Решена Взломали сервер 2008 r2

Статус
В этой теме нельзя размещать новые ответы.

babka40000

Новый пользователь
Сообщения
44
Реакции
8
Добрый день. Помогите, пожалуйста. Взломали сервер и не хватает знаний чтобы выкинуть злоумышленника. Мониторинг заметил увеличение загрузки процессора. Я нашел на сервере майнер и удалил его (удалил задание из планировщика задач, остановил и отключил службу, удалил файлы вируса из "C:\Windows\Fonts"). Скачал cureit и выполнил проверку. cureit нашел несколько вирусов и удалил их. На следующий день майнер опять был активен. Я поставил eset nod 32 file server security 6.0. После этого заражение как будто приостановилось, но злоумышленник смог открыть текстовый файл на моем рабочем столе и написать мне сообщение. После этого в течении дня сначала пропала папка "eset" из "program files", а через некоторое время остановилась служба eset (и не дает себя запускать). майнер еще не инсталлировали, но процесс мне не нравится. Также проверял сервер MalWareBytes. Ничего не найдено. Идеи кончились, очень нужна помощь.
 

Вложения

  • CollectionLog-2018.01.02-13.13.zip
    113.3 KB · Просмотры: 4
Логи готовили из терминальной сессии?

!!!Убедитесь, что есть резервные копии важных данных и настроек!!!
Внимание, выполнение скрипта приведет к перезагрузке сервера, если перезагрузку нужно отложить, то необходимо убрать из скрипта (RebootWindows(false);)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
SetServiceStart('NGEN', 4);
QuarantineFile('C:\Windows\Fonts\svchost.exe', '');
DeleteFile('C:\Windows\Fonts\svchost.exe', '32');
DeleteService('NGEN');
BC_Activate;
  ExecuteSysClean;
BC_ImportALL;
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

Пожалуйста переделайте логи под локальным админом.

А теперь по поводу взлома:
1. Проверьте пользователей с административными правами на проблемном сервере, возможно появился лишний администратор.
2. Убедитесь, что ваша обычная учетная запись ограничена в правах до уровня пользователя (для администрирования лучше иметь отдельную учетную запись).
3. Смените пароли администраторов, в том числе локального админа\админов
4. И самое важное, проверьте логи сервера и определите откуда и как злоумышленник получил доступ.
 
Последнее редактирование:
Защиту отключил, скрипт выполнил. Лог собрал непосредственно из консоли.
Насчет взлома:
1. Сразу посмотрел. Не появился.
2. Это да. Каюсь, сижу всегда из под админа
3. Сменил. Не помогло. После смены паролей опять заразили.
4. Логи смотрел, ничего такого там не нашел. В логах "Планировщика задач" была фраза типа "Системный пользователь зарегистрировал службу".
 

Вложения

  • CollectionLog-2018.01.02-14.46.zip
    112.7 KB · Просмотры: 7
А шары проверили? Может у кого из пользователей стоит полный доступ к системным папкам.
Для ознакомления:
Наблюдение за безопасностью и обнаружение атак
Применение Аудита Windows для отслеживания деятельности пользователей
Аудит доступа к файлам и папкам в Windows Server 2008 R2 | Windows для системных администраторов

В логе уже ничего интересного не вижу
 
Последнее редактирование:
Спасибо. Пойду аудит настраивать.
Еще подскажите, пожалуйста. По такому пути "C:\Windows\inf\ASP\0010\0011\0015" нашел кучу файлов как будто от фаерфокса. Положили вчера вечером во время атаки.
 
Да, есть запчасти от ff. Удаляйте, заодно и удалим задачу из планировщика
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
 begin
ExecuteFile('schtasks.exe', '/delete /TN "FirefoxUpdate" /F', 0, 15000, true);
end.
 
И наверно сделаем контрольную проверку
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 
Я прошу прощения, контрольную проверку сейчас сделаю. Я сейчас смотрел журнал Планировщика по службе "Firefox Update" и там встретил такую запись "Пользователь "S-1-5-18" обновил задачу планировщика заданий "\Microsoft\Windows\Mozila\FirefoxUpdate" Что это за пользователь такой? И как он может так вот запросто обновлять и делать новые задачи в Планировщике?
 
Прикладываю лог со UVS.
 

Вложения

  • SERVER1_2018-01-02_17-20-32.7z
    478.3 KB · Просмотры: 3
И еще один момент. У меня пропала из виду папка "ESET" из "Program Files". Но она там есть. Ее сниффер видел. Как будто прав на нее нет. Я уж и Тотал командер из под системы запускал, папки все равно нет.
 
Это я сам подменил. Он мне все мои учетки отключил. Надо было как то включать. Я подменил Utilman на cmd
 
И самое обидное, что таких серверов у меня около десятка (. И на всех одно и тоже. Вот сейчас на втором сервере папка ESET пропала и служба nod32 остановилась.
 
Тогда зайдем с более широкого круга. Сервера имеют доступ в интернет?
 
Конечно. Основные сервисы - терминальный сервер, веб-сервер.
 
Нарушения целостности были только тогда, когда я подменял Utilman на cmd. На тех серверах, где я этого не делал, нарушений целостности небыло
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу