@yarosl

Обнаружил в логах сервера на linux, что одна из win машин локалки начиная с 25 ноября подключается по SSH к серверу и перебирает разные логины-пароли с целью подключения.
KVRT ничего серьезного не нашел. Стал включать логирование соединений в брендмауэре - тоже ничего не найдено.
Монитор ресурсов показывает попытки подключения к серверу по SSH в течение 5-10 минут после включения win машины. Однако какое именно приложение - было не совсем понятно, вместо названия программы в Мониторе стоял '-'.
TCPView также показывал кучу попыток соединения с названием процесса [Time Wait], но здесь в начале соединения также было видно, что соединение шло через AVG.
Также было видно, что попытки соединения от win машины происходили ко всем linux машинам в локальной сети, у которых был открыт порт 22 (ssh).
Удаление AVG c win машины полностью решило проблему - перебор логин/паролей прекратился.

AVG был установлен очень давно и ранее в подобной активности замечен не был.
Что это было - зараженный AVG или в AVG включился какой внутренний механизм попыток проникнуть в ssh на других машинах - не очень понятно - но очень похоже именно на второй вариант.

Кто-нибудь еще сталкивался с таким проявлением деятельности AVG?

0

@Sandor

Здравствуйте!

С тех пор он куплен и объединён с Avast. А на эту тему у них много чего интересного происходило.

0