Вирус на сервере - Страница 2

safety · 10.05.2017, 03:13

UVS обновите до актуальной версии и еще раз выполните скрипт в uVS,
и далее все остальное.

Wolfil14 · 10.05.2017, 09:52

Цитата:

Сообщение от safety

UVS обновите до актуальной версии и еще раз выполните скрипт в uVS,
и далее все остальное.

Версию обновил, скрипт запустился. Все прошло успешно, удалять ничего не предлагал, как я понял подчистил все темпы)
После выполнения скрипта:
1) NormaCS серверная часть запустилась, вот уже пол часа с двух клиентских компов запустил ее для проверки, серверная часть не отваливается, работает хорошо;
2) Сообщения об угрозе от Eset пропали, думаю все хорошо теперь

Большое спасибо!)

Сделал два лога, один через ESETLogCollector и второй в uvs.

Wolfil14 · 10.05.2017, 10:07

Цитата:

Сообщение от black88

Я стараюсь на одном компьютере в сети держать сторонний антивирус и периодически сканировать им остальные.
Попробуйте CLAM.

Забыл сказать, до выполнения скрипта, перед выходными поставил на проверку Clam, проверял очень долго, поэтому оставил на выходные, вчера зайдя на сервер,
там было - восстановление работы после bsod. Отчет не читал.

safety · 10.05.2017, 11:12

а можно добавить логи из журнала угроз ESET в текстовом формате? можно их экспортировать в txt формат?

Wolfil14 · 10.05.2017, 11:36

Почитал в интернете, сделал настройку, чтобы новые логи сохранялись в TXT, но старые я так понял в моей версии нельзя.
Для упрощения сбора логов написано и придуман ESETLogCollector.
Запустил детальное сканирование Eset-ом, после него думаю появятся логи, если будут скину.
P.S.
в корне диска С снова появился файл странный:
windowstmp02.exe размером 1,3 Мб
Файл создан в 9.45 сегодня, скрипт делал в 8.40.

safety · 10.05.2017, 11:42

да, я видел по файлам dat что некоторые угрозы датированы от 10.05.2017, пока непонятно, каким образом поставляются в систему файлы: или система атакуется периодически извне с применением эксплойтов, или используется вектор атак через обработчики событий в WMI. (по этому поводу как раз было обновление uVS)

поэтому хорошо бы глянуть в хронологическом порядке как идут обнаруженные угрозы
--------
т.е. возможно антивирус реагирует на последствия, но не на причину

safety · 10.05.2017, 11:47

а из самого интерфейса антивируса вы не можете экспортировать записи из журнала угроз? без esetlogcollector. там как раз можно указать экспорт в txt файл

Wolfil14 · 10.05.2017, 11:55

Не нашел нигде пункта экспорт, все пролазил

Утром, перед запуском скрипта - вот такая угроза еще вылезла. На радостях, что после скрипта все зарабатало

Только что случилось следующее:
С сервера расшарены папки, к ним пропал доступ, но сервер в сети - пишет что данный ip
уже используется, при попытке подключения. На сервер через DHCP настроен локальный ip 192.168.1.250

safety · 10.05.2017, 11:58

у вас 6 версия ESET Endpoint (6.3.2016.0 ), логи из журналов должны нормально экспортироваться.
надо просто зайти в журналы (смотрите в меню антивируса), выбрать лог журнала угроз, потом ПКМ экспортировать все записи в txt файл.

safety · 10.05.2017, 12:07

вполне возможно, что через уязвимость атакуется система извне
https://threatpost.ru/nsas-doublepul...et-wide/21627/

(если конечно, она видна из внешней сети)

10.05.2017, 11:36	#15 (permalink)
Wolfil14 Member Регистрация: 21.03.2009 Сообщений: 743 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1025	Почитал в интернете, сделал настройку, чтобы новые логи сохранялись в TXT, но старые я так понял в моей версии нельзя. Для упрощения сбора логов написано и придуман ESETLogCollector. Запустил детальное сканирование Eset-ом, после него думаю появятся логи, если будут скину. P.S. в корне диска С снова появился файл странный: windowstmp02.exe размером 1,3 Мб Файл создан в 9.45 сегодня, скрипт делал в 8.40. Последний раз редактировалось Wolfil14; 10.05.2017 в 11:42

10.05.2017, 11:55	#18 (permalink)
Wolfil14 Member Регистрация: 21.03.2009 Сообщений: 743 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1025	Не нашел нигде пункта экспорт, все пролазил Утром, перед запуском скрипта - вот такая угроза еще вылезла. На радостях, что после скрипта все зарабатало Только что случилось следующее: С сервера расшарены папки, к ним пропал доступ, но сервер в сети - пишет что данный ip уже используется, при попытке подключения. На сервер через DHCP настроен локальный ip 192.168.1.250 Миниатюры

10.05.2017, 03:13	#11 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	UVS обновите до актуальной версии и еще раз выполните скрипт в uVS, и далее все остальное.

10.05.2017, 11:12	#14 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	а можно добавить логи из журнала угроз ESET в текстовом формате? можно их экспортировать в txt формат?

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

10.05.2017, 11:42	#16 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	да, я видел по файлам dat что некоторые угрозы датированы от 10.05.2017, пока непонятно, каким образом поставляются в систему файлы: или система атакуется периодически извне с применением эксплойтов, или используется вектор атак через обработчики событий в WMI. (по этому поводу как раз было обновление uVS) поэтому хорошо бы глянуть в хронологическом порядке как идут обнаруженные угрозы -------- т.е. возможно антивирус реагирует на последствия, но не на причину

10.05.2017, 11:47	#17 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	а из самого интерфейса антивируса вы не можете экспортировать записи из журнала угроз? без esetlogcollector. там как раз можно указать экспорт в txt файл

10.05.2017, 11:58	#19 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	у вас 6 версия ESET Endpoint (6.3.2016.0 ), логи из журналов должны нормально экспортироваться. надо просто зайти в журналы (смотрите в меню антивируса), выбрать лог журнала угроз, потом ПКМ экспортировать все записи в txt файл.

10.05.2017, 12:07	#20 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	вполне возможно, что через уязвимость атакуется система извне https://threatpost.ru/nsas-doublepul...et-wide/21627/ (если конечно, она видна из внешней сети)