Павел Семенов Опубликовано 17 августа, 2019 Опубликовано 17 августа, 2019 Добрый день! По rdp ломанули достаточно простую учетку с ограниченными правами и минимально ограниченому доступу файлам, при этом серьезно ничего не пострадало, сервак был вырублен сразу как начилась активность, он даже все не успел отработать, но хотелось бы вычистить полностью зловреда, если остались какие то куски. Спасибо. Вот лог CollectionLog-2019.08.17-13.27.zip
thyrex Опубликовано 17 августа, 2019 Опубликовано 17 августа, 2019 Ярлык C:\Users\audit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\audit.lnk , который ссылается на \\tsclient\B\111\999\SQLL\1Blossom.exe Вам известен?
Павел Семенов Опубликовано 17 августа, 2019 Автор Опубликовано 17 августа, 2019 (изменено) Нет, эта учетка как раз таки и взламывалась. Просто удалить эти файлы и все? Изменено 17 августа, 2019 пользователем Павел Семенов
thyrex Опубликовано 17 августа, 2019 Опубликовано 17 августа, 2019 Да, удалите ярлык. И 1Blossom.exe тоже, причем он может быть в нескольких местах обитать.
Павел Семенов Опубликовано 17 августа, 2019 Автор Опубликовано 17 августа, 2019 (изменено) Поиск говорит нет такого... Судя по пути, не хороший человек, по подключенному диску в rdp d cтартуп запихнул эту дрянь Изменено 17 августа, 2019 пользователем Павел Семенов
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти