В идеале прикрыть 443 порт, но закрыть ну не как не реально. Сейчас заблокировал хетцнерскую сеть, понаблюдаю. Думаю поможет НА ВРЕМЯ. Но дыру как отыскать...
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Цитата |
---|
RP55 RP55 написал: Вы с ним работаете ? |
Цитата |
---|
santy написал: 1. запуск происх примерно в одно и тоже время на обоих серверах. |
Цитата |
---|
santy написал: 3. удаленный адрес подкл - один и тот же, повторяется при новых запусках. |
Цитата |
---|
santy написал: 5. думаю, стоит еще включить лог DNS (в нужный момент), пусть пишется по 512Мб - на производительности системы не должно сказываться, после 512 - пойдет перезапись файла лога, |
Цитата |
---|
santy написал: сделайте еще лог ESETlogCollector на IZTVMAIL01, может в журналах событий что-то будет на момент запуска 30.07(надо было конечно пораньше запросить, вместе с образом автозапуска) |
Цитата |
---|
santy написал: Владимир, еще пара вопросов: 1. есть какая то закономерность по времени запуска процесса с майнером? судя по образу на сервере Имя компьютера: IZTVMAIL01 время запуска было: 03:48:12 [2021.07.30] 2. майнер запускается повторно в течение суток после закрытия процесса? |
Цитата |
---|
santy написал: возможно причина в этом: ответ разработчика такое бывает когда проблемы с BITS, но оно не вешается, а минут через 5-10 выдает ошибку и продолжает работу, лечится удалением базы bits |
Цитата |
---|
santy написал: 1. если скрипты очистки выполнили, те что были выше, надо смотреть есть ли что-то сейчас в WMI или нет.2. проверить - нет ли левых учетных записей, с которых может быть удаленное подключение3. если процесс майнера запускается - проверить, под какой учетной записью запускается процесс (возможно взломщики получили пароли)4. если будет включено отслеживание событий - обязательно новой версией uVS 4.11.7 (твиком 39+перезагрузка системы) |
Цитата | ||
---|---|---|
|
Цитата |
---|
santy написал: ;uVS v4.11.7 [ ;Target OS: NTv6.3 v400c OFFSGNSAVE regt 39 restart |