Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

я имею в виду по проблеме вирусной атеке, потому что утром на сервере опять были проблемы, + у меня на сервере все резервные копии убиты, может подскажите, как исправить проблему?

Могли бы по подробнее расказать о них. Вы имеете в виду, что кто-то посторонний подключался? Смотрели ли историю подключения к серверу в событиях (eventlog), если на сервере используется RDP подключения или иные?

 

 

  • Ответов 32
  • Создана
  • Последний ответ

Топ авторов темы

  • Сергей fash

    17

  • SQ

    16

Топ авторов темы

Опубликовано

на сервере используется RDP

журнал событий только за сегодня

Опубликовано

1) Уточните пожалуйста также когда ставили последний раз обновления Windows Server? Важно, чтобы были установлены все критические обновления особено закрывающие уязвимость SMB.

 

Windows Server 2008 R2 Standard Service Pack 1 (X64) (2012-03-06 13:18:45)

 

2) Насколько можно видеть на сервер открыты порты 475 и 15000, они как-то связанны с 1C?

 

FirewallRules: [{BF07BA3D-3BCE-4B01-A640-299C5187DB5F}] => (Allow) LPort=475

FirewallRules: [{9DE8AF42-97D2-4CD9-A8CB-D2BCD39F1510}] => (Allow) LPort=475

FirewallRules: [{DEBBAB63-B242-44C0-911B-FB57B7487777}] => (Allow) LPort=15000

FirewallRules: [{EA1E73FB-26B1-4EB5-9253-518823409A7E}] => (Allow) LPort=15000

FirewallRules: [{A2E2A313-2A09-4B71-B71D-1EB27363D524}] => (Allow) LPort=15000

3) TeamViewer Вы сами устанавливали?

 

 

 

 

журнал событий только за сегодня

А события logon и logoff тоже только за сегодняшний день?

 

 

Если журналы событий стерты, значит злоумышлинники почистили за собой логи.  Вам необходимо сменить все пароли.

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Опубликовано

1 обновления ставились 10 января 2019

2 1с установлена и работает, порты для нее открыты

 

У нас было официальное обновление обновление 1С после этого начались проблемы, просто других обновлений на сервере не было до понедельника

SERVERNEW_2019-01-22_14-31-08_v4.1.2.7z

Опубликовано

У нас было официальное обновление обновление 1С после этого начались проблемы, просто других обновлений на сервере не было до понедельника

А обновление было автоматическим или сотрудники поддержки 1C устанавливали? Если тех. сотрудники 1С, то какова вероятность, что они установили легкий пароль на сервере?

 

P.S. Обратите внимание, я спрашиваю исключительно для того, чтобы понять как злоумышлиннкии подобрали пароль (не для того, чтобы найти крайнего), был ли пароль легким или они использовали какую-то уязвимость.

 

Также согласно отчету [KLAN-9483781135] на сервер было вредоносное ПО категории Trojan-Banker, которое могло отправить злоумышлинникам все пароли:

tsk0000.dta - Trojan-Banker.Win32.CliptoShuffler.c
tsk0000.dta - HEUR:Trojan-Ransom.Win32.Generic
P.S. к сожалению не ясно как долго это вредоносное ПО было у Вас на сервере, так как удаление было до сбора логов.
Опубликовано

обновление скачивается с официального сервера, сервер присылает оповещение на несколько ресурсов, (почта и др) обновление с архива устанавливается, от них информации нет о проблемах с взломом или что еще у кого-то проблемы.

просто когда сервер установили его не закрывали сильно

 

мне вот важно как торояна убить, сервер на работу из вне закрою.

просто он где-то в реестре найти не могу

и чтобы расшифровать бызы данных в касперский написал

Опубликовано

мне вот важно как торояна убить, сервер на работу из вне закрою.

просто он где-то в реестре найти не могу

В логах я не вижу активной угрозы. Есть только биттые ссылки на обьекты, которых не существуют. На сколько вижу у Вас установлен антивирус от Лаборатории Касперского, он что-то находит, какую-то подозрительную активность?
Опубликовано

по тем логам что я вчера видел то проблемы начались 21 января в 2019, в 2:30 по времени сервера


по тем логам что я вчера видел то проблемы начались 21 января в 2019, в 2:30 по времени сервера

Опубликовано

 

- Покажите лог TDSSKiller

Файл C:\TDSSKiller.***_log.txt приложите в теме.

(где *** - версия программы, дата и время запуска.)

 

P.S. В случае нахождение какой-то угрозы, самостоятельно не удаляйте.

Опубликовано

В логах чисто, скорее всего у злоумышлинников был пароль на сервер (возможно им помогло, то что на сервере было вредоносное ПО). Вам необходимо сменить все пароли на сервере (желательно и на все, что открывали на сервере, например на почту).

Опубликовано

посоветуйте программы для восстановления работы сервера, так как данные о восстановлении не сохранены

Опубликовано

К сожалению с восстановление файлов помочь не сможем, так как они зашифрованы. У нас нет решения касаемо указанного шифровальщика.

 

По пробуйте уточнить в тех. поддержки Лаборатории Касперского, что они могут предложить в качестве решения.

 

P.S. Обычно шифровальщики после завершения своего дела удаляют все резервные копии, которые расположены на сервере.

Опубликовано

понятно, можете  порекомендовать что-то дополнительно, для проверки сервера, и восстановления функции работы сервера

Опубликовано

Вы можете попробовать проверить целостность системных файлов в командной строке (cmd), но лучше если вы создали запрос в тех. поддержку дождаться их рекомендации.

sfc /scannow

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • BSss
      Автор BSss
      В простое видеокарта загружается до 100, включаются вентиляторы, запускаешь диспетчер задач  - успокаивается.. как бы от этого избавиться? 
    • kaje_14
      Автор kaje_14
      Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.
      Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.
      Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 
      Никакого текста с вымоганием пока не нашёл.
      Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt


      Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar
    • sater123
      Автор sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Vital888
      Автор Vital888
      Здравствуйте. Помогите пожалуйста. На компьютере с утра обнаружил зашифрованные файлы. 
       
    • dgluhov
      Автор dgluhov
      Зашифрованы все файлы на компьютере. Имена файлов типа: z52weovl6gu8t9c-Mail(itservicerec@zohomail.eu)-ID(89547642786312).trfsqa. Расширения разные
      Обнаружил папку DecryptionKey на каждом из дисков. Утилиту FIRST.exe запустить смог только с диска восстановления
      Логи во вложении
      DecryptionKey.zip FRST.zip

×
×
  • Создать...