Павел Семенов 0 Опубликовано 17 августа, 2019 Share Опубликовано 17 августа, 2019 Добрый день! По rdp ломанули достаточно простую учетку с ограниченными правами и минимально ограниченому доступу файлам, при этом серьезно ничего не пострадало, сервак был вырублен сразу как начилась активность, он даже все не успел отработать, но хотелось бы вычистить полностью зловреда, если остались какие то куски. Спасибо. Вот лог CollectionLog-2019.08.17-13.27.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 августа, 2019 Share Опубликовано 17 августа, 2019 Ярлык C:\Users\audit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\audit.lnk , который ссылается на \\tsclient\B\111\999\SQLL\1Blossom.exe Вам известен? Цитата Ссылка на сообщение Поделиться на другие сайты
Павел Семенов 0 Опубликовано 17 августа, 2019 Автор Share Опубликовано 17 августа, 2019 (изменено) Нет, эта учетка как раз таки и взламывалась. Просто удалить эти файлы и все? Изменено 17 августа, 2019 пользователем Павел Семенов Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 августа, 2019 Share Опубликовано 17 августа, 2019 Да, удалите ярлык. И 1Blossom.exe тоже, причем он может быть в нескольких местах обитать. Цитата Ссылка на сообщение Поделиться на другие сайты
Павел Семенов 0 Опубликовано 17 августа, 2019 Автор Share Опубликовано 17 августа, 2019 (изменено) Поиск говорит нет такого... Судя по пути, не хороший человек, по подключенному диску в rdp d cтартуп запихнул эту дрянь Изменено 17 августа, 2019 пользователем Павел Семенов Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.