Перейти к содержанию
Авторизация  

Рекомендуемые сообщения

Добрый день! По rdp ломанули достаточно простую учетку с ограниченными правами и минимально ограниченому доступу файлам, при этом серьезно ничего не пострадало, сервак был вырублен сразу как начилась активность, он даже все не успел отработать, но хотелось бы вычистить полностью зловреда, если остались какие то куски. Спасибо.


Вот лог

CollectionLog-2019.08.17-13.27.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ярлык

C:\Users\audit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\audit.lnk

 

, который ссылается на \\tsclient\B\111\999\SQLL\1Blossom.exe Вам известен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нет, эта учетка как раз таки и взламывалась. Просто удалить эти файлы и все?

Изменено пользователем Павел Семенов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, удалите ярлык. И 1Blossom.exe тоже, причем он может быть в нескольких местах обитать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поиск говорит нет такого...  Судя по пути, не хороший человек, по подключенному диску в rdp d cтартуп запихнул эту дрянь

Изменено пользователем Павел Семенов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...