Выбрать дату в календареВыбрать дату в календаре

1 2 3 4 5 6 7 8 9 10 11 ... 15 След.
MS Exchange 2013 поймали заразу на двух серверах
Спасибо. Сейчас буду проверять всё что ниписали. Но с того момента как заблокировал всю хетслерскую сеть, так уже вторую неделю не видим проблем. Но проверять нужно.
MS Exchange 2013 поймали заразу на двух серверах
Я все же думаю что эксплойт запускается с "внешнего мира", т.е. есть какая то дыра, которая позволяет удаленно запускать на серваке заразу. Т.к. фаилы создаются самопроизвольно, под пользователем СИСТЕМА, и смысла нет искать на самом серваке. Если только с помощью чего запустили они этот процесс, но мы вроде как это выяснили.
В идеале прикрыть 443 порт, но закрыть ну не как не реально. Сейчас заблокировал хетцнерскую сеть, понаблюдаю. Думаю поможет НА ВРЕМЯ. Но дыру как отыскать...
MS Exchange 2013 поймали заразу на двух серверах
[QUOTE]RP55 RP55 написал:
Вы с ним работаете ?[/QUOTE]
Да. Установил на всякий случай, если вдруг удаленка по РДП будет пропадать (у нас при первой атаке так было).
[QUOTE]santy написал:
1. запуск происх примерно в одно и тоже время на обоих серверах.[/QUOTE]
я бы не сказал, 03:48:12 [2021.07.30] и 17:34:15 [2021.08.07][QUOTE]santy написал:
3. удаленный адрес подкл - один и тот же, повторяется при новых запусках.[/QUOTE]
Заблокировал на сетевом адресе подсеть 95.216.46.0
[QUOTE]santy написал:
5. думаю, стоит еще включить лог DNS (в нужный момент), пусть пишется по 512Мб - на производительности системы не должно сказываться, после 512  - пойдет перезапись файла лога,[/QUOTE]
Это самое сложное "В нужный момент". Я так понял что если перезаписывает лог каждый час, необходимо попасть(не спать) в этот час?
MS Exchange 2013 поймали заразу на двух серверах
Наконец то отловил.
Новая версия, без ДНСов.
MS Exchange 2013 поймали заразу на двух серверах
[QUOTE]santy написал:
сделайте еще лог ESETlogCollector на IZTVMAIL01, может в журналах событий что-то будет на момент запуска 30.07(надо было конечно пораньше запросить, вместе с образом автозапуска) [URL=https://forum.esetnod32.ru/forum9/topic10671/]https://forum.esetnod32.ru/forum9/topic10671/[/URL] [/QUOTE]
Сделал.
Сегодня снова в ночь запустился майнер. Сегодня ночью\либо утром сделаю твик 39 + образ после перезагрузки от применения твика. А там будем надеяться что снова запустится майнер. Отпишусь.
Изменено: Владимир Шариков - 04.08.2021 11:28:46 (Забыл прикрепить фаил)
MS Exchange 2013 поймали заразу на двух серверах
Второй день, и всё нормально... напишу как проблема снова появится. Если до следующего понедельника всё будет нормально, то думаю можно закрывать инцидент. Но я в любом случае отпишусь.
MS Exchange 2013 поймали заразу на двух серверах
Пусто.
MS Exchange 2013 поймали заразу на двух серверах
[QUOTE]santy написал:
Владимир, еще пара вопросов:

1. есть какая то закономерность по времени запуска процесса с майнером?
судя по образу на сервере
Имя компьютера: IZTVMAIL01
время запуска было:
03:48:12 [2021.07.30]
2. майнер запускается повторно в течение суток  после закрытия процесса?[/QUOTE]
Что я сделал, вчера сразу отключил твиком 40 анализ, т.к. обычно в ночь стартует майнер, не хотел ГБ места тратить. А так же хотел проверить сработало удаление WMI
Закономерности нет! И это пугает. Почти всегда в разное время, при чем не во все дни. С воскресения на понедельник уже вторая неделя не чего не запускается, но на этой недели (сегодня) так же не запустился, но возможно Ваш рецепт с WMI помог.
Сейчас хочу понаблюдать, если удаление WMI помогло или нет. Если нет, то Будем твиком 39 наблюдать.
А вообще нет какого то софта специализированно, который бы наблюдал за такими вещами?
MS Exchange 2013 поймали заразу на двух серверах
[QUOTE]santy написал:
возможно причина в этом:
ответ разработчика
такое бывает когда проблемы с BITS, но оно не вешается, а минут через 5-10 выдает ошибку и продолжает работу, лечится удалением базы bits  [/QUOTE]
Разобрался, Малвербайт виновник,  отключил и сразу запустился. Твик выполнил. Но странно на втором сервере такой же малвербайт стоит, и там дал запустится )))[QUOTE]santy написал:
1. если скрипты очистки выполнили, те что были выше, надо смотреть есть ли что-то сейчас в WMI или нет.2. проверить - нет ли левых учетных записей, с которых может быть удаленное подключение3. если процесс майнера запускается - проверить, под какой учетной записью запускается процесс (возможно взломщики получили пароли)4. если будет включено отслеживание событий -  обязательно новой версией uVS 4.11.7   (твиком 39+перезагрузка системы)[/QUOTE]
1. Мне нужно снова отправить образ?[QUOTE][QUOTE]santy написал:
надо иметь ввиду след. сообщение от разработчика:Цитата(!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,   (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки. т.е. образ нужно будеn сделать сразу после перезагрузки системы. и передать его для анализа.[/QUOTE]

[/QUOTE]
Вот это не понял... Какие мои действия? Как я понял: Сейчас на двух серверах прибит\отключен майнер. Я уже запустил твик 39 с перезагрузкой сервера с отключённым майнером. Сейчас жду запуск майнера, когда он запускается я делаю образ автозапуска. Присылаю вам, и делаю твик 40 для отключения 39 твика, и что бы ГБ лога не росли дальше. Я правильно всё понял? Или вы это написали к тому что бы я 39 твик применил ближе к ночи, ближе по времени ДО запуску майнера?
2.Экчендж в наружу смотрит только для получения отправки почты, мобильных приложений, вэб доступ. Проброс портов минимальный. 587, 465, 443. ЛОКАЛЬНЫХ левых учетных записей нет, те что были локальные по умолчанию им сменили пароли. ДОМЕННЫХ учеток левых пытались найти, запуская скрипт повершела, левых СОЗДАНЫХ или ИЗМЕНЕНЫХ наших вроде как нет, но тут под вопросом.
3. Как я помню запускался из под СИСТЕМА, авторан или диспетчер задач показал так.
4.  Да, сделал АКТУАЛЬНОЙ.
MS Exchange 2013 поймали заразу на двух серверах
[QUOTE]santy написал:
;uVS v4.11.7 [[URL=http://dsrt.dyndns.org:8888]http://dsrt.dyndns.org:8888[/URL]]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
restart[/QUOTE]
Странно, Не могу запустить на одном из серверов актуальную версию, при чем uVS v4.11.6 запускается... При нажатии Запуск под текущим пользователем ничего после не открывается. Сделал перезагрузку, не помогло. На IZTVMAIL01 запустил твик, ждем.
C:\Users\All Users\Malwarebytes\MBAMService\Quarantine  - тут пусто.

Обязательно отпишусь!
Изменено: Владимир Шариков - 01.08.2021 12:05:41
1 2 3 4 5 6 7 8 9 10 11 ... 15 След.