Перейти к содержанию
Правила раздела

Exchange Server 2019 CU10

Hendehog

От Hendehog
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Hendehog Продвинутый

Hendehog

Опубликовано
Опубликовано

Здравствуйте. У
Пролечили сервер от заразы, возможно нас через уязвимости публичный ломают.
После этого прошел месяц - просканировали, опять вирусные файлы.
Помогите понять где у нас дыра, и как ее прикрыть.

 

CollectionLog-2022.07.26-14.47.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

2 часа назад, Hendehog сказал:

просканировали, опять вирусные файлы

Чем сканировали? Логи сохранились?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

+

Запустите, пожалуйста, программу HiJackThis отсюда:

c:\users\valov.aa\desktop\autologger\autologger\HiJackThis\HiJackThis.exe

соберите и прикрепите лог (инструкция).

Ссылка на комментарий
Поделиться на другие сайты
Hendehog Продвинутый

Hendehog

Опубликовано
  • Автор
Опубликовано
15 hours ago, Sandor said:

 

Логи KVRT.
Логи  Farbar Recovery Scan Tool

HiJackThis Fork, второй раз при сканировании почему-то процесс зависает.

Попробую подождать подольше, может отвиснет.

Screenshot_2.png

Лог KVRT.zip Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
17 часов назад, Sandor сказал:

Запустите, пожалуйста, программу HiJackThis отсюда:

c:\users\valov.aa\desktop\autologger\autologger\HiJackThis\HiJackThis.exe

А ссылка, которую вы привели в вашем сообщении ведет к тестовой версии. Так вы какую из них запускали?

 

По системе:

Достаточно большое количество портов, к которым разрешен доступ в Брандмауэре. Вполне вероятно, что это и есть источник повторного заражения. Открывали доступ самостоятельно или будем закрывать?

Цитата

FirewallRules: [{636D7327-42E8-4976-867E-D92F2E41CBB8}] => (Allow) LPort=RPC
FirewallRules: [{7D2C8439-351A-4674-823E-7057A392912B}] => (Allow) LPort=587
FirewallRules: [{4612A6AF-1E25-4A04-AC3A-52AE10A1C862}] => (Allow) LPort=80
FirewallRules: [{282049F9-F4D9-4F1A-B8E1-D2893278BB55}] => (Allow) LPort=443
FirewallRules: [{6926201F-5390-4150-8949-9F36185F0AD7}] => (Allow) LPort=1995
FirewallRules: [{3E7647D8-1F07-41AD-9DF0-D2103D19C469}] => (Allow) LPort=5077
FirewallRules: [{9AE2B4F1-B73D-4F56-9689-729F0E6D37BA}] => (Allow) LPort=808
FirewallRules: [{3D3AB64B-2814-4ECE-AE65-861855FD5088}] => (Allow) LPort=64339
FirewallRules: [{5902DFCA-A80E-4A6A-8BAC-3A31E708E40A}] => (Allow) LPort=808
FirewallRules: [{502240CA-D9CD-4F4A-95CD-F6D23F8053E7}] => (Allow) LPort=80
FirewallRules: [{0ED46E1D-3459-4CB2-9E43-868005F61D1E}] => (Allow) LPort=444
FirewallRules: [{5105E5C1-B834-48A3-AB4D-973FF8CC5854}] => (Allow) LPort=64328
FirewallRules: [{0914EDFE-3F51-43D5-98B8-922C4B8BBA97}] => (Allow) LPort=139
FirewallRules: [{2FD4ACB5-7777-4F56-A302-9EEAF38A08C8}] => (Allow) LPort=993
FirewallRules: [{B028D83F-B463-4872-A565-AB041365D5E9}] => (Allow) LPort=1688


 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
1 час назад, Sandor сказал:

ссылка, которую вы привели в вашем сообщении ведет к тестовой версии. Так вы какую из них запускали?

Не ответили.

 

3 минуты назад, Hendehog сказал:

Будем закрывать

Самостоятельно закроете или дать скрипт?

Ссылка на комментарий
Поделиться на другие сайты
Hendehog Продвинутый

Hendehog

Опубликовано
  • Автор
Опубликовано
6 minutes ago, Sandor said:

Не ответили.

 

Самостоятельно закроете или дать скрипт?

Дайте пожалуйста скрипт.

Утилиту запускал из папки с автологером.

Помимо портов, скажите пожалуйста, как нас ломают? Есть мысли?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
1 минуту назад, Hendehog сказал:

как нас ломают?

Открытого наружу порта достаточно. Закроем, а вы подумайте об установке постоянной защиты.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4144156682-471372856-3921063978-1103\...\MountPoints2: {6273a1ec-bd50-11ea-b94b-806e6f6e6963} - "E:\setup.exe" 
FirewallRules: [{7D2C8439-351A-4674-823E-7057A392912B}] => (Allow) LPort=587
FirewallRules: [{4612A6AF-1E25-4A04-AC3A-52AE10A1C862}] => (Allow) LPort=80
FirewallRules: [{282049F9-F4D9-4F1A-B8E1-D2893278BB55}] => (Allow) LPort=443
FirewallRules: [{6926201F-5390-4150-8949-9F36185F0AD7}] => (Allow) LPort=1995
FirewallRules: [{3E7647D8-1F07-41AD-9DF0-D2103D19C469}] => (Allow) LPort=5077
FirewallRules: [{9AE2B4F1-B73D-4F56-9689-729F0E6D37BA}] => (Allow) LPort=808
FirewallRules: [{3D3AB64B-2814-4ECE-AE65-861855FD5088}] => (Allow) LPort=64339
FirewallRules: [{5902DFCA-A80E-4A6A-8BAC-3A31E708E40A}] => (Allow) LPort=808
FirewallRules: [{502240CA-D9CD-4F4A-95CD-F6D23F8053E7}] => (Allow) LPort=80
FirewallRules: [{0ED46E1D-3459-4CB2-9E43-868005F61D1E}] => (Allow) LPort=444
FirewallRules: [{5105E5C1-B834-48A3-AB4D-973FF8CC5854}] => (Allow) LPort=64328
FirewallRules: [{0914EDFE-3F51-43D5-98B8-922C4B8BBA97}] => (Allow) LPort=139
FirewallRules: [{2FD4ACB5-7777-4F56-A302-9EEAF38A08C8}] => (Allow) LPort=993
FirewallRules: [{B028D83F-B463-4872-A565-AB041365D5E9}] => (Allow) LPort=1688
FirewallRules: [TCP Query User{3685FD61-36BC-47C3-953F-E69A87642FB6}C:\windows\system32\windowspowershell\v1.0\powershell.exe] => (Allow) powershell.exe => Нет файла
FirewallRules: [UDP Query User{19B249B6-A0DE-4020-8FFE-57636B6916BE}C:\windows\system32\windowspowershell\v1.0\powershell.exe] => (Allow) powershell.exe => Нет файла
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • leksstav
      Alt-Linux-server-10.2 + mariadb-server-10.6.19
      От leksstav
      Всех приветствую !

      Подскажите куда копать в плане устранения ошибки.

      Имеем на борту:

      1) Alt-Linux-server-10.2
      2) mariadb-server-10.6.19

      При пустом файле my.cnf mysql запускается с таким логом:
       
      2024-10-28 12:22:16 0 [Note] Starting MariaDB 10.6.19-MariaDB-alt1 source revision server_uid Zv4jGM3BmfGDe4+uFbWEwRNyfm0= as process 4957 2024-10-28 12:22:16 0 [Note] Plugin 'InnoDB' is disabled. 2024-10-28 12:22:16 0 [Note] Plugin 'FEEDBACK' is disabled. 2024-10-28 12:22:16 0 [Note] Starting MariaDB 10.6.19-MariaDB-alt1 source revision server_uid Zv4jGM3BmfGDe4+uFbWEwRNyfm0= as process 5426 2024-10-28 12:22:16 0 [Note] InnoDB: Compressed tables use zlib 1.3.1 2024-10-28 12:22:16 0 [Note] InnoDB: Number of pools: 1 2024-10-28 12:22:16 0 [Note] InnoDB: Using crc32 + pclmulqdq instructions 2024-10-28 12:22:16 0 [Note] InnoDB: Using Linux native AIO 2024-10-28 12:22:16 0 [Note] InnoDB: Initializing buffer pool, total size = 134217728, chunk size = 134217728 2024-10-28 12:22:16 0 [Note] InnoDB: Completed initialization of buffer pool 2024-10-28 12:22:16 0 [Note] InnoDB: Starting crash recovery from checkpoint LSN=13571,13571 2024-10-28 12:22:16 0 [Note] InnoDB: To recover: 3 pages 2024-10-28 12:22:16 0 [Note] InnoDB: 128 rollback segments are active. 2024-10-28 12:22:16 0 [Note] InnoDB: Removed temporary tablespace data file: "./ibtmp1" 2024-10-28 12:22:16 0 [Note] InnoDB: Creating shared tablespace for temporary tables 2024-10-28 12:22:16 0 [Note] InnoDB: Setting file './ibtmp1' size to 12 MB. Physically writing the file full; Please wait ... 2024-10-28 12:22:16 0 [Note] InnoDB: File './ibtmp1' size is now 12 MB. 2024-10-28 12:22:16 0 [Note] InnoDB: 10.6.19 started; log sequence number 33097; transaction id 4 2024-10-28 12:22:16 0 [Note] InnoDB: Loading buffer pool(s) from /db/ib_buffer_pool 2024-10-28 12:22:16 0 [Note] Plugin 'FEEDBACK' is disabled. 2024-10-28 12:22:16 0 [Note] InnoDB: Cannot open '/db/ib_buffer_pool' for reading: No such file or directory 2024-10-28 12:22:16 0 [Note] /usr/sbin/mysqld: ready for connections. Version: '10.6.19-MariaDB-alt1' socket: '/mysql.sock' port: 0 (ALT p10) 2024-10-28 12:23:29 0 [Note] /usr/sbin/mysqld (initiated by: unknown): Normal shutdown 2024-10-28 12:23:29 0 [Note] InnoDB: FTS optimize thread exiting. 2024-10-28 12:23:29 0 [Note] InnoDB: Starting shutdown... 2024-10-28 12:23:29 0 [Note] InnoDB: Dumping buffer pool(s) to /db/ib_buffer_pool 2024-10-28 12:23:29 0 [Note] InnoDB: Buffer pool(s) dump completed at 241028 12:23:29 2024-10-28 12:23:30 0 [Note] InnoDB: Removed temporary tablespace data file: "./ibtmp1" 2024-10-28 12:23:30 0 [Note] InnoDB: Shutdown completed; log sequence number 33109; transaction id 4 2024-10-28 12:23:30 0 [Note] /usr/sbin/mysqld: Shutdown complete  
      Со страницы https://support.kaspersky.ru/ksc-linux/15/210277 беру новое содержимое для my.cnf
       
      sort_buffer_size=10M join_buffer_size=100M join_buffer_space_limit=300M join_cache_level=8 tmp_table_size=512M max_heap_table_size=512M key_buffer_size=200M innodb_buffer_pool_size=100 innodb_thread_concurrency=20 innodb_flush_log_at_trx_commit=0 innodb_lock_wait_timeout=300 max_allowed_packet=32M max_connections=151 max_prepared_stmt_count=12800 table_open_cache=60000 table_open_cache_instances=4 table_definition_cache=60000 optimizer_prune_level=0 optimizer_search_depth=8  
      И далее получаю следующий лог mysql
       
      2024-10-28 12:23:30 0 [Note] Starting MariaDB 10.6.19-MariaDB-alt1 source revision server_uid Zv4jGM3BmfGDe4+uFbWEwRNyfm0= as process 5539 2024-10-28 12:23:30 0 [Note] Plugin 'InnoDB' is disabled. 2024-10-28 12:23:30 0 [Note] Plugin 'FEEDBACK' is disabled. 2024-10-28 12:23:30 0 [Warning] 'innodb-thread-concurrency' was removed. It does nothing now and exists only for compatibility with old my.cnf files. 2024-10-28 12:23:30 0 [Note] Starting MariaDB 10.6.19-MariaDB-alt1 source revision server_uid Zv4jGM3BmfGDe4+uFbWEwRNyfm0= as process 6008 2024-10-28 12:23:30 0 [Warning] option 'innodb-buffer-pool-size': unsigned value 512 adjusted to 2097152 2024-10-28 12:23:30 0 [ERROR] InnoDB: innodb_page_size=16384 requires innodb_buffer_pool_size >= 5MiB current 2MiB 2024-10-28 12:23:30 0 [ERROR] Plugin 'InnoDB' registration as a STORAGE ENGINE failed. 2024-10-28 12:23:30 0 [Note] Plugin 'FEEDBACK' is disabled. 2024-10-28 12:23:30 0 [Warning] 'innodb-thread-concurrency' was removed. It does nothing now and exists only for compatibility with old my.cnf files. 2024-10-28 12:23:30 0 [ERROR] Unknown/unsupported storage engine: InnoDB 2024-10-28 12:23:30 0 [ERROR] Aborting  
    • tav
      Alt-Linux-server-10.2+KSC_15.0.0.12912+mariadb-server-10.6.19
      От tav
      Всех приветствую !
       
      Помогите пожалуйста разобраться почему не устанавливается KSC.
      Все логи и ход установки прикладываю.
       
      sudo /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ для Kaspersky Security Center 15 Linux И ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ для Продуктов и Сервисов ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», ОПРЕДЕЛЯЮЩЕЕ УСЛОВИЯ ИСПОЛЬЗОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ (ПО) Kaspersky Security Center 15 Linux ВНИМАНИЕ! ВНИМАТЕЛЬНО ОЗНАКОМЬТЕСЬ С УСЛОВИЯМИ ЛИЦЕНЗИОННОГО СОГЛАШЕНИЯ ПЕРЕД НАЧАЛОМ РАБОТЫ С ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ. НАЖАТИЕ ВАМИ КНОПКИ ПОДТВЕРЖДЕНИЯ СОГЛАСИЯ В ОКНЕ С ТЕКСТОМ ЛИЦЕНЗИОННОГО СОГЛАШЕНИЯ ПРИ УСТАНОВКЕ ПО ИЛИ ВВОД СООТВЕТСТВУЮЩЕГО СИМВОЛА(-ОВ) ОЗНАЧАЕТ ВАШЕ БЕЗОГОВОРОЧНОЕ СОГЛАСИЕ С УСЛОВИЯМИ НАСТОЯЩЕГО ЛИЦЕНЗИОН НОГО СОГЛАШЕНИЯ. ЕСЛИ ВЫ НЕ СОГЛАСНЫ С УСЛОВИЯМИ НАСТОЯЩЕГО ЛИЦЕНЗИОННОГО СОГЛАШЕНИЯ, ВЫ ДОЛЖНЫ ПРЕРВАТЬ УСТАНОВКУ ПО. И ТАК ДАЛЕЕ Как с нами связаться Если у Вас есть какие-либо вопросы или комментарии к Политике конфиденциальности, методам обеспечения конфиденциальности "Лаборатории Касперского", или, если Вы хотите, чтобы мы обновили или удалили предоставлен ную Вами информацию или предпочтения, посетите веб-сайт https://www.kaspersky.com/global-privacy-policy или свяжитесь с нами: 125212, Российская Федерация, г. Москва, Ленинградское шоссе, 39А, стр.3, info@kasper sky.com, +7-495-797-8700, или с представителем "Лаборатории Касперского" в ЕС по электронной почте или по телефону: Kaspersky Labs GmbH, Ingolstadt, Germany, info@kaspersky.de, +49 (0) 841 98 18 90, или со специ алистом по защите данных в ЕС, а также для других стран: dpo@kaspersky.com. © 2022 АО "Лаборатория Касперского" Enter 'Y' to confirm that you understand and accept the terms of the End User License Agreement (EULA). You must accept the terms and conditions of the EULA to install the application. Enter 'N' providing you do not accept the terms of the EULA or 'R' to view it again [N]: y Enter 'Y' to confirm that you accept the terms of the Privacy Policy. You must accept the terms and conditions of the Privacy Policy to install the application. Entering 'Y' means that you are aware that your data will be handled and transmitted (including to third countries) as described in the Privacy Policy. Enter 'N' providing you do not accept the Privacy Policy [N]: y Choose the Administration Server installation mode: 1) Standard 2) Primary cluster node 3) Secondary cluster node Enter the range number (1, 2, or 3) [1]: 1 Enter Administration Server DNS-name or static IP-address: st9-mge-alt-kav Enter Administration Server SSL port number [13000]: Define the approximate number of devices that you intend to manage: 1) 1 to 100 networked devices 2) 101 to 1 000 networked devices 3) More than 1 000 networked devices Enter the range number (1, 2, or 3) [1]: 3 Enter the security group name for services: kladmins Enter the account name to start the Administration Server service. The account must be a member of the entered security group: ksc Enter the account name to start other services. The account must be a member of the entered security group: ksc Choose the database type to connect to: 1) MySQL 2) Postgres Enter the range number (1 or 2): 1 Enter the database address: 127.0.0.1 Enter the database port: 3306 Enter the database name: kscdb Enter the database login: kscadmin Enter the database password: Add service klnagent_srv... Fatal error: Server registration failed with code '3': 'Registering kladminserver. ' Fatal error: Setup script failed with code 2, signal 0. Installation failed.  
      ksc64_install.log st9-mge-alt-kav.ncfu.net-2024-10-29_11-14_collect.tar.gz Этапы уствновки_ 29.10.2024.txt klnagent_srv_install-wd.zip klregserver_install-wd.zip
    • serioussd
      Шифровальщик blackbit, windows server 2012r2
      От serioussd
      Сервер поймал шифровальщик blackbit, прошу помощи в чистке сервера и возможной дешифровке файлов, пропали все программы, на сервере расположены базы 1с, postgresql  два файла.zipFixlog.txt   

    • wumbo12
      Windows Server и Windows SP3
      От wumbo12
      Добрый день ! Мне нужна необходимая информация, нужен две пк поставить Windows SP 3 и Сервер , нужна старая версия , с актуальным матчем . 
       
      Не предлагать Windows 2012-2024 версии Сервера , а низкие версии .
      Не предлагать Windows 7,8,10 - нужна низкие операционные системы , с актуальным патчем .
    • inkostin
      Kaspersky Security 10.0 for Linux Mail Server
      От inkostin
      Добрый день, а когда будут поддерживаться в10-ке и других новых версиях kaspersky for linux mail server другие дистрибутивы Linux?
      Интересует Red OS прежде всего.
       
×
×
  • Создать...