Решена Взломали сервер 2008 r2

Статус
В этой теме нельзя размещать новые ответы.
Шел четвертый день противостояния... Вылечил все системные файлы на всех серверах. Теперь sfc /scannow идет без проишествий. Вычистил из реестра закладку, теперь если открывать экранную клавиатуру, открывается экранная клавиатура, а не cmd.exe. Сделал на всех серверах разные пароли. Сижу, жду новой атаки. Мне кажется, это еще не конец.
 
Последнее редактирование модератором:
Отличная зарядка для мозга :)
 
Вы карантин прислали?
 
Так, господа. Констатирую, но я таки опять обложался. Ломают меня. И ничего не помогает (((
 
Патчи безопасности накатывались на сервера?
 
После взлома вижу, что в реестре по пути опять прописана строка "StartExe = %SystemRoot%\System32\cmd.exe". И вместо экранной клавиатуры запускается cmd. Но как он ее прописывает?

---- Автоматическое слияние сообщений ----

патчи безопасности не то чтобы очень свежие. Где то 3-4 месяца давности.

---- Автоматическое слияние сообщений ----

sfc /scannow ошибки не обнаружила
 
Последнее редактирование:
И вместо экранной клавиатуры запускается cmd. Но как он ее прописывает?
Может это вам поможет разобраться...
Screenshot_1.jpg


Здесь на английском
 
Уважаемый shestale, тот способ который вы написали, купируется sfc /scannow. Пой взломщик делает тоньше. Он вот по этому пути реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs\osk] прописывает "StartExe = %SystemRoot%\System32\cmd.exe". И трюк, описанный в вашем случае также начинает работать. Вопрос, как он прописывает эти строки в регистре?

---- Автоматическое слияние сообщений ----

У меня сервер за НАТом, наружу торчит только RDP порт.
 
Последнее редактирование:
Ребят, нашел на одном из серверов файл - троян, E64.exe. Выслал вам на почту для исследования. Может он прольет свет на мою грустную историю.
 
babka40000 , я думаю изначально надо было по каждому рабочему месту делать.
И даже, наверное, так и сейчас бы сделал.
Картина не полная получается.
 
Картина не полная, но атаки одинаковые. Он еще и журнал за собой, гад, стирает. Ну ничего. Поставил лог изменения системы в антивирусе и через него же запретил писать в некоторые ветки реестра. Вечером посмотрю результат. Такой вопрос, по файлику, который я вам отослал, как то можно узнать, что он делает?
 
Такой вопрос, по файлику, который я вам отослал, как то можно узнать, что он делает?
Что-то вы намудрили с ним, т.к. поменять ему просто расширение на exe не получается. Он отказывается запускаться.
 
В AVZ есть полезная функция, называется ревизор (файл - ревизор), может помочь отслеживать "новые файлы" которые вам заливают.
 
О, за ревизор спасибо. Классная штука.
 
Ура, хакера победил. По крайней мере пароли мне он уже не меняет и с серверов не выкидывает. Помола настройка HIPS у антивируса, выполненная по этой статье Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS) - Форум технической поддержки ESET NOD32. Последняя его закладка оказалась у ctfmon.exe. После изменения реестра запускался ctfmon.exe из другого каталога, запускался бекдор, а дальше вы знаете. Спасибо за помощь, тему можно закрывать.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу