Решена Взломали сервер 2008 r2

[babka40000]

Добрый день. Помогите, пожалуйста. Взломали сервер и не хватает знаний чтобы выкинуть злоумышленника. Мониторинг заметил увеличение загрузки процессора. Я нашел на сервере майнер и удалил его (удалил задание из планировщика задач, остановил и отключил службу, удалил файлы вируса из "C:\Windows\Fonts"). Скачал cureit и выполнил проверку. cureit нашел несколько вирусов и удалил их. На следующий день майнер опять был активен. Я поставил eset nod 32 file server security 6.0. После этого заражение как будто приостановилось, но злоумышленник смог открыть текстовый файл на моем рабочем столе и написать мне сообщение. После этого в течении дня сначала пропала папка "eset" из "program files", а через некоторое время остановилась служба eset (и не дает себя запускать). майнер еще не инсталлировали, но процесс мне не нравится. Также проверял сервер MalWareBytes. Ничего не найдено. Идеи кончились, очень нужна помощь.

 

[akok]

Логи готовили из терминальной сессии?

!!!Убедитесь, что есть резервные копии важных данных и настроек!!!
Внимание, выполнение скрипта приведет к перезагрузке сервера, если перезагрузку нужно отложить, то необходимо убрать из скрипта (RebootWindows(false);)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
SetServiceStart('NGEN', 4);
QuarantineFile('C:\Windows\Fonts\svchost.exe', '');
DeleteFile('C:\Windows\Fonts\svchost.exe', '32');
DeleteService('NGEN');
BC_Activate;
  ExecuteSysClean;
BC_ImportALL;
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

Пожалуйста переделайте логи под локальным админом.

А теперь по поводу взлома:
1. Проверьте пользователей с административными правами на проблемном сервере, возможно появился лишний администратор.
2. Убедитесь, что ваша обычная учетная запись ограничена в правах до уровня пользователя (для администрирования лучше иметь отдельную учетную запись).
3. Смените пароли администраторов, в том числе локального админа\админов
4. И самое важное, проверьте логи сервера и определите откуда и как злоумышленник получил доступ.

 

[babka40000]

Защиту отключил, скрипт выполнил. Лог собрал непосредственно из консоли.
Насчет взлома:
1. Сразу посмотрел. Не появился.
2. Это да. Каюсь, сижу всегда из под админа
3. Сменил. Не помогло. После смены паролей опять заразили.
4. Логи смотрел, ничего такого там не нашел. В логах "Планировщика задач" была фраза типа "Системный пользователь зарегистрировал службу".

 

[akok]

А шары проверили? Может у кого из пользователей стоит полный доступ к системным папкам.
Для ознакомления:
Наблюдение за безопасностью и обнаружение атак
Применение Аудита Windows для отслеживания деятельности пользователей
Аудит доступа к файлам и папкам в Windows Server 2008 R2 | Windows для системных администраторов

В логе уже ничего интересного не вижу

 

[babka40000]

Спасибо. Пойду аудит настраивать.
Еще подскажите, пожалуйста. По такому пути "C:\Windows\inf\ASP\0010\0011\0015" нашел кучу файлов как будто от фаерфокса. Положили вчера вечером во время атаки.

 

[akok]

Да, есть запчасти от ff. Удаляйте, заодно и удалим задачу из планировщика
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 begin
ExecuteFile('schtasks.exe', '/delete /TN "FirefoxUpdate" /F', 0, 15000, true);
end.

 

[akok]

И наверно сделаем контрольную проверку

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.​
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".​

Подробнее читайте в руководстве Как подготовить лог UVS.

 

[babka40000]

Я прошу прощения, контрольную проверку сейчас сделаю. Я сейчас смотрел журнал Планировщика по службе "Firefox Update" и там встретил такую запись "Пользователь "S-1-5-18" обновил задачу планировщика заданий "\Microsoft\Windows\Mozila\FirefoxUpdate" Что это за пользователь такой? И как он может так вот запросто обновлять и делать новые задачи в Планировщике?

 

[akok]

Это SID https://support.microsoft.com/ru-ru...rity-identifiers-in-windows-operating-systems

 

[babka40000]

Прикладываю лог со UVS.

 

[Кирилл]

"Пользователь "S-1-5-18"

Учетная запись службы, используемая операционной системой.
Видимо права учетной записи пользователя позволяют это.

 

[babka40000]

И еще один момент. У меня пропала из виду папка "ESET" из "Program Files". Но она там есть. Ее сниффер видел. Как будто прав на нее нет. Я уж и Тотал командер из под системы запускал, папки все равно нет.

 

[akok]

Злоумышленник мог подменить файл Magnify.exe на cmd
1. Уязвимость в Windows Server 2008: запуск командной строки с правами Local System ДО логона в локальную консоль. Кто там забыл пароль администратора? - Конференция iXBT.com
2. Запуск командной строки от имени SYSTEM ACCOUNT (windows 2008r2 and earlier) - Статьи TechNet - Россия (Pусский) - TechNet Wiki

Пока запустите

 sfc /scannow

 

[babka40000]

Это я сам подменил. Он мне все мои учетки отключил. Надо было как то включать. Я подменил Utilman на cmd

 

[babka40000]

И самое обидное, что таких серверов у меня около десятка (. И на всех одно и тоже. Вот сейчас на втором сервере папка ESET пропала и служба nod32 остановилась.

 

[babka40000]

sfc /scannow - это я делал

 

[akok]

Тогда зайдем с более широкого круга. Сервера имеют доступ в интернет?

 

[babka40000]

Конечно. Основные сервисы - терминальный сервер, веб-сервер.

 

[Кирилл]

sfc /scannow - это я делал

Все нормально по итогу? Нарушений целостности нет?

 

[babka40000]

Нарушения целостности были только тогда, когда я подменял Utilman на cmd. На тех серверах, где я этого не делал, нарушений целостности небыло