Очень похоже что на сервере была попытка взлома, или может даже взломали уже. Сменили пароль админа, позапускали всякие программы типа NLBrute и т.д. Доступ к серверу восстановил. Зашифрованных файлов не вижу, вроде не успели ещё ничего начать шифровать, или чего-то другое искали. Можете посмотреть выгрузку логов, вероятно надо что-то подчистить, вопрос только что. Спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Stolyar, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
user не мой пользователь, но судя по тому что его папка отсутствует в папке "Пользователи" под этим пользователем в систему ни разу не входили. Также появились 2 пользователя, тоже не моих: sql и user55. Под пользователем sql тоже ни разу не входили, а вот под пользователем user55 входили, там на рабочем столе всякие файлы лежат, которые туда скачивали и видимо запускали, скриншот списка файлов с того рабочего стола тоже приложу к сообщению. Также прикладываю архив с отчётами от FRST.
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите к своему следующему сообщению.
На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения фикса, загрузите его в доступное облачное хранилище и дайте ссылку в личном сообщении.
Да, и раз уж делали образ автозапуска SERVER_2024-05-11_16-53-45_v4.15.3v.7z - тоже дайте посмотреть.
Похоже, сервер использовали только для взлома других компьютеров по RDP (заходили с иранского ip), но не факт, что не утащили информацию с него.
Крайне небезопасный метод удалённого доступа на сервер по RDP без VPN, ограничений по ip и без блокировки подбора паролей. Используйте Anydesk, Ассистент.
Учёткам Администратор/Administrator принято как минимум запрещать удалённый доступ по RDP, а лучше - отключать администратора по умолчанию и использовать другие логины. Через Администратор и сбрутфорсили пароль.
В защитнике отключена проверка диска C: целиком, сами устанавливали ограничения? Он, кстати, вообще работает?
Да это понятно, что напрямую RDP открывать не безопасно. Везде настроено VPN+RDP, а тут с незапамятных времён так стояло, и вроде всё ОК было... И вот вдруг увидел такое... Хорошо что не зашифровали комп. Хотя все нужные резервные копии есть у меня. Сейчас я так понял хвостов от этого взлома больше не осталось, можно расслабиться? Естественно RDP наружу закрыл, всех левых (новых) пользователей заблокировал.. Что-то ещё делать надо чтобы убрать последствия взлома? Или сейчас по логам всё чисто? А на неё никакой супер секретной информации то и не было, которая могла бы быть интересна злоумышленникам... Так что ничего такого утащить они с него не могли...
Последний раз редактировалось Stolyar; 13.05.2024 в 14:57.