iistsrspu 0 Опубликовано 22 октября, 2019 Share Опубликовано 22 октября, 2019 Имеется сервер на Windows 2012 R2 (лицензия, обновляется автоматом). На нем две сетевых карты, сервер является шлюзом, установлен Traffic Inspector. Внешняя сетевая имеет белый IP. Так же на сервере КД, ДНС. DHCP, файлсервер (да знаю что нельзя КД на шлюз ставить, но имеем что имеем). Такой конфиг жил без проблем 4.5 года, как в один прекрасный день сервер положил исходящим трафиком весь канал предприятия. В мониторе ресурсов были множественные подключения lsass.exe на рандомные внешние IP по 389 порту. Сканирование Kaspersky Endpoint Seсuriry 11, включение сетевого экрана ничего не давало (в т.ч. полное блокирование UDP 389). Сканирование Rescue Disk нашло пару троянов на файл сервере. Откат из бэкапа не помог. Помогло только блокирование UDP 389 на все адреса кроме локальной сети в политиках IP-безопасноcти. Сканирование AVZ прилагаю. Смущает: Функция kernel32.dll:ReadConsoleInputExA (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->772A4F8E->776F1A10 Функция kernel32.dll:ReadConsoleInputExW (1096) перехвачена, метод ProcAddressHijack.GetProcAddress ->772A4FC1->776F1A40 Traffic Inspector зафиксировал исходящий трафик до блокировки порта. Спустя неделю сервер опять положил исходящий канал, однако в логах Traffic Inspector тишина. Если добавить промежуточный шлюз (убираем белый IP) - исходящего трафика нет даже при открытых портах. Куда копать? Лог AVZ avz_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 22 октября, 2019 Share Опубликовано 22 октября, 2019 Здравствуйте! Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
iistsrspu 0 Опубликовано 22 октября, 2019 Автор Share Опубликовано 22 октября, 2019 Kaspersky Virus Removal Tool 2015 ничего не нашел. Прилагаю лог автологгера CollectionLog-2019.10.22-17.02.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 22 октября, 2019 Share Опубликовано 22 октября, 2019 Логи сделаны в терминальной сессии, сделайте их из консоли. + задание "BPA Scheduled Scan" - вам знакомо? + - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Цитата Ссылка на сообщение Поделиться на другие сайты
iistsrspu 0 Опубликовано 23 октября, 2019 Автор Share Опубликовано 23 октября, 2019 Если верить планировщику заданий: Имя: BPA Scheduled Scan Размещение: \Microsoft\Windows\Windows Server Essentials Автор: Microsoft Corporation Описание: Эта задача регулярно запускает BPA-проверку Windows Server Essentials Ссылка на карантин: https://virusinfo.info/virusdetector/report.php?md5=4FCA718B0875616BA178A5A8D5673B87 Насчет логов из консоли не совсем понял. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 23 октября, 2019 Share Опубликовано 23 октября, 2019 Это значит - запускать Автологер следует непосредственно на сервере, а не через терминальное соединение. Цитата Ссылка на сообщение Поделиться на другие сайты
iistsrspu 0 Опубликовано 23 октября, 2019 Автор Share Опубликовано 23 октября, 2019 Лог напрямую с сервера CollectionLog-2019.10.23-13.23.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 октября, 2019 Share Опубликовано 23 октября, 2019 Если верить планировщику заданий: Имя: BPA Scheduled Scan Размещение: \Microsoft\Windows\Windows Server Essentials То что она там находится ещё не значит, что она это делает. Нормальные проги не шифруют свою команду запуска через powershell. Отключите пока это задание и понаблюдайте за проблемой. Цитата Ссылка на сообщение Поделиться на другие сайты
iistsrspu 0 Опубликовано 23 октября, 2019 Автор Share Опубликовано 23 октября, 2019 Отключил. Скриншот действия задачи в приложении. Так же был добавлен промежуточный шлюз. Можно с уверенностью сказать что комп был скомпрометирован или всё же это могла это просто была атака извне на службу проверки подлинности подключения? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 октября, 2019 Share Опубликовано 23 октября, 2019 (изменено) Да, похоже задание легальное. Не понятно только зачем надо было шифровать в base64 команду на запуск BPA. Изменено 23 октября, 2019 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.