Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Вирус на RDP сервере (не могу поймать)

b7rracuda

Автор b7rracuda
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

b7rracuda Новичок

b7rracuda

Опубликовано
Опубликовано

Добрый день форумчане. Нужна ваша помощь и подсказки. Ситуация сл.:

Имею сервер приложений на базе w2008r2 sp1.
Сервер не имеет доступа в интернет.
Захожу на сервер, с него по RDP лезу на соседний сервер, и как то странно начинает себя вести подключение, очень долго висит (около секунд 20-40) после подключается.
Сделал переподключение, все по прежнему, не сбой сети.
Запустил TCPVIEW и немного офигел. При инициализации подключения на какое либо сетевое устройство по RDP появляются сл записи:
mstsc.exe > 192.168.1.2 > 3389
Нормально, но помимо моей сессии открывается еще одна/две на внешние адреса:
mstsc.exe > куда то в интернет > 80

Пробивал адреса в интернете, один из 4х оказался в черном списке какого то зарубежного сайта, там народ жаловался на трояна. Все адреса USA.

Сколько я не ловил эту сволочь, так поймать не смог. Пересмотрел все папки, даты создания фалов, автозапуски, process explorer, avz тоже ничего не показали. В общем везде потыркал так ничего и не нашел. Эта гадина изолирована, в нет не попадает. Доступ в инет с сервера разрешен только на определенных хосты.

 

Куда копать господа подскажите.

Ссылка на комментарий
Поделиться на другие сайты
b7rracuda Новичок

b7rracuda

Опубликовано
  • Автор
Опубликовано (изменено)

Я конечно извиняюсь, я не хотел бы нарушать правила форума. Но так как сервер боевой, то установка антивирусного по при условии активности вируса - дело опасное.

Встречался как то с вирусом который при установки антивирусного по, начинал все заражать. По возможности просто хотел бы собрать советы, что бы при появлении возможности выключения сервера можно было не начинать с нуля, а быть несколько подготовленным.

В частности интересует способ поиска вот таких вот скрытых вирусов.

Изменено пользователем b7rracuda
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

@b7rracuda, вам никто пока не говорил, чтобы ставили антивирус (хотя после удаления вируса его поставить всё-таки стоит). А вот чтобы

 

собрать советы

надо сначала увидеть логи, на кофейной гуще не гадаем. А как собрать нужные логи как раз в правилах раздела написано.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • primely
      Взлом RDP сервера с 1С вирусом-шифровальщиком .PE32S
      Автор primely
      Добрый день. У меня сегодня взломали сервер  с 1С.  Все файлы зашифровались в .PE32S. Огромная просьба помочь с решением данной проблемы. Прикрепляю скрины с зашифрованными файлами. Во вложении несколько зашифрованных файлов и записка о выкупе в архиве без пароля, а также логи FRST.

      PE32S.rar
    • Константин174
      Поймали вирус
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • MikoTMN
      Взлом RDP сервера с 1С вирусом-шифровальщиком datastore@cyberfair
      Автор MikoTMN
      Здравствуйте. Сегодня мой сервер, где лежит 1С заразился вирусом шифровальщиком, в итоге все файлы зашифровалить в тхт, ну и как полагается требуют выкуп за файлы. Прикрепил скрины с типом файлов и текстом вымогателя. Просьба, кто сталкивался с подобным (а на форуме их много) помочь с решением проблемы 
       


    • Intr1ss
      Поймали шифровровальщик по RDP platishilidrochish@fear.pw
      Автор Intr1ss
      Пришли утром,  а наш сервер весь зашифрован, прошу помочь.
      virus.rar
    • mabbloss
      Поймал майнер NET:MALWARE.URL, не могу удалить
      Автор mabbloss
      Добрый день!
      Недавно скачивал программу boosterX(подозрения на нее), после чего ухудшение производительности ноутбука.
      Сначала все может быть нормально, но через время ФПС в играх падают все больше и больше.
      Проверил на наличие вирусов с помощью Dr.Web Curelt и нашел 2 майнера NET:MALWARE.URL. Устранить автоматически их, конечно же, не получилось. Просьба помочь в удалении, впервые так сильно боюсь за свой ноутбук.
       
      Лог прикладываю.
      Заранее спасибо!
      CollectionLog-2025.03.05-01.14.zip
×
×
  • Создать...