Решена Взломали сервер 2008 r2

Статус
В этой теме нельзя размещать новые ответы.

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Добрый день. Помогите, пожалуйста. Взломали сервер и не хватает знаний чтобы выкинуть злоумышленника. Мониторинг заметил увеличение загрузки процессора. Я нашел на сервере майнер и удалил его (удалил задание из планировщика задач, остановил и отключил службу, удалил файлы вируса из "C:\Windows\Fonts"). Скачал cureit и выполнил проверку. cureit нашел несколько вирусов и удалил их. На следующий день майнер опять был активен. Я поставил eset nod 32 file server security 6.0. После этого заражение как будто приостановилось, но злоумышленник смог открыть текстовый файл на моем рабочем столе и написать мне сообщение. После этого в течении дня сначала пропала папка "eset" из "program files", а через некоторое время остановилась служба eset (и не дает себя запускать). майнер еще не инсталлировали, но процесс мне не нравится. Также проверял сервер MalWareBytes. Ничего не найдено. Идеи кончились, очень нужна помощь.
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,399
Реакции
13,033
Баллы
2,203
Логи готовили из терминальной сессии?

!!!Убедитесь, что есть резервные копии важных данных и настроек!!!
Внимание, выполнение скрипта приведет к перезагрузке сервера, если перезагрузку нужно отложить, то необходимо убрать из скрипта (RebootWindows(false);)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
SetServiceStart('NGEN', 4);
QuarantineFile('C:\Windows\Fonts\svchost.exe', '');
DeleteFile('C:\Windows\Fonts\svchost.exe', '32');
DeleteService('NGEN');
BC_Activate;
  ExecuteSysClean;
BC_ImportALL;
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

Пожалуйста переделайте логи под локальным админом.

А теперь по поводу взлома:
1. Проверьте пользователей с административными правами на проблемном сервере, возможно появился лишний администратор.
2. Убедитесь, что ваша обычная учетная запись ограничена в правах до уровня пользователя (для администрирования лучше иметь отдельную учетную запись).
3. Смените пароли администраторов, в том числе локального админа\админов
4. И самое важное, проверьте логи сервера и определите откуда и как злоумышленник получил доступ.
 
Последнее редактирование:

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Защиту отключил, скрипт выполнил. Лог собрал непосредственно из консоли.
Насчет взлома:
1. Сразу посмотрел. Не появился.
2. Это да. Каюсь, сижу всегда из под админа
3. Сменил. Не помогло. После смены паролей опять заразили.
4. Логи смотрел, ничего такого там не нашел. В логах "Планировщика задач" была фраза типа "Системный пользователь зарегистрировал службу".
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,399
Реакции
13,033
Баллы
2,203
А шары проверили? Может у кого из пользователей стоит полный доступ к системным папкам.
Для ознакомления:
Наблюдение за безопасностью и обнаружение атак
Применение Аудита Windows для отслеживания деятельности пользователей
Аудит доступа к файлам и папкам в Windows Server 2008 R2 | Windows для системных администраторов

В логе уже ничего интересного не вижу
 
Последнее редактирование:

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Спасибо. Пойду аудит настраивать.
Еще подскажите, пожалуйста. По такому пути "C:\Windows\inf\ASP\0010\0011\0015" нашел кучу файлов как будто от фаерфокса. Положили вчера вечером во время атаки.
 

akok

Команда форума
Администратор
Сообщения
16,399
Реакции
13,033
Баллы
2,203
Да, есть запчасти от ff. Удаляйте, заодно и удалим задачу из планировщика
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
 begin
ExecuteFile('schtasks.exe', '/delete /TN "FirefoxUpdate" /F', 0, 15000, true);
end.
 

akok

Команда форума
Администратор
Сообщения
16,399
Реакции
13,033
Баллы
2,203
И наверно сделаем контрольную проверку
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Я прошу прощения, контрольную проверку сейчас сделаю. Я сейчас смотрел журнал Планировщика по службе "Firefox Update" и там встретил такую запись "Пользователь "S-1-5-18" обновил задачу планировщика заданий "\Microsoft\Windows\Mozila\FirefoxUpdate" Что это за пользователь такой? И как он может так вот запросто обновлять и делать новые задачи в Планировщике?
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
И еще один момент. У меня пропала из виду папка "ESET" из "Program Files". Но она там есть. Ее сниффер видел. Как будто прав на нее нет. Я уж и Тотал командер из под системы запускал, папки все равно нет.
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Это я сам подменил. Он мне все мои учетки отключил. Надо было как то включать. Я подменил Utilman на cmd
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
И самое обидное, что таких серверов у меня около десятка (. И на всех одно и тоже. Вот сейчас на втором сервере папка ESET пропала и служба nod32 остановилась.
 

akok

Команда форума
Администратор
Сообщения
16,399
Реакции
13,033
Баллы
2,203
Тогда зайдем с более широкого круга. Сервера имеют доступ в интернет?
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Конечно. Основные сервисы - терминальный сервер, веб-сервер.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу