Спасибо. Сейчас буду проверять всё что ниписали. Но с того момента как заблокировал всю хетслерскую сеть, так уже вторую неделю не видим проблем. Но проверять нужно.

Я все же думаю что эксплойт запускается с "внешнего мира", т.е. есть какая то дыра, которая позволяет удаленно запускать на серваке заразу. Т.к. фаилы создаются самопроизвольно, под пользователем СИСТЕМА, и смысла нет искать на самом серваке. Если только с помощью чего запустили они этот процесс, но мы вроде как это выяснили.
В идеале прикрыть 443 порт, но закрыть ну не как не реально. Сейчас заблокировал хетцнерскую сеть, понаблюдаю. Думаю поможет НА ВРЕМЯ. Но дыру как отыскать...

[QUOTE]RP55 RP55 написал:
Вы с ним работаете ?[/QUOTE]
Да. Установил на всякий случай, если вдруг удаленка по РДП будет пропадать (у нас при первой атаке так было).
[QUOTE]santy написал:
1. запуск происх примерно в одно и тоже время на обоих серверах.[/QUOTE]
я бы не сказал, 03:48:12 [2021.07.30] и 17:34:15 [2021.08.07][QUOTE]santy написал:
3. удаленный адрес подкл - один и тот же, повторяется при новых запусках.[/QUOTE]
Заблокировал на сетевом адресе подсеть 95.216.46.0
[QUOTE]santy написал:
5. думаю, стоит еще включить лог DNS (в нужный момент), пусть пишется по 512Мб - на производительности системы не должно сказываться, после 512  - пойдет перезапись файла лога,[/QUOTE]
Это самое сложное "В нужный момент". Я так понял что если перезаписывает лог каждый час, необходимо попасть(не спать) в этот час?

Наконец то отловил.
Новая версия, без ДНСов.

[QUOTE]santy написал:
сделайте еще лог ESETlogCollector на IZTVMAIL01, может в журналах событий что-то будет на момент запуска 30.07(надо было конечно пораньше запросить, вместе с образом автозапуска) [URL=https://forum.esetnod32.ru/forum9/topic10671/]https://forum.esetnod32.ru/forum9/topic10671/[/URL] [/QUOTE]
Сделал.
Сегодня снова в ночь запустился майнер. Сегодня ночью\либо утром сделаю твик 39 + образ после перезагрузки от применения твика. А там будем надеяться что снова запустится майнер. Отпишусь.

Второй день, и всё нормально... напишу как проблема снова появится. Если до следующего понедельника всё будет нормально, то думаю можно закрывать инцидент. Но я в любом случае отпишусь.

Пусто.

[QUOTE]santy написал:
Владимир, еще пара вопросов:

1. есть какая то закономерность по времени запуска процесса с майнером?
судя по образу на сервере
Имя компьютера: IZTVMAIL01
время запуска было:
03:48:12 [2021.07.30]
2. майнер запускается повторно в течение суток  после закрытия процесса?[/QUOTE]
Что я сделал, вчера сразу отключил твиком 40 анализ, т.к. обычно в ночь стартует майнер, не хотел ГБ места тратить. А так же хотел проверить сработало удаление WMI
Закономерности нет! И это пугает. Почти всегда в разное время, при чем не во все дни. С воскресения на понедельник уже вторая неделя не чего не запускается, но на этой недели (сегодня) так же не запустился, но возможно Ваш рецепт с WMI помог.
Сейчас хочу понаблюдать, если удаление WMI помогло или нет. Если нет, то Будем твиком 39 наблюдать.
А вообще нет какого то софта специализированно, который бы наблюдал за такими вещами?

[QUOTE]santy написал:
возможно причина в этом:
ответ разработчика
такое бывает когда проблемы с BITS, но оно не вешается, а минут через 5-10 выдает ошибку и продолжает работу, лечится удалением базы bits  [/QUOTE]
Разобрался, Малвербайт виновник,  отключил и сразу запустился. Твик выполнил. Но странно на втором сервере такой же малвербайт стоит, и там дал запустится )))[QUOTE]santy написал:
1. если скрипты очистки выполнили, те что были выше, надо смотреть есть ли что-то сейчас в WMI или нет.2. проверить - нет ли левых учетных записей, с которых может быть удаленное подключение3. если процесс майнера запускается - проверить, под какой учетной записью запускается процесс (возможно взломщики получили пароли)4. если будет включено отслеживание событий -  обязательно новой версией uVS 4.11.7   (твиком 39+перезагрузка системы)[/QUOTE]
1. Мне нужно снова отправить образ?[QUOTE][QUOTE]santy написал:
надо иметь ввиду след. сообщение от разработчика:Цитата(!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,   (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки. т.е. образ нужно будеn сделать сразу после перезагрузки системы. и передать его для анализа.[/QUOTE]

[/QUOTE]
Вот это не понял... Какие мои действия? Как я понял: Сейчас на двух серверах прибит\отключен майнер. Я уже запустил твик 39 с перезагрузкой сервера с отключённым майнером. Сейчас жду запуск майнера, когда он запускается я делаю образ автозапуска. Присылаю вам, и делаю твик 40 для отключения 39 твика, и что бы ГБ лога не росли дальше. Я правильно всё понял? Или вы это написали к тому что бы я 39 твик применил ближе к ночи, ближе по времени ДО запуску майнера?
2.Экчендж в наружу смотрит только для получения отправки почты, мобильных приложений, вэб доступ. Проброс портов минимальный. 587, 465, 443. ЛОКАЛЬНЫХ левых учетных записей нет, те что были локальные по умолчанию им сменили пароли. ДОМЕННЫХ учеток левых пытались найти, запуская скрипт повершела, левых СОЗДАНЫХ или ИЗМЕНЕНЫХ наших вроде как нет, но тут под вопросом.
3. Как я помню запускался из под СИСТЕМА, авторан или диспетчер задач показал так.
4.  Да, сделал АКТУАЛЬНОЙ.

[QUOTE]santy написал:
;uVS v4.11.7 [[URL=http://dsrt.dyndns.org:8888]http://dsrt.dyndns.org:8888[/URL]]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
regt 39
restart[/QUOTE]
Странно, Не могу запустить на одном из серверов актуальную версию, при чем uVS v4.11.6 запускается... При нажатии Запуск под текущим пользователем ничего после не открывается. Сделал перезагрузку, не помогло. На IZTVMAIL01 запустил твик, ждем.
C:\Users\All Users\Malwarebytes\MBAMService\Quarantine  - тут пусто.

Обязательно отпишусь!