Форум программистов, компьютерный форум, киберфорум
Компьютерная безопасность
Войти
Регистрация
Восстановить пароль
 
2 / 2 / 2
Регистрация: 23.06.2007
Сообщений: 375
1

Где пролез вирус?

06.04.2020, 01:17. Просмотров 244. Ответов 5
Метки нет (Все метки)

Ситуация:
Windows Server 2012 - доступ по RDP, порт нестандартный
На ней запущен Hyper-V с виртуалками wi7, winxp, alt, freebsd

На сервер проник вирус-шифровальщик Trojan.Encoder.3953

Как он пролез?
Непосредственно с этих машин (хост, вирт.) выход в интернет не производился (хотя доступ есть)
Подключения были только извне (ssh, rdp, причем по нестандартным портам)
Почты нету.
Машины, с которых производился доступ проверил - чисто.
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
06.04.2020, 01:17
Ответы с готовыми решениями:

С обновлением adobe flash player пролез вирус
Добрый день, после обновления в трее вылезает плашка "The Core Media Player". В браузере не дает...

Пролез вирус, установил Boocking.com, Alliexpress и т.д. В браузере всё поменял
Здравствуйте! Ничего не скачивала, и тут влезло ЭТО... Booking.com, war thunder и прочие. При чём...

Где-то прописался вирус
Где-то засел вирус. На Youtube в просмотренных появляются неизвестные мне видео, которые я точно не...

Рабочий вирус. Где взять?
Здравствуйте, понимаю что тема заезженая, но конкретного ответа для себя я не нашёл. Мне нужен...

5
0 / 0 / 0
Регистрация: 14.04.2020
Сообщений: 3
14.04.2020, 09:37 2
Проверьте порты через 2ip



https://sibsisadmin.ru/proverka-portov-pk/
0
2 / 2 / 2
Регистрация: 23.06.2007
Сообщений: 375
14.04.2020, 10:30  [ТС] 3
Проверьте порты через 2ip
Что это даст?

зараженный сервер включен в локальную сеть. Выход в интернет - через шлюз-маршрутизатор. Извне к этому серверу можно подключиться через порты (пример) 12345. 12346, 12347. Причем сначала шлюз-маршрутизатор направляет запросы по этим портам на другой сервер, а тот уже перенаправляет на этот, который заразился.

Т.е., как я понимаю, чтобы запустить вирус на машине, нужно отсканировать порты, при этом, если порт открыт, подобрать логин/пароль. И потом загрузить вирус на исполнение.
Так?
Но почему тогда не заразился первый сервер (тот, на который приходят запросы и который перенаправляет их на другие машины, в зависимости от порта)?
0
6 / 3 / 0
Регистрация: 20.01.2012
Сообщений: 183
16.04.2020, 16:31 4
oldpasp, НУ давайте начнем с того, что чудес не бывает.
стандарт/не стандарт порт не панацея. откройте логи винзды (system/security) , посмотрите что/кто/когда подключился. там даже IP адреса можно видеть. Так вот, методом анализа логов можно методом исключения определить сервер брутили/взломали или нет? ну еще не забудьте поставить временные рамки, ибо сузить диапазон поиска.
как исключите взлом сервера, можно переходить уже на клиентские компы, откуда подключатся к серверу по RDP.

Цитата Сообщение от oldpasp Посмотреть сообщение
Машины, с которых производился доступ проверил - чисто.
как их проверили? верить антивирусу только - глупо. обход любого антивируса, ерундовое дело.

Цитата Сообщение от oldpasp Посмотреть сообщение
Но почему тогда не заразился первый сервер (тот, на который приходят запросы и который перенаправляет их на другие машины, в зависимости от порта)?
Потому что владельцы этих malware не глупы. это целая индустрия, зачем им заразить "бестолковую" систему и палиться, если можно заразить что то по-серьезнее и поиметь бабла?
ну или кто то из ваших тупо скинул туда шифратора , тоже не надо исключить.
0
2 / 2 / 2
Регистрация: 23.06.2007
Сообщений: 375
16.04.2020, 22:51  [ТС] 5
откройте логи винзды (system/security)
Так потому эта тема и возникла, что недолтупны логи и журналы винды.
как их проверили?
да просто - с тех пор никаких проявлений не было. .
Потому что владельцы этих malware не глупы.зачем им заразить "бестолковую" систему и палиться
Вот это-то меня и смущает. Потому как:
два одинаковых сервера вынь 2012
на первый с шлюза-маршрутизатора перенаправляются запросы по портам 1, 2, 3
по порту 1 - доступ по RDP на первый, а порт 2 первым сервером перенаправляется на второй, 3 - на виртуалку (развернутую на втором)
на первом крутятся веб-сайт, базы данных, служебные программы
второй -как раз пустышка, ничего нет, кроме нескольких виртуалок.
И вот первый практически на пострадал (оказалась зашифрованной общедоступная папка), а второй полностью зашифровался.
Из "своих" про эти два сервера и подключения к ним знают только я.
0
6 / 3 / 0
Регистрация: 20.01.2012
Сообщений: 183
20.04.2020, 12:52 6
Цитата Сообщение от oldpasp Посмотреть сообщение
Так потому эта тема и возникла, что недолтупны логи и журналы винды.
В смысле недоступны? заблокированы?
если да, то 100% система заражена и самая верная рекомендация - чистая установка системы.
Временно можно конечно разблокировать. проверить логи, но это другая история уже

Цитата Сообщение от oldpasp Посмотреть сообщение
первый практически на пострадал (оказалась зашифрованной общедоступная папка)
он могло зашифровываться из другого компа, откуда есть разрешение на "изменение".

Цитата Сообщение от oldpasp Посмотреть сообщение
а второй полностью зашифровался
а тут директ доступ, полюбому. Чудеса не бывают.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
20.04.2020, 12:52

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Вирус в chrome и где-то еще
В общем не могу побороть заразу ((( Постоянно в Хроме открываются окна с рекламой, в панели...

Подскажите как найти, где сидит вирус
Добрый день! Система Win XP. Ноутбук. Антивирус NOD32 v. 3.0.695.0. Доступ к интернету по...

На моём сайте вирус, где и как его искать ?
Я почти отчаялся найти вирус на сайте который мне довелось принять на администрирование... Сайт на...

Подхватил где-то в сети вирус, блокирующий диспетчер и regedit
Подхватил где-то в сети вирус, блокирующий диспетчер и regedit, сволочь такая, ну сначала пробовал...

Вирус создаёт ярлык на флешке на невидимую системную папку где находятся все файлы
Я пытался сам от него избавиться. удалял все системные файлы в флешке, надеясь что один из них...

Где можно скачать рабочий вирус для Windows? Мне для дизассемблирования и изучения...
Добрый день)


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
6
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.