Перейти к содержанию

RDP+Router+SOS3 Удаленный рабочий стол позади роутера с Касперский Смолл Офис Секьюрити


Рекомендуемые сообщения

Опубликовано

Это хорошо, с нами решением поделитесь? Вдруг кто-то еще столкнется такой бедой. :rolleyes:

И правда злодей...

Похожая ситуация. В офисе на "ведущей машине" организовано терминальное соединение. Win7 Prof. На роутере прописано правило. Стоял KIS2015 с расшаренным портом RDP 3389. Все работало. Начальство приобрело SOS. Удаленный рабочий стол работать перестал. Правило прописывал в разных вариациях. Не дает соединяться. При отключенной защите все работает. Такая вот петрушка. Понимаю, что блукаю в трех березках, но победить ситуацию не могу.

Если кто-то сталкивался - подскажите, пожалуйста.

 

Сообщение от модератора Roman_Five
Перенесено из чужой темы.
Опубликовано

В офисе на "ведущей машине" организовано терминальное соединение(RDP, Подключение к удаленному рабочему порту). OS-Win7 Prof. Router Zyxel Kinetic.

На роутере прописано правило. Стоял на этой же железяке KIS2015 с расшаренным портом RDP 3389. Все работало. Начальство приобрело SOS3. Удаленный рабочий стол работать перестал. Правило прописывал в разных вариациях. Не дает соединяться. При отключенной защите все работает. Такая вот петрушка. Понимаю, что блукаю в трех березках, но победить ситуацию не могу.

Если кто-то сталкивался - подскажите, пожалуйста.

http://support.kaspersky.ru/6477 читал. но статья для SOS2

Опубликовано

Здравствуйте,

У Вас есть возможность приложить скриншоты правил сетевого экрана, также уточните при отключение сетевого экрана есть возможность терминального подключения?

Опубликовано

Здравствуйте,

 

У Вас есть возможность приложить скриншоты правил сетевого экрана, также уточните при отключение сетевого экрана есть возможность терминального подключения?

Здравствуйте. Спасибо за отклик на проблему.

Да, конечно, такая возможность есть - уточните, пожалуйста, скрин какого именно окна нужен? Или каких.

При отключенной защите соединение работает. Т.е. железо свои функции выполняет исправно. К серверу попаду часам к 12:00. Обязательно выложу картинки.

Опубликовано

 

Здравствуйте,

 

У Вас есть возможность приложить скриншоты правил сетевого экрана, также уточните при отключение сетевого экрана есть возможность терминального подключения?

Здравствуйте. Спасибо за отклик на проблему.

Да, конечно, такая возможность есть - уточните, пожалуйста, скрин какого именно окна нужен? Или каких.

Интересуют все правила, как пакетные так и другие созданные, чтобы можно было убедиться что нет пересекающихся правил.

 

 

При отключенной защите соединение работает. Т.е. железо свои функции выполняет исправно. К серверу попаду часам к 12:00. Обязательно выложу картинки.

Попробуйте пожалуйста не отключать защиту антивируса, а лишь один компонент "Сетевой экран"

 

Опубликовано

Правило пакетное? Вы не забыли поднять его в верх списка правил?

  • Согласен 1
Опубликовано

@SQ,При отключенном "Сетевом экране"  соединение работает. Правила после установки ни какие не менялись, Кроме RDP - разрешение во всяких вариациях: с прописанным портом, без порта и т.д.

Скрины смогу сделать, как и обещал, когда буду у машины непосредственно. Сейчас есть возможность доступа через ТимВьювер. Могу поковырать еще что-то.

Опубликовано (изменено)

@SQ,При отключенном "Сетевом экране"  соединение работает. Правила после установки ни какие не менялись, Кроме RDP - разрешение во всяких вариациях: с прописанным портом, без порта и т.д.

Скрины смогу сделать, как и обещал, когда буду у машины непосредственно. Сейчас есть возможность доступа через ТимВьювер. Могу поковырать еще что-то.

Обратите внимание на ответ, http://forum.kasperskyclub.ru/index.php?showtopic=45151&p=661298

Далее просьба не дублировать проблему в различных топиках.

Изменено пользователем SQ
Опубликовано

В итоге все получилось. Сейчас подготовлю скрины+описание и выложу. Возможно кто-то столкнется с подобной проблемой, а описаний по SOS3 еще не так много.


Было так:

2ff0dec08318.jpg

22e589506e8a.jpg

7d5e16933973.jpg

0c648627d87e.jpg

f4080f7fb913.jpg

После этих процедур соединение так и не заработало.

Далее Пакетное правило по совету Гиганта мысли Дениса-НН было перемещено на 3-ю позицию списка.

1ab973e274d6.jpg

Огромное спасибо уважаемые SQ и Денис-НН.

Буду рад вашему заключительному анализу ситуации для ее полного понимания. Если есть какой-то букварь по SOS3 - воложите, пожалуйста, ссылку. Наверняка, кому-то все это пригодится.

СПАСИБО!

Опубликовано

Рад слышать, что проблема устранилась. Обращайтесь.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • R-r-r
      Автор R-r-r
      схватил вчера, адрес brunobiden76@gmail.com  и brickscold6@gmail.com  FRST прогнал
      Arm_Helv.ttf.[ID-4D2D8606].[brunobiden76@gmail.com].zip Arm_Helv.ttf.[ID-4D2D8606].[brunobiden76@gmail.com]_pw_virus.zip Armguard.ttf.[ID-4D2D8606].[brunobiden76@gmail.com]_pw_virus.zip FRST.txt #HOW-TO-RESTORE-YOUR-FILES.txt Addition.txt
    • mkozlenko
      Автор mkozlenko
      Добрый день! 
      У знакомых проникли на сервер 1С через подбор учетки по RDP.
      Файлы (.doc, .xls, .pdf, .jpeg и т.д., а самое важное все базы 1С) зашифрованы. К названию и расширению файла добавлены "!_____GEKSOGEN911@GMAIL.COM____.c300".
      Сделала проверку Dr.Web CureIT, Kaspersky Virus Removal Tools и Malwarebytes Anti-Malware. Нашлось 3 трояна, одно подозрение на вирус и еще что-то, в том числе файл, который скорее всего является либо шифратором, либо меткой для вредителей (принтскрин найденного Dr.Web во вложении).
      Попробовала все существующие программы по раскодированию.
      На этот момент знакомые успели списаться с теми. кто собственно проник (текст письма во вложении). 
      Аналогичный запрос уже есть на форуме.
       
      Помогите. пожалуйста.
       
      ps попробовала восстановить через qphotorec - восстановилась лишь часть pdf и очень малая часть doc и xls.
      Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).
       
       
      CollectionLog-2016.11.17-13.16.zip

      переписка.txt
      Пример файла с вирусом.rar
    • vadimvadim
      Автор vadimvadim
      Добрый день, взломали по rdp, два раза ПК блокировался, после входа уже все было зашифровано, антивирус отключен, восстановление файлов отключено, диск на 100 % грузил процесс Stub.exe из папки на рабочем столе 3165CCC2798D9F4D, помимо этого была установлена программа advanced_ip_scaner(в день взлома, до этого не было ее). Что было сделано на панике: процесс Stub.exe прерван, восстановлен антивирус, удалена папка 3165CCC2798D9F4D с рабочего стола, антивирус позже нашел вирус Trojan:Win32/CriptInject в папке C:\Users\user\Pictures\24122024\5-NS new.exe и ещё один Trojan:Win32/Fragtor!AMTB в папках C:\Users\user\Pictures\24122024\3165CCC2798D9F4D\Win32-Release\Stub.exe и C:\Users\user\Pictures\24122024\3165CCC2798D9F4D\x64-Release\Stub.exe , папки 24122024 и 3165CCC2798D9F4D удалены. Полная проверка антивируса(стандартный win10) не дала больше результатов, архивы делались через "Архивация и восстановление"(Windows 7), при открытии папки всё оказалось тоже зашифровано. Во вложении логи анализа системы при помощи Farbar Recovery Scan Tool, два небольших файла зашифрованных, текстовый файл о выкупе который был во всех папках. Пароль virus
      Шифровали именно зайдя по RDP, первый раз какая то папка была открыта, второй раз службы - самостоятельно их не открывали), почему так случилось понятно, главный вопрос можно ли расшифровать за вменяемые деньги? Из критичных данных базы 1с и немного файлов ворд/эксель. С шифраторами еще не связывался.
      Desktop.zip
    • tr01
      Автор tr01
      Добрый день
      Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами). 
      Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
    • ToRaMoSoV
      Автор ToRaMoSoV
      Здравствуйте, сегодня утром обнаружил, что мой компьютер с windows 10 был атакован вирусом шифровальщиком. Главная учётная запись (админ) была основной для использования удалённого управления через rdp. Я пробросив порт через роутер и купив статику, попал под брутфорс. Меня взломали в течении пары часов(атака началась в 23 по мск, а закончилась в 1-2 часу). По результатам которой все файлы были зашифрованы, службы виндовс отключены, а пароль от админки утерян. На рабочем столе учетки юзера я обнаружил записку (фото приложил). Также прикладываю фото файла. Архив и сам вирус я не обнаружил (читал похожие случаи)
      l!lAll of your files are encrypted!!! To decrypt them send e-mail to this address: Write the ID in the email subject
       
      ID: A6D959082E20B73AC6B59F6EBB230948
       
      Email 1: reopening2025@gmail.com Telegram: @Rdp21
       
      To ensure decryption you can send 1-2 files less than 1MB we will de
       
      We have backups of all your files. If you dont pay us we will sell a and place them in the dark web with your companys domain extension.
       
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLE WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.

×
×
  • Создать...