Выбрать дату в календареВыбрать дату в календаре

MS Exchange 2013 поймали заразу на двух серверах
ок.

1. если скрипты очистки выполнили, те что были выше, надо смотреть есть ли что-то сейчас в WMI или нет.
2. проверить - нет ли левых учетных записей, с которых может быть удаленное подключение
3. если процесс майнера запускается - проверить, под какой учетной записью запускается процесс (возможно взломщики получили пароли)
4. если будет включено отслеживание событий - [URL=https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0]обязательно новой версией uVS 4.11.7[/URL] (твиком 39+перезагрузка системы)

[CODE];uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
restart
[/CODE]

надо иметь ввиду след. сообщение от разработчика:

[QUOTE](!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
  (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки. [/QUOTE]

т.е. образ нужно будеn сделать сразу после перезагрузки системы. и передать его для анализа.

+ отключить отслеживание (с перезагрузкой системы), чтобы лог DNS не занимал Гб на системном диске.
[CODE];uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 40
restart
[/CODE]
В Google Chrome зеленая рамка вокруг браузера при вкл. "защите всех браузеров", При откл. этой опции - рамки нет. Как убрать рамку?
вы можете выделить, какие сайт открывать в защищенном браузере,
смотрите след опцию "включить перенаправление на защищенные сайты"
(а защиту всех браузеров - откючить)

В Google Chrome зеленая рамка вокруг браузера при вкл. "защите всех браузеров", При откл. этой опции - рамки нет. Как убрать рамку?
а это не помогает? При откл. этой опции - рамки нет
MS Exchange 2013 поймали заразу на двух серверах
Владимир, напишите по результату - помогло удаление заданий в WMI или нет
Проблема с RDP, EIS - Блокировка IP адреса при попытке подключения к серверу по RDP
стоит обратить внимание на данное сообщение, возможно с этого ip было сканирование ресурсов и ip попал во временную блокировку
Цитата
29.07.2021 17:55:12 Security vulnerability exploitation Blocked 81.25.229.73:50624 81.25.225.130:3389 TCP EsetIpBlacklist C:\Windows\System32\svchost.exe NT AUTHORITY\NETWORK SERVICE
Проблема с RDP, EIS - Блокировка IP адреса при попытке подключения к серверу по RDP
Цитата
Олег Мишагли написал:
При попытке подключения по RDP с любой из этих рабочих станций к серверу (независимо от версии RDP и операционной системы) срабатывает блокировка IP адреса (81.25.229.73) на котором стоит Mikrotik. IP адрес по информации с  https://www.dnsbl.info/  - чист, и в блеклистах не числится. Добавить в исключение на сервере этот IP не возможно, по причине политики безопасности хозяина сервера.

возможно на удаленном сервере есть белый список адресов, с которых разрешено подключаться по RDP из внешней сети.
все остальные адреса блокируются при подключении.
(и это правильная политика)
Проблема с RDP, EIS - Блокировка IP адреса при попытке подключения к серверу по RDP
рабочие станции и сервер в одной локальной сети?
или сервер за пределами локальной сети (из рабочих станций), т.е удаленный сервер, к которому станции пытаются подключиться по RDP?
MS Exchange 2013 поймали заразу на двух серверах
[QUOTE]Владимир Шариков написал:
пришлите карантин этих файлов прислать в почту  safety@chklst.ru  в архиве с паролем infectedМожете рассказать как это делать в малвербайте? Отчет нашел как отправить, а сам карантин не вижу где это делается в программе.[/QUOTE]
здесь может быть
C:\Users\All Users\Malwarebytes\MBAMService\Quarantine
можно саму папку заархивировать с паролем infected
MS Exchange 2013 поймали заразу на двух серверах
[B]!!!если есть еще время для исследования данной ситуации!!![/B]
можно включить отслеживание событий, на сервере, где запускается майнер.
через твик 39
чтобы лучше изучить цепочку событий, в частности непонятно, какой процесс запустил rundll32 с майнером parentid: 16032
(подозреваю что через WMI это запускается)

пример скрипта с перезагрузкой системы:
[CODE];uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
restart[/CODE]
но сделать надо это актуальной версией uVS v4.11.7
скачать отсюда
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0
поле перезагрузки, не закрывая запущенный процесс с майнером сделать новый образ автозапуска (новой версией)
затем процесс с майнером можно закрыть
MS Exchange 2013 поймали заразу на двух серверах
майнер запускался на одном сервере или на обоих?



скрипт для очистки: [B]Имя компьютера: IZTVMAIL01[/B]
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
[code]

;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
unload %Sys32%\RUNDLL32.EXE
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F5BR1LMHB]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FKB6RDNGR]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FOQ6EDPWMK]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUTWMFBRLE4]
delref T.NETCATKIT.COM
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.


скрипт для очистки [B]Имя компьютера: SPHVMAIL01[/B]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;

[code]

;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[F9UB5VQRL]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FIQKCTO1XV]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FTZOBNXGM1FP]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FY0LX5KT4]
apply

[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------