Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Майнер после удаления восстанавливается , Майнер восстанавливается сам как то...

RSS
 
Волосников Игорь
Волосников Игорь
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 10.01.2018
Размещено 10.01.2018 08:40:48
1. Имеется лицензия
2. Eset File Security for Microsoft Windows Server
3. Windows Server 2012 R2 Standart 64-bit (6.3.9600)

Моя проблема в том, что при наличии лицензированного антивируса от Eset на моем сервере все равно крутится майнер, сам себя восстанавливает и снова начинает грузит цп на 100%....
Создалась учетная запись какая-то , создалась папка, в ней приложение... и не важно удаляешь ты или нет ее, чистишь или нет, процесс все равно запускается стабильно 4-6 раз в сутки и грузит цп...
Мне нужна реальная помощь, после которой на моем сервере перестанет запускаться этот майнер...
Eset.jpg (281.62 КБ)
Eset2.jpg (264.34 КБ)
Изменено: Волосников Игорь - 11.01.2018 10:39:57

Ответы

Пред. 1 2 3 След.
 
Волосников Игорь
Волосников Игорь
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 10.01.2018
Размещено 11.01.2018 10:06:50
Есть, поменял, установил, ограничил. Сегодня буду мониторить.
 
santy
santy
Администратор
Сообщений: 17966
Баллов: 28744
Регистрация: 16.03.2010
Размещено 11.01.2018 10:14:26
других учетных записей на сервере с правами администратора больше нет, кроме встроенного Администратора?
[ Как создать образ автозапуска? ]
 
Волосников Игорь
Волосников Игорь
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 10.01.2018
Размещено 11.01.2018 10:18:45
Нет. Только Администратор и Administrator. Пароль поменял на обоих.
Изменено: Волосников Игорь - 11.01.2018 10:19:26
 
Дмитрий
Дмитрий
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 11.01.2018 10:57:09
Я бы еще WMI секцию глянул, и на всякий случай службы через autoruns sysinternals
 
santy
santy
Администратор
Сообщений: 17966
Баллов: 28744
Регистрация: 16.03.2010
Размещено 11.01.2018 11:03:06
Цитата
Дмитрий написал:
Я бы еще WMI секцию глянул, и на всякий случай службы через autoruns sysinternals
судя, по образу, в секции WMI нет обработчиков событий, но согласен,

Игорь,
добавьте еще лог autoruns
https://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx
[ Как создать образ автозапуска? ]
 
Волосников Игорь
Волосников Игорь
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 10.01.2018
Размещено 11.01.2018 11:48:35
Под учеткой Administrator просто запустил и сохранил. никаких настроек не менял и не ковырялся.
Изменено: Волосников Игорь - 11.01.2018 11:55:53
 
santy
santy
Администратор
Сообщений: 17966
Баллов: 28744
Регистрация: 16.03.2010
Размещено 11.01.2018 12:17:38
судя по логу autoruns в системе, в секции WMI  нет левых обработчиков событий
по всей вероятности, майнер приходит извне сервера.
ждем результатов вашего мониторинга. судя по логу в журнале угроз событие с попыткой установить майнер происходит раз в день
[ Как создать образ автозапуска? ]
 
Волосников Игорь
Волосников Игорь
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 10.01.2018
Размещено 12.01.2018 09:14:29
Тьфу, тьфу,тьфу... Ни разу за сутки пока что ничего не произошло... В логах показывало, были попытки РДП сеансов с 3 ночи до 6 перебирали пароль для "Администратор"...Сволочи...
Будем мониторить и все выходные грядущие .  
 
santy
santy
Администратор
Сообщений: 17966
Баллов: 28744
Регистрация: 16.03.2010
Размещено 12.01.2018 09:37:20
Цитата
Волосников Игорь написал:
Тьфу, тьфу,тьфу... Ни разу за сутки пока что ничего не произошло... В логах показывало, были попытки РДП сеансов с 3 ночи до 6 перебирали пароль для "Администратор"...Сволочи...
Будем мониторить и все выходные грядущие .  
стало быть первоначальные пароли были слабые, или каким то образом утекли.
интересно еще с каких ip-ов были подключения? ваши, рабочие, или таки просто внешние, которым вы не ограничили доступ из внешней сети?
+
проверьте, все ли обновления по безопасности системы установлены на сервере
[ Как создать образ автозапуска? ]
 
Волосников Игорь
Волосников Игорь
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 10.01.2018
Размещено 12.01.2018 09:48:02
Пароли надежные были, почти уверен что утекли... Никаких логов про подбор не было раньше, а вот сегодня ночью появились, следовательно, тот кто лез раньше, уже знал изначально пароль...
Просто из внешки цеплялись...
Обновления стоят все. Отслеживаю всегда.
Мониторим до ПНД  ;)  
Изменено: Волосников Игорь - 12.01.2018 09:53:12
 
Пред. 1 2 3 След.
Читают тему