Rubit Опубликовано 30 мая, 2016 Опубликовано 30 мая, 2016 Коллеги, добрый день.Помогите поймать зловреда.Ситуация следующая.На котроллере домена фиксируются попытки подбора пароля к стандартным учетным записям, например, administrator, user, test, audit и т.д с неизвестных ПК (testdrp и т.д.).Собрав логи wireshark'ом удалось выяснить, что в момент подбора пароля в контроллеру домента обращается постовый сервер Exchange.Exchange сервер проверен и анамалий не выяслено.Исходя из выше изложенного есть подозрения что что-то пытается авторизоваться на Exchange сервере под вышеупомянутыми учетными записями.Поймать трафик WireShark'ом не удается, т.к. события происходят с разной периодичностью (примерно 3-5 раз в сутки-двое).Что можно сделать в данной ситуации?На Exhange сервере и контроллере домена стоит антивирус - вредоносных событий - 0.
mike 1 Опубликовано 30 мая, 2016 Опубликовано 30 мая, 2016 http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]
Rubit Опубликовано 30 мая, 2016 Автор Опубликовано 30 мая, 2016 На какой из машин собирать данный лог? обязательно ли чтобы в лог попало данное событие?
mike 1 Опубликовано 30 мая, 2016 Опубликовано 30 мая, 2016 На той машине, которую подозреваете в заражении. Можете собрать со всех машин, но только у нас есть правило: 1 компьютер - 1 тема.
Rubit Опубликовано 30 мая, 2016 Автор Опубликовано 30 мая, 2016 Проблема в том, что в логах на контролере домена указана не известная нам машина. По подозрениям что-то пытается залогиниться на Exchange и мы видит блоки на контроллере домена.
mike 1 Опубликовано 30 мая, 2016 Опубликовано 30 мая, 2016 Я понимаю, но без логов мы ничем помочь не сможем. Я в конце концов не телепат.
Rubit Опубликовано 30 мая, 2016 Автор Опубликовано 30 мая, 2016 ссылка на логи с почтового сервера https://drive.google.com/file/d/0Bxac8gtqWllKWU9DY3NVRk9SRU0/view?usp=sharing
mike 1 Опубликовано 30 мая, 2016 Опубликовано 30 мая, 2016 Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" .
Rubit Опубликовано 2 июня, 2016 Автор Опубликовано 2 июня, 2016 Добрый день. прикладываю лог. извините за задержку. SRV-EXCH2013_2016-06-02_13-01-16.7z
Rubit Опубликовано 3 июня, 2016 Автор Опубликовано 3 июня, 2016 (изменено) Возможно еще есть какие-то способы выловить зловреда, кроме попытки поймать трафик? Изменено 3 июня, 2016 пользователем Rubit
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти