Очень похоже что на сервере была попытка взлома, или может даже взломали уже. Сменили пароль админа, позапускали всякие программы типа NLBrute и т.д. Доступ к серверу восстановил. Зашифрованных файлов не вижу, вроде не успели ещё ничего начать шифровать, или чего-то другое искали. Можете посмотреть выгрузку логов, вероятно надо что-то подчистить, вопрос только что. Спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Stolyar, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Судя по описанию - это уже, а не пытались.
Ваш пользователь? Если нет - запустите HijackThis, расположенный в папке Autologger, пофиксите и удалите пользователя.Код:O27 - Account: (Hidden) User 'user' is invisible on logon screen
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
user не мой пользователь, но судя по тому что его папка отсутствует в папке "Пользователи" под этим пользователем в систему ни разу не входили. Также появились 2 пользователя, тоже не моих: sql и user55. Под пользователем sql тоже ни разу не входили, а вот под пользователем user55 входили, там на рабочем столе всякие файлы лежат, которые туда скачивали и видимо запускали, скриншот списка файлов с того рабочего стола тоже приложу к сообщению. Также прикладываю архив с отчётами от FRST.
Логи FRST неполные, нужно переделать.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.Код:begin ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=256m Events.7z *.evtx', 1, 300000, false); ExitAVZ; end.
WBR,
Vadim
Действительно в архиве почему-то оказался какой-то урезанный вариант файла frst.txt, сейчас выложил новый архив.
В AVZ скрипт выполнил, но он не создал архива, пришлось его руками создать из файлов, которые он сделал с расширением evtx.
Вот этот файл: https://disk.yandex.ru/d/wWe3BF3iGhv41Q
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите к своему следующему сообщению.Код:Start:: HKU\S-1-5-18\...\Run: [] => [X] File: C:\Users\user55\Desktop\nlchecker.exe CMD: type C:\Users\Администратор.WIN-FDQRUURI63I\Downloads\user.bat Folder: C:\private ZIP: C:\Users\user55\Desktop\user.txt; C:\Users\user55\Desktop\pass viet2.txt; C:\Users\user55\Desktop\Good(NLA).txt; C:\Users\user55\Desktop\ERROR.txt; C:\Users\user55\Desktop\Good(NoNLA).txt 2024-04-29 11:33 - 2024-04-29 11:33 - 000001887 _____ C:\Users\User3-10\Desktop\Мир Кораблей.lnk 2024-04-29 11:33 - 2024-04-29 11:33 - 000001883 _____ C:\Users\User3-10\Desktop\Мир Танков.lnk ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions End::
На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения фикса, загрузите его в доступное облачное хранилище и дайте ссылку в личном сообщении.
Да, и раз уж делали образ автозапуска SERVER_2024-05-11_16-53-45_v4.15.3v.7z - тоже дайте посмотреть.
WBR,
Vadim
Отправил всё в личку. Или надо было в личку только архив, а остальное отправлять сюда?
Только архив, но не страшно.
Похоже, сервер использовали только для взлома других компьютеров по RDP (заходили с иранского ip), но не факт, что не утащили информацию с него.
Крайне небезопасный метод удалённого доступа на сервер по RDP без VPN, ограничений по ip и без блокировки подбора паролей. Используйте Anydesk, Ассистент.
Учёткам Администратор/Administrator принято как минимум запрещать удалённый доступ по RDP, а лучше - отключать администратора по умолчанию и использовать другие логины. Через Администратор и сбрутфорсили пароль.
В защитнике отключена проверка диска C: целиком, сами устанавливали ограничения? Он, кстати, вообще работает?
Ну и, чтоб не повторяться, рекомендации из похожей темы.
WBR,
Vadim
Да это понятно, что напрямую RDP открывать не безопасно. Везде настроено VPN+RDP, а тут с незапамятных времён так стояло, и вроде всё ОК было... И вот вдруг увидел такое... Хорошо что не зашифровали комп. Хотя все нужные резервные копии есть у меня.Сейчас я так понял хвостов от этого взлома больше не осталось, можно расслабиться? Естественно RDP наружу закрыл, всех левых (новых) пользователей заблокировал.. Что-то ещё делать надо чтобы убрать последствия взлома? Или сейчас по логам всё чисто? А на неё никакой супер секретной информации то и не было, которая могла бы быть интересна злоумышленникам... Так что ничего такого утащить они с него не могли...
Последний раз редактировалось Stolyar; 13.05.2024 в 14:57.
Напишите в личку внешний ip сервера, посмотрю.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
