kytyzof 0 Опубликовано 9 апреля, 2021 Share Опубликовано 9 апреля, 2021 День добрый подскажите в последние время выскакивает сетевая атака intrusion.win.ms17-010.o и блокирует подключение к серверу, в организации более 100 компов, по событиям на серваке выяснили что кто то что то сделал 3 дня назад в обед , ну что именно не можем найти , и после этого пошли атаки , проверяли Двебом и каспер толом не помогло , подскажи куда смотреть? Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 9 апреля, 2021 Share Опубликовано 9 апреля, 2021 Здравствуйте, Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи». Также ознакомьтесь со статьей INTRUSION.WIN.INTRUSION.WIN.MS17-010.* и установите необходимые исправления. Цитата Ссылка на сообщение Поделиться на другие сайты
kytyzof 0 Опубликовано 9 апреля, 2021 Автор Share Опубликовано 9 апреля, 2021 Цитата Цитата Лог прикрепил CollectionLog-2021.04.09-16.33.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 9 апреля, 2021 Share Опубликовано 9 апреля, 2021 7 часов назад, SQ сказал: установите необходимые исправления Установили? Файл Цитата C:\Program Files\ARENA\spul\spul.exe вам известен? 1 Цитата Ссылка на сообщение Поделиться на другие сайты
kytyzof 0 Опубликовано 12 апреля, 2021 Автор Share Опубликовано 12 апреля, 2021 да этот файл очень нужен для нашей базы Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 12 апреля, 2021 Share Опубликовано 12 апреля, 2021 09.04.2021 в 13:00, Sandor сказал: Установили? Оставили без внимания. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 12 апреля, 2021 Share Опубликовано 12 апреля, 2021 Ответьте, закрыли ли вы указанную уязвимость. Затем: Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus-4335', '64'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^lock.bmp', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); ExecuteRepair(8); ExecuteRepair(10); end. Пожалуйста, перезагрузите компьютер вручную. Для повторной диагностики запустите снова AutoLogger. Цитата Ссылка на сообщение Поделиться на другие сайты
kytyzof 0 Опубликовано 12 апреля, 2021 Автор Share Опубликовано 12 апреля, 2021 1 час назад, mike 1 сказал: Оставили без внимания. вы про патч MS 40? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 12 апреля, 2021 Share Опубликовано 12 апреля, 2021 Да. Цитата Ссылка на сообщение Поделиться на другие сайты
kytyzof 0 Опубликовано 12 апреля, 2021 Автор Share Опубликовано 12 апреля, 2021 не могу найти на windows server 2008 R2 standart Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 12 апреля, 2021 Share Опубликовано 12 апреля, 2021 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Этот файл прикрепите к следующему сообщению. AVZ у вас уже есть здесь: Цитата C:\AutoLogger\AutoLogger\AV\av_z.exe Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 12 апреля, 2021 Share Опубликовано 12 апреля, 2021 4 hours ago, kytyzof said: не могу найти на windows server 2008 R2 standart Попробуйте просмотреть это - https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212 Подробнее: MS17-010: Security update for Windows SMB Server: March 14, 2017 Цитата Ссылка на сообщение Поделиться на другие сайты
kytyzof 0 Опубликовано 13 апреля, 2021 Автор Share Опубликовано 13 апреля, 2021 09.04.2021 в 17:00, Sandor сказал: Установили? Файл вам известен? патч поставил все ровно не помогло Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 13 апреля, 2021 Share Опубликовано 13 апреля, 2021 23 часа назад, Sandor сказал: Для повторной диагностики запустите снова AutoLogger. Но скорее всего источник следует искать на каком-то другом компьютере сети. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
kytyzof 0 Опубликовано 14 апреля, 2021 Автор Share Опубликовано 14 апреля, 2021 13.04.2021 в 12:04, Sandor сказал: Но скорее всего источник следует искать на каком-то другом компьютере сети. а нету не какого проги чтоб найти больной комп по сети Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.