Перейти к содержанию

christian

Участники
  • Публикаций

    38
  • Зарегистрирован

  • Посещение

Репутация

0

Информация о christian

  • Статус
    Постоялец

Посетители профиля

144 просмотра профиля
  • SQ

  1. Для работы на сервере были созданы локальные учетки temp и update. Под ними тоже подключались по рдп. Но также был считан пароль учетки администратора (находил лог сканирования учеток, в котором у некоторых, в т.ч. и админа прописан пароль). Мне думается, что был некий троян, который считал пароль и передал его хозяину, а тот уже подключился и продолжил работу. в AD учеток не создавалось. Но для распространнеия использовалась учетка админская. Логи Касперского показали попытку запустить шифровальщик на всех компах включенных в это время. К чести KES, он эти попытки пресек. До этого
  2. Вдогонку, ip с которого было проникновение 176.123.1.86 С него подключались по созданным учеткам. Реальный или нет, не знаю. Но может кому то пригодится.
  3. по ссылке из лога общие рекомендации майкрософт как исправить указанную уязвимость? avz_log.txt
  4. в свойствах брэндмауэра написано, что это порты агента касперского если нет активного, то он и не появится? на этой машине были добавлены левые пользователь в группы доступа: администратор, рдп и т.п. C:\Users\ustinov_as\AppData\Roaming\Process Hacker 2 и эта папка тоже к нему имеет отношение? если он опять запустится? Fixlog.txt
  5. только первая строчка Task: {10E0AB7D-DAA9-46DD-92F8-FC823788F40C} - System32\Tasks\База МКУ => C:\Executor\Compiler.exe [7680 2020-11-12] (Microsoft) [Файл не подписан] Пароли менял. DC2_2021-09-13_10-00-40_v4.11.8.7z как проверить политику?
  6. в архиве. Как почистить систему ? На этой машине затронуты были сетевые папки. banhu.7z
×
×
  • Создать...