Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 3 4 5 6 7 8 9 10 11 12 13 ... 1729 След.
MS Exchange 2013 поймали заразу на двух серверах
да, пусто в WMI, и чисто,
MS Exchange 2013 поймали заразу на двух серверах
ясно.

по этому серверу проверьте IZTVMAIL01

можно через auturuns+ образ автозапуска без отслеживания процессов, проверим секцию WMI что-то там появилось вновь или нет после очистки скриптом.

или самостоятельно проверьте
здесь
(то что здесь отмечено, было в пред образе, когда майнер запускался, и это мы все удалили скриптом)



по логированию DNS разработчик дал пояснение:
regt 40  - отключение твика 39 (без перезагрузки) очищает и урезает лог до 1 мегабайта, при этом запись в лог продолжается.
regt 40 & restart - отключает твик 39 (+перезагрузка) - полностью очищает лог, и запись после перезагрузки в лог не выполнятся.
MS Exchange 2013 поймали заразу на двух серверах
Владимир, еще пара вопросов:

1. есть какая то закономерность по времени запуска процесса с майнером?
судя по образу на сервере
Имя компьютера: IZTVMAIL01
время запуска было:
03:48:12 [2021.07.30]
2. майнер запускается повторно в течение суток  после закрытия процесса?
MS Exchange 2013 поймали заразу на двух серверах
[QUOTE]Владимир Шариков написал:
Я уже запустил твик 39 с перезагрузкой сервера с отключённым майнером. Сейчас жду запуск майнера, когда он запускается я делаю образ автозапуска. Присылаю вам, и делаю твик 40 для отключения 39 твика, и что бы ГБ лога не росли дальше. Я правильно всё понял?[/QUOTE]
да , все верно,
главное, чтобы майнер запустился в это период, чтобы увидеть цепочки запуска
только для применения твика 40 (отключение отслеживания), опять же нужна перезагрузка системы
MS Exchange 2013 поймали заразу на двух серверах
не увидел сразу сообщение, так как попало на 3 лист.

1. да, нужен новый образ автозапуска после твика 39 и перезагрузки.

конечно, желательно, чтобы процесс запуска майнера попал сразу после перезагрузки

запись лога dns с включенным твиком 39 пойдет с момента новой загрузки системы.

за 30-5о минут непрерывной записи (после перезагрузки) лог  DNS займет порядка 500Мб, хорошо, если запуск майнера попадет в этот интервал,
тогда можно будет сделать образ автозапуска и затем отключить логгирование, чтобы файла лога не разрастался на системном диске.

2.
да, смотрел, что rundll32.exe запускается от имени системы
[QUOTE]NT AUTHORITY\СИСТЕМА
C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZ­YZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON[/QUOTE]
MS Exchange 2013 поймали заразу на двух серверах
[QUOTE]Владимир Шариков написал:
Странно, Не могу запустить на одном из серверов актуальную версию, при чем uVS v4.11.6 запускается... [/QUOTE]
возможно причина в этом:
ответ разработчика
[B]такое бывает когда проблемы с BITS, но оно не вешается, а минут через 5-10 выдает ошибку и продолжает работу, лечится удалением базы bits [/B]
MS Exchange 2013 поймали заразу на двух серверах
ок.

1. если скрипты очистки выполнили, те что были выше, надо смотреть есть ли что-то сейчас в WMI или нет.
2. проверить - нет ли левых учетных записей, с которых может быть удаленное подключение
3. если процесс майнера запускается - проверить, под какой учетной записью запускается процесс (возможно взломщики получили пароли)
4. если будет включено отслеживание событий - [URL=https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0]обязательно новой версией uVS 4.11.7[/URL] (твиком 39+перезагрузка системы)

[CODE];uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
restart
[/CODE]

надо иметь ввиду след. сообщение от разработчика:

[QUOTE](!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
  (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки. [/QUOTE]

т.е. образ нужно будеn сделать сразу после перезагрузки системы. и передать его для анализа.

+ отключить отслеживание (с перезагрузкой системы), чтобы лог DNS не занимал Гб на системном диске.
[CODE];uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 40
restart
[/CODE]
В Google Chrome зеленая рамка вокруг браузера при вкл. "защите всех браузеров", При откл. этой опции - рамки нет. Как убрать рамку?
вы можете выделить, какие сайт открывать в защищенном браузере,
смотрите след опцию "включить перенаправление на защищенные сайты"
(а защиту всех браузеров - откючить)

В Google Chrome зеленая рамка вокруг браузера при вкл. "защите всех браузеров", При откл. этой опции - рамки нет. Как убрать рамку?
а это не помогает? При откл. этой опции - рамки нет
MS Exchange 2013 поймали заразу на двух серверах
Владимир, напишите по результату - помогло удаление заданий в WMI или нет
Пред. 1 ... 3 4 5 6 7 8 9 10 11 12 13 ... 1729 След.