Решена Взломали сервер 2008 r2

Статус
В этой теме нельзя размещать новые ответы.

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Спасибо, огромное! Пока не надо.
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Шел четвертый день противостояния... Вылечил все системные файлы на всех серверах. Теперь sfc /scannow идет без проишествий. Вычистил из реестра закладку, теперь если открывать экранную клавиатуру, открывается экранная клавиатура, а не cmd.exe. Сделал на всех серверах разные пароли. Сижу, жду новой атаки. Мне кажется, это еще не конец.
 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
16,372
Реакции
13,009
Баллы
2,203
Отличная зарядка для мозга :)
 

Кирилл

Команда форума
Администратор
Сообщения
13,692
Реакции
6,092
Баллы
913
Вы карантин прислали?
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Так, господа. Констатирую, но я таки опять обложался. Ломают меня. И ничего не помогает (((
 

akok

Команда форума
Администратор
Сообщения
16,372
Реакции
13,009
Баллы
2,203
Патчи безопасности накатывались на сервера?
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
После взлома вижу, что в реестре по пути опять прописана строка "StartExe = %SystemRoot%\System32\cmd.exe". И вместо экранной клавиатуры запускается cmd. Но как он ее прописывает?

---- Автоматическое слияние сообщений ----

патчи безопасности не то чтобы очень свежие. Где то 3-4 месяца давности.

---- Автоматическое слияние сообщений ----

sfc /scannow ошибки не обнаружила
 
Последнее редактирование:

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Уважаемый shestale, тот способ который вы написали, купируется sfc /scannow. Пой взломщик делает тоньше. Он вот по этому пути реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs\osk] прописывает "StartExe = %SystemRoot%\System32\cmd.exe". И трюк, описанный в вашем случае также начинает работать. Вопрос, как он прописывает эти строки в регистре?

---- Автоматическое слияние сообщений ----

У меня сервер за НАТом, наружу торчит только RDP порт.
 
Последнее редактирование:

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Ребят, нашел на одном из серверов файл - троян, E64.exe. Выслал вам на почту для исследования. Может он прольет свет на мою грустную историю.
 

Кирилл

Команда форума
Администратор
Сообщения
13,692
Реакции
6,092
Баллы
913
babka40000 , я думаю изначально надо было по каждому рабочему месту делать.
И даже, наверное, так и сейчас бы сделал.
Картина не полная получается.
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Картина не полная, но атаки одинаковые. Он еще и журнал за собой, гад, стирает. Ну ничего. Поставил лог изменения системы в антивирусе и через него же запретил писать в некоторые ветки реестра. Вечером посмотрю результат. Такой вопрос, по файлику, который я вам отослал, как то можно узнать, что он делает?
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,700
Реакции
5,003
Баллы
743
Такой вопрос, по файлику, который я вам отослал, как то можно узнать, что он делает?
Что-то вы намудрили с ним, т.к. поменять ему просто расширение на exe не получается. Он отказывается запускаться.
 

akok

Команда форума
Администратор
Сообщения
16,372
Реакции
13,009
Баллы
2,203
В AVZ есть полезная функция, называется ревизор (файл - ревизор), может помочь отслеживать "новые файлы" которые вам заливают.
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
О, за ревизор спасибо. Классная штука.
 

babka40000

Пользователь
Сообщения
44
Реакции
8
Баллы
18
Ура, хакера победил. По крайней мере пароли мне он уже не меняет и с серверов не выкидывает. Помола настройка HIPS у антивируса, выполненная по этой статье Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS) - Форум технической поддержки ESET NOD32. Последняя его закладка оказалась у ctfmon.exe. После изменения реестра запускался ctfmon.exe из другого каталога, запускался бекдор, а дальше вы знаете. Спасибо за помощь, тему можно закрывать.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу