение, 4 май 2015, Дата первоначального сообщения: 4 май 2015 ---
    Вот не большой лог
     

    Вложения:

  3. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Tencent QQMail Плагин
    Steganos Privacy Suite
    Torrent Finder Toolbar

    Вам эти программы\расширения знакомы?

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(false);
    end.

     
    Компьютер перезагрузится.


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 4 май 2015
  4. -BiG-BAPBAP
    Оффлайн

    -BiG-BAPBAP Активный пользователь

    Сообщения:
    212
    Симпатии:
    123
    Да это мое
    --- Объединённое сообщение, 4 май 2015, Дата первоначального сообщения: 4 май 2015 ---
    Вот лог. А Тот скрипт AVZ , он что делал?
     

    Вложения:

    Последнее редактирование: 4 май 2015
  5. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Исправил настройки IE.
    Удалите в AdwCleaner все найденные объекты.

    Что с проблемой?
     
    Kиpилл нравится это.
  6. -BiG-BAPBAP
    Оффлайн

    -BiG-BAPBAP Активный пользователь

    Сообщения:
    212
    Симпатии:
    123
    Все удалил, проблема осталась, оператор поменял IP, часа через 3 все заново началось, может кто подскажет хорошую программу для отслеживания трафика? Уверен как то он же отслеживает мой адрес
    --- Объединённое сообщение, 7 май 2015, Дата первоначального сообщения: 7 май 2015 ---
    Да, вот еще что:
    атака идет именно на 22 порт, нортон заблокировал этот порт, сам лично пробовал не пускает, открываю порт пускает, а этот с закрытым портом пробивается, вот никак не пойму?
     

    Вложения:

  7. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    Последнее редактирование: 7 май 2015
  8. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    +
    В это время у вас установились в систему
    софт этот китайский, а судя по последнему логу подключение идет с китайских ай пи адресов.
     
    akok нравится это.
  9. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    добавлю, что софт этой компании даже у китайцев не лучшей славой пользуется https://ru.wikipedia.org/wiki/Tencent_QQ
     
  10. -BiG-BAPBAP
    Оффлайн

    -BiG-BAPBAP Активный пользователь

    Сообщения:
    212
    Симпатии:
    123
    Удалил эти плагины, и панель браузера, ничего не изменилось
     

    Вложения:

  11. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
  12. -BiG-BAPBAP
    Оффлайн

    -BiG-BAPBAP Активный пользователь

    Сообщения:
    212
    Симпатии:
    123
    Пожалуйста
     

    Вложения:

  13. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Да, остатков не видно.
    +
    Почистите кэш и куки в браузерах.
    +
    Если проблема не уйдет, попробуйте еще сбросить роутер(Reset), при необходимости ввести настройки заново и сменить пароль.
     
    Kиpилл нравится это.
  14. -BiG-BAPBAP
    Оффлайн

    -BiG-BAPBAP Активный пользователь

    Сообщения:
    212
    Симпатии:
    123
    Все это сделано и не однакратно, по ходу придется винду переустанавливать, жаль...
     
  15. -BiG-BAPBAP
    Оффлайн

    -BiG-BAPBAP Активный пользователь

    Сообщения:
    212
    Симпатии:
    123
    Проблема решена, а решил её SpyHunter, а кто знает где у этой проги лог? Она что то писала, но там на английском, хочется все же понять что это было?
     
  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    -BiG-BAPBAP, поставил на виртуалку, потестировла лог похоже тут
    Код (Text):
    C:\Program Files\Enigma Software Group\SpyHunter\Log
    но он похоже зашифрован.
    Если согласны в ЛС данные для доступа по тимьвьюверу скиньте попробую на месте у вас разобраться. Также интересно в чём причина была.
     
    Kиpилл нравится это.
  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    похоже этот вирус был http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=8334724#none
    --- Объединённое сообщение, 11 май 2015 ---
    судя по гуглу MBAM тоже должен его видеть.
    --- Объединённое сообщение, 11 май 2015, Дата первоначального сообщения: 11 май 2015 ---
    Вот ещё пару ссылок оставлю.
    http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=8339827#none
    http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=8339827#none
    и добавлю, что гуглил по CLSID
    Код (Text):
    {157b1aa6-3e5c-404a-9118-c1d91f537040}
    {f28c2f70-47de-4ea5-8f6d-7d1476cd1ef5}
    {3B3F3AAD-FB97-49FF-BFEE-D22869AC4326}
     
    Kиpилл нравится это.
  18. -BiG-BAPBAP
    Оффлайн

    -BiG-BAPBAP Активный пользователь

    Сообщения:
    212
    Симпатии:
    123
    regist,
    Он не видел он только блокировал доступ "вредоносный сайт"
     
  19. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
    LogPath := GetAVZDirectory + 'log\avz_log.txt';
    if FileExists(LogPath) Then DeleteFile(LogPath);
    ScriptPath := GetAVZDirectory +'ScanVuln.txt';

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
    ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
    exit;
    end;
    end;
    if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
  20. -BiG-BAPBAP
    Оффлайн

    -BiG-BAPBAP Активный пользователь

    Сообщения:
    212
    Симпатии:
    123
    Ничего не понимаю:
    [02] Wed 13May15 15:18:32 - (000166) Подключен к 222.186.21.237 (локальный адрес 192.168.1.103, порт 22)
    [31] Wed 13May15 15:18:34 - (000166) SSH_MSG_DISCONNECT: client has requested a disconnect. Reason code: 11
    [02] Wed 13May15 15:18:34 - (000166) сессия закрыта
    что опять?
     
Статус темы:
Закрыта.

Поделиться этой страницей