SQ 831 Опубликовано 22 января, 2019 Share Опубликовано 22 января, 2019 я имею в виду по проблеме вирусной атеке, потому что утром на сервере опять были проблемы, + у меня на сервере все резервные копии убиты, может подскажите, как исправить проблему? Могли бы по подробнее расказать о них. Вы имеете в виду, что кто-то посторонний подключался? Смотрели ли историю подключения к серверу в событиях (eventlog), если на сервере используется RDP подключения или иные? Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей fash 0 Опубликовано 22 января, 2019 Автор Share Опубликовано 22 января, 2019 на сервере используется RDP журнал событий только за сегодня Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 22 января, 2019 Share Опубликовано 22 января, 2019 1) Уточните пожалуйста также когда ставили последний раз обновления Windows Server? Важно, чтобы были установлены все критические обновления особено закрывающие уязвимость SMB. Windows Server 2008 R2 Standard Service Pack 1 (X64) (2012-03-06 13:18:45) 2) Насколько можно видеть на сервер открыты порты 475 и 15000, они как-то связанны с 1C? FirewallRules: [{BF07BA3D-3BCE-4B01-A640-299C5187DB5F}] => (Allow) LPort=475 FirewallRules: [{9DE8AF42-97D2-4CD9-A8CB-D2BCD39F1510}] => (Allow) LPort=475 FirewallRules: [{DEBBAB63-B242-44C0-911B-FB57B7487777}] => (Allow) LPort=15000 FirewallRules: [{EA1E73FB-26B1-4EB5-9253-518823409A7E}] => (Allow) LPort=15000 FirewallRules: [{A2E2A313-2A09-4B71-B71D-1EB27363D524}] => (Allow) LPort=15000 3) TeamViewer Вы сами устанавливали? журнал событий только за сегодняА события logon и logoff тоже только за сегодняшний день? Если журналы событий стерты, значит злоумышлинники почистили за собой логи. Вам необходимо сменить все пароли. Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей fash 0 Опубликовано 22 января, 2019 Автор Share Опубликовано 22 января, 2019 1 обновления ставились 10 января 2019 2 1с установлена и работает, порты для нее открыты У нас было официальное обновление обновление 1С после этого начались проблемы, просто других обновлений на сервере не было до понедельника SERVERNEW_2019-01-22_14-31-08_v4.1.2.7z Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 22 января, 2019 Share Опубликовано 22 января, 2019 У нас было официальное обновление обновление 1С после этого начались проблемы, просто других обновлений на сервере не было до понедельникаА обновление было автоматическим или сотрудники поддержки 1C устанавливали? Если тех. сотрудники 1С, то какова вероятность, что они установили легкий пароль на сервере? P.S. Обратите внимание, я спрашиваю исключительно для того, чтобы понять как злоумышлиннкии подобрали пароль (не для того, чтобы найти крайнего), был ли пароль легким или они использовали какую-то уязвимость. Также согласно отчету [KLAN-9483781135] на сервер было вредоносное ПО категории Trojan-Banker, которое могло отправить злоумышлинникам все пароли: tsk0000.dta - Trojan-Banker.Win32.CliptoShuffler.c tsk0000.dta - HEUR:Trojan-Ransom.Win32.GenericP.S. к сожалению не ясно как долго это вредоносное ПО было у Вас на сервере, так как удаление было до сбора логов. Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей fash 0 Опубликовано 22 января, 2019 Автор Share Опубликовано 22 января, 2019 обновление скачивается с официального сервера, сервер присылает оповещение на несколько ресурсов, (почта и др) обновление с архива устанавливается, от них информации нет о проблемах с взломом или что еще у кого-то проблемы. просто когда сервер установили его не закрывали сильно мне вот важно как торояна убить, сервер на работу из вне закрою. просто он где-то в реестре найти не могу и чтобы расшифровать бызы данных в касперский написал Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 22 января, 2019 Share Опубликовано 22 января, 2019 мне вот важно как торояна убить, сервер на работу из вне закрою. просто он где-то в реестре найти не могу В логах я не вижу активной угрозы. Есть только биттые ссылки на обьекты, которых не существуют. На сколько вижу у Вас установлен антивирус от Лаборатории Касперского, он что-то находит, какую-то подозрительную активность? Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей fash 0 Опубликовано 22 января, 2019 Автор Share Опубликовано 22 января, 2019 по тем логам что я вчера видел то проблемы начались 21 января в 2019, в 2:30 по времени сервера по тем логам что я вчера видел то проблемы начались 21 января в 2019, в 2:30 по времени сервера Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 22 января, 2019 Share Опубликовано 22 января, 2019 - Покажите лог TDSSKiller Файл C:\TDSSKiller.***_log.txt приложите в теме. (где *** - версия программы, дата и время запуска.) P.S. В случае нахождение какой-то угрозы, самостоятельно не удаляйте. Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей fash 0 Опубликовано 22 января, 2019 Автор Share Опубликовано 22 января, 2019 угроз нет, сейчас идет проверка сервера касперским вчерашние логи зашифрованы сейчас прогнал - лог TDSSKiller.3.1.0.26_22.01.2019_15.17.04_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 22 января, 2019 Share Опубликовано 22 января, 2019 В логах чисто, скорее всего у злоумышлинников был пароль на сервер (возможно им помогло, то что на сервере было вредоносное ПО). Вам необходимо сменить все пароли на сервере (желательно и на все, что открывали на сервере, например на почту). Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей fash 0 Опубликовано 22 января, 2019 Автор Share Опубликовано 22 января, 2019 посоветуйте программы для восстановления работы сервера, так как данные о восстановлении не сохранены Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 22 января, 2019 Share Опубликовано 22 января, 2019 К сожалению с восстановление файлов помочь не сможем, так как они зашифрованы. У нас нет решения касаемо указанного шифровальщика. По пробуйте уточнить в тех. поддержки Лаборатории Касперского, что они могут предложить в качестве решения. P.S. Обычно шифровальщики после завершения своего дела удаляют все резервные копии, которые расположены на сервере. Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей fash 0 Опубликовано 23 января, 2019 Автор Share Опубликовано 23 января, 2019 понятно, можете порекомендовать что-то дополнительно, для проверки сервера, и восстановления функции работы сервера Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 23 января, 2019 Share Опубликовано 23 января, 2019 Вы можете попробовать проверить целостность системных файлов в командной строке (cmd), но лучше если вы создали запрос в тех. поддержку дождаться их рекомендации. sfc /scannow Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.