Решена Взломали сервер 2008 r2

Статус
В этой теме нельзя размещать новые ответы.
С чего все началось. Мне кажется с одного из серверов угнали пароль. А он одинаковый на всех серваках кроме одного (это я конечно очень сильно затупил). Потом просканировали порты, нашли все мои серваки и что-то внедрили. И через это "что-то" они сейчас ими управляют. Я даже видел на паре серверов задание в планировщике, которое из реестра воровало SAM. На одном сервере пароль был другой, и он благополучно работает.
 
Тогда опять же нужно перетряхивать пароли админа и локальные пароли. У вас там домен по идее. Под локальным я подразумеваю учетные записи созданные на сервере, а не домене + проверьте настройки фаерволла, может шары есть. Но могли использовать и уязвимости для доступа.

Так или иначе нужно закрывать периметр от интернета по белому списку
 
На контроллере домена же нет локальных паролей? Закрывать периметр по белому списку нельзя, есть куча пользователей, которые подключаются со всей России.
 
Вот опять началось. Прям внаглую сбрасывают моего пользователя и начинают внедрять
 
И он мне пишет вот такие сообщения
 

Вложения

  • Сообщение.png
    Сообщение.png
    2.4 KB · Просмотры: 92
Hide Folders — Download free trial of award-winning Hide Folders software — FSPro Labs - сами устанавливали?
babka40000 написал(а):
На контроллере домена же нет локальных паролей?
Нажмите для раскрытия...
Если очень нужно, то есть Вход на контроллер домена с учетной записью DSRM администратора, но не похоже, что это относится к проблеме.

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код: 
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
delall %SystemRoot%\INF\ASP\0010\0011\0015\0016\CRASHREPORTER.EXE
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
 
Чья учетная запись IT-master4?
 
IT-master4 - это имя домена. Да, майнер снова появился
 
Что я успел заметить. Появляется файл в windows\vss
 
Файл я успел скопировать. Антивирус совершенно не ругался.
 
И перед атакой я пароль на администратора доменного везде поменял. И хоть бы что (. Блин, третьи сутки сижу)))
 
babka40000 написал(а):
Файл я успел скопировать. Антивирус совершенно не ругался.
Нажмите для раскрытия...
Файл в архив с паролем virus quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему. И если файл исполняемый уберите расширение... посмотрим, что это и отправим в вирлабы.
babka40000 написал(а):
IT-master4
Нажмите для раскрытия...
т.е. привязать к конкретной машине не получится?
 
Письмо вернулось, говорит нет такого ящика. Может в адресе ошиблись?
 
Да, о нем. Получается это основной инструмент управления. Но как они его внедряют? Или он таки активен и где-то прячется?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу