Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 58 59 60 61 62 63 64 65 66 67 68 ... 1784 След.
[ Закрыто] запуск майнера на серверах с MS Exchange 2013
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.08.2021 12:15:26
Цитата
Владимир Шариков написал:
Странно, Не могу запустить на одном из серверов актуальную версию, при чем uVS v4.11.6 запускается...
возможно причина в этом:
ответ разработчика
такое бывает когда проблемы с BITS, но оно не вешается, а минут через 5-10 выдает ошибку и продолжает работу, лечится удалением базы bits
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] запуск майнера на серверах с MS Exchange 2013
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.08.2021 12:07:50
ок.

1. если скрипты очистки выполнили, те что были выше, надо смотреть есть ли что-то сейчас в WMI или нет.
2. проверить - нет ли левых учетных записей, с которых может быть удаленное подключение
3. если процесс майнера запускается - проверить, под какой учетной записью запускается процесс (возможно взломщики получили пароли)
4. если будет включено отслеживание событий - обязательно новой версией uVS 4.11.7  (твиком 39+перезагрузка системы)

Код
;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
restart


надо иметь ввиду след. сообщение от разработчика:

Цитата
(!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
  (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.

т.е. образ нужно будеn сделать сразу после перезагрузки системы. и передать его для анализа.

+ отключить отслеживание (с перезагрузкой системы), чтобы лог DNS не занимал Гб на системном диске.
Код
;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 40
restart
[ Как создать образ автозапуска? ]
Перейти
В Google Chrome зеленая рамка вокруг браузера при вкл. "защите всех браузеров", При откл. этой опции - рамки нет. Как убрать рамку?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.08.2021 08:07:25
вы можете выделить, какие сайт открывать в защищенном браузере,
смотрите след опцию "включить перенаправление на защищенные сайты"
(а защиту всех браузеров - откючить)

[ Как создать образ автозапуска? ]
Перейти
В Google Chrome зеленая рамка вокруг браузера при вкл. "защите всех браузеров", При откл. этой опции - рамки нет. Как убрать рамку?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.08.2021 04:30:48
а это не помогает? При откл. этой опции - рамки нет
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] запуск майнера на серверах с MS Exchange 2013
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 31.07.2021 08:53:38
Владимир, напишите по результату - помогло удаление заданий в WMI или нет
[ Как создать образ автозапуска? ]
Перейти
Проблема с RDP, EIS - Блокировка IP адреса при попытке подключения к серверу по RDP
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 31.07.2021 07:00:41
стоит обратить внимание на данное сообщение, возможно с этого ip было сканирование ресурсов и ip попал во временную блокировку
Цитата
29.07.2021 17:55:12 Security vulnerability exploitation Blocked 81.25.229.73:50624 81.25.225.130:3389 TCP EsetIpBlacklist C:\Windows\System32\svchost.exe NT AUTHORITY\NETWORK SERVICE
[ Как создать образ автозапуска? ]
Перейти
Проблема с RDP, EIS - Блокировка IP адреса при попытке подключения к серверу по RDP
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.07.2021 13:20:28
Цитата
Олег Мишагли написал:
При попытке подключения по RDP с любой из этих рабочих станций к серверу (независимо от версии RDP и операционной системы) срабатывает блокировка IP адреса (81.25.229.73) на котором стоит Mikrotik. IP адрес по информации с  https://www.dnsbl.info/  - чист, и в блеклистах не числится. Добавить в исключение на сервере этот IP не возможно, по причине политики безопасности хозяина сервера.

возможно на удаленном сервере есть белый список адресов, с которых разрешено подключаться по RDP из внешней сети.
все остальные адреса блокируются при подключении.
(и это правильная политика)
[ Как создать образ автозапуска? ]
Перейти
Проблема с RDP, EIS - Блокировка IP адреса при попытке подключения к серверу по RDP
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.07.2021 13:17:48
рабочие станции и сервер в одной локальной сети?
или сервер за пределами локальной сети (из рабочих станций), т.е удаленный сервер, к которому станции пытаются подключиться по RDP?
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] запуск майнера на серверах с MS Exchange 2013
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.07.2021 11:21:14
Цитата
Владимир Шариков написал:
пришлите карантин этих файлов прислать в почту  [email protected]  в архиве с паролем infectedМожете рассказать как это делать в малвербайте? Отчет нашел как отправить, а сам карантин не вижу где это делается в программе.
здесь может быть
C:\Users\All Users\Malwarebytes\MBAMService\Quarantine
можно саму папку заархивировать с паролем infected
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] запуск майнера на серверах с MS Exchange 2013
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.07.2021 11:13:21
!!!если есть еще время для исследования данной ситуации!!!
можно включить отслеживание событий, на сервере, где запускается майнер.
через твик 39
чтобы лучше изучить цепочку событий, в частности непонятно, какой процесс запустил rundll32 с майнером parentid: 16032
(подозреваю что через WMI это запускается)

пример скрипта с перезагрузкой системы:
Код
;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
restart

но сделать надо это актуальной версией uVS v4.11.7
скачать отсюда
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0
поле перезагрузки, не закрывая запущенный процесс с майнером сделать новый образ автозапуска (новой версией)
затем процесс с майнером можно закрыть
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 58 59 60 61 62 63 64 65 66 67 68 ... 1784 След.