Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 49 50 51 52 53 54 55 56 57 58 59 ... 1784 След.
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.11.2021 20:53:49
здесь rar.exe запущен из процесса оснастки для Exchange, вряд ли он здесь запущен с целью архивирования/разархивирования - но все может быть, может инициатор запуска запущен из архива, а то что он является родительским по отношению к запуску процесса майнера это мы видим из образа автозапуска

[ Как создать образ автозапуска? ]
Перейти
Маршрутизатор выдает какую то ошибку.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.11.2021 20:35:34
Цитата
RP55 RP55 написал:
Цитата
 Arxangel  написал:
Правильно ли я понимаю, что кто то пытается подключиться?
192.168.1.46
127.0.0.
Это локальные адреса. ( адреса ваших устройств )  Подробнее.
Цитата
 santy  написал:
Цитата
 Arxangel  написал:
А в журнале происходит это. Правильно ли я понимаю, что кто то пытается подключиться?
да, похоже на попытки доступа юзеров, которых нет в настройках роутера.
Это может работать некая программа ?

.
все может быть.
если telnet не нужен, а он очевидно запускается на маршрутизаторе, как раз для возможности дист. подкл,  то его надо отключить.
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.11.2021 20:30:44
и каким боком этот отчет к нашему случаю запуска майнера?
Цитата
Данные атаки были выявлены в 2020 году специалистами центра
противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» совместно
с Национальным координационным центром по компьютерным инцидентам (НКЦКИ
уязвимости в Exchange открыты были в начале этого года. (хотя возможно, кому то были известны  до публикации в открытом доступе)
[ Как создать образ автозапуска? ]
Перейти
Маршрутизатор выдает какую то ошибку.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.11.2021 20:15:16
Цитата
Arxangel написал:
А в журнале происходит это. Правильно ли я понимаю, что кто то пытается подключиться?
да, похоже на попытки доступа юзеров, которых нет в настройках роутера.
[ Как создать образ автозапуска? ]
Перейти
Маршрутизатор выдает какую то ошибку.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.11.2021 20:11:59
по вкладкам настроек походите, на предмет поиска инфо по этим возможностям.
Веб-конфигуратор на русском языке
Командная строка (CLI) по TELNET
Возможность управления из внешней сети (веб-конфигуратор/CLI)

я съехал с Zyxel Omni (в том числе и ) поскольку уже не работает автоматическое обновление для NDMS 2
на Keenetic Giga
[ Как создать образ автозапуска? ]
Перейти
Маршрутизатор выдает какую то ошибку.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.11.2021 19:42:41
Цитата
Arxangel написал:
Zyxel Kennetic Omni
http://download.from.zyxel.ru/download/6a52db2f-4b0d-4ebb-84e2-716d85651ec2/Keenetic_omni_qsg.pdf

такой? OS - NDMS 2?



раздел есть в документации, надо смотреть веб-интерфейс настроек, возможно есть так доп настройки.
Диагностика и управление
ӜВеб-конфигуратор на русском языке
ӜКомандная строка (CLI) по TELNET
ӜВозможность управления из внешней сети (веб-конфигуратор/CLI)
ӜРезервирование и восстановление конфигурации
ӜПрограммное обновление функций
ӜСистемный журнал
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Не могу обновить AIMP. Ругается антивирус (ESET Internet Security)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.11.2021 18:59:49
добавьте образ автозапуска
+
журнал обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
[ Как создать образ автозапуска? ]
Перейти
Маршрутизатор выдает какую то ошибку.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.11.2021 18:57:14
модель роутера какая у вас?
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] запуск майнера на сервере с MS Exchange 2016
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.11.2021 18:18:08
Цитата
Сергей Шустов написал:
таких в темпе нет. Посмотрю при запущенном майнере

судя по образу, процесс короткий, не более минуты длился
09:36:07 [2021.11.07]
09:36:55 [2021.11.07]
процесс с майнингом
Код
C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON

запущен именно в этом интервале
09:36:23 [2021.11.07]
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] запуск майнера на сервере с MS Exchange 2016
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.11.2021 17:12:56
проверьте в папке C:\Windows\Temp есть указанные файлы?
C:\Windows\Temp\Rar.exe
C:\Windows\Temp\tmpVJSY.tmp
C:\Windows\Temp\tmpSCWT.tmp

Цитата
Полное имя                  C:\WINDOWS\TEMP\RAR.EXE
Имя файла                   RAR.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Инф. о файле                The system cannot find the file specified.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 8132                  NT AUTHORITY\SYSTEM
Процесс создан              09:36:07 [2021.11.07]
Процесс завершен            09:36:55 [2021.11.07]
CmdLine                     "C:\Windows\Temp\Rar.exe" C:\Windows\Temp\tmpVJSY.tmp C:\Windows\Temp\tmpSCWT.tmp
parentid = 12404            C:\WINDOWS\SYSTEM32\INETSRV\W3WP.EXE
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 49 50 51 52 53 54 55 56 57 58 59 ... 1784 След.