Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » 2008 - Меня взломали

Ответить
Настройки темы
2008 - Меня взломали

Новый участник


Сообщения: 13
Благодарности: 0

Профиль | Отправить PM | Цитировать

Имеется сервер rdp настроенный на основе windows 7. Последние пару дней начал svchost.exe грузить проц на 100%. Нашёл у себя папу APIX в ней этот файл и bat файл: svchost -l zec.coinmine.pl:7007 -u bever2.all -p 1.
В общем кто-то подключается, создает пользователя и запускает эту хрень. Как найти кто и прекратить всё это? Удаление папки и пользователя не спасло. Первого созданного пользователя звали buh.
Вот логи:
Скрытый текст
Изменена учетная запись пользователя.

Субъект:
Идентификатор безопасности: система
Имя учетной записи: SERVER_1C$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3e7

Целевая учетная запись:
Идентификатор безопасности: Server_1c\Lena
Имя учетной записи: Lena
Домен учетной записи: Server_1c

Измененные атрибуты:
Имя учетной записи SAM: Lena
Отображаемое имя: Lena
Основное имя пользователя: -
Домашний каталог: <значение не задано>
Домашний диск: <значение не задано>
Путь к сценарию: <значение не задано>
Путь к профилю: <значение не задано>
Рабочие станции пользователя: <значение не задано>
Последний пароль задан: 07.12.2016 16:36:02
Срок действия учетной записи истекает: <никогда>
Идентификатор основной группы: 513
Разрешено делегировать: -
Старое значение UAC: 0x210
Новое значение UAC: 0x210
Управление учетной записью пользователя: -
Параметры пользователя: -
Журнал SID: -
Часы входа: Все

Дополнительные сведения:
Привилегии: -



Выполнена попытка сброса пароля учетной записи.

Субъект:
Идентификатор безопасности: система
Имя учетной записи: SERVER_1C$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3e7

Целевая учетная запись:
Идентификатор безопасности: Server_1c\Lena
Имя учетной записи: Lena
Домен учетной записи: Server_1c

Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Новый вход:
ИД безопасности: Server_1c\Lena
Имя учетной записи: Lena
Домен учетной записи: Server_1c
Код входа: 0x7fccf0d
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: -

Сведения о сети:
Имя рабочей станции: WIN-Q5JN8U2O23P
Сетевой адрес источника: -
Порт источника: -

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): NTLM V2
Длина ключа: 128


Выполнена попытка входа в систему с явным указанием учетных данных.

Субъект:
ИД безопасности: система
Имя учетной записи: SERVER_1C$
Домен учетной записи: WORKGROUP
Код входа: 0x3e7
GUID входа: {00000000-0000-0000-0000-000000000000}

Были использованы учетные данные следующей учетной записи:
Имя учетной записи: Lena
Домен учетной записи: Server_1c
GUID входа: {00000000-0000-0000-0000-000000000000}

Целевой сервер:
Имя целевого сервера: localhost
Дополнительные сведения: localhost

Сведения о процессе:
Идентификатор процесса: 0x2c24
Имя процесса: C:\Windows\System32\winlogon.exe

Сведения о сети:
Сетевой адрес: 89.184.82.231
Порт: 61870


Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: система
Имя учетной записи: SERVER_1C$
Домен учетной записи: WORKGROUP
Код входа: 0x3e7

Тип входа: 10

Новый вход:
ИД безопасности: Server_1c\Lena
Имя учетной записи: Lena
Домен учетной записи: Server_1c
Код входа: 0x7fcf2a7
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x2c24
Имя процесса: C:\Windows\System32\winlogon.exe

Сведения о сети:
Имя рабочей станции: SERVER_1C
Сетевой адрес источника: 89.184.82.231
Порт источника: 61870

Сведения о проверке подлинности:
Процесс входа: User32
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Изменена учетная запись пользователя.

Субъект:
Идентификатор безопасности: система
Имя учетной записи: SERVER_1C$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3e7

Целевая учетная запись:
Идентификатор безопасности: Server_1c\ Администратор
Имя учетной записи: Администратор
Домен учетной записи: Server_1c

Измененные атрибуты:
Имя учетной записи SAM: Администратор
Отображаемое имя: <значение не задано>
Основное имя пользователя: -
Домашний каталог: <значение не задано>
Домашний диск: <значение не задано>
Путь к сценарию: <значение не задано>
Путь к профилю: <значение не задано>
Рабочие станции пользователя: <значение не задано>
Последний пароль задан: 07.12.2016 16:36:21
Срок действия учетной записи истекает: <никогда>
Идентификатор основной группы: 513
Разрешено делегировать: -
Старое значение UAC: 0x211
Новое значение UAC: 0x211
Управление учетной записью пользователя: -
Параметры пользователя: -
Журнал SID: -
Часы входа: Все

Дополнительные сведения:
Привилегии: -

Отправлено: 20:46, 07-12-2016

 
mwz mwz вне форума

Аватара для mwz

Ушел из жизни


Сообщения: 8595
Благодарности: 2127

Профиль | Сайт | Отправить PM | Цитировать

Цитата Crumb:
кто-то подключается, создает пользователя и запускает эту хрень »
Скорее всего вместе с какой-то "полезной программой" поставили трояна Bitcoin Miner (он заодно и видеокарту может грузить под завязку).

Я бы посоветовал обратиться в раздел "Лечение систем от вредоносных программ"

От вас там будут нужны логи — смотрите вверху в разделе список прикреплённых тем.

-------
Mikhail Zhilin

Отправлено: 21:57, 07-12-2016 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Charg

Ветеран


Сообщения: 2798
Благодарности: 469

Профиль | Отправить PM | Цитировать

Цитата Crumb:
на основе windows 7 »
Окей, а при чем тут серверный подфорум?

Отправлено: 01:00, 08-12-2016 | #3


Ветеран


Сообщения: 27449
Благодарности: 8087

Профиль | Отправить PM | Цитировать

Цитата Charg:
Окей, а при чем тут серверный подфорум? »
Ну, автор же пишет:
Цитата Crumb:
Имеется сервер rdp настроенный на основе windows 7. »
и на этом основании полагает, что ему сюда .
Это сообщение посчитали полезным следующие участники:

Отправлено: 01:06, 08-12-2016 | #4


Новый участник


Сообщения: 13
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: zip CollectionLog-2016.12.09-08.03.zip
(59.3 Kb, 0 просмотров)
Тип файла: txt SecurityCheck.txt
(8.3 Kb, 3 просмотров)

Логи

Отправлено: 21:38, 09-12-2016 | #5


Аватара для Charg

Ветеран


Сообщения: 2798
Благодарности: 469

Профиль | Отправить PM | Цитировать

Цитата mwz:
обратиться в раздел "Лечение систем от вредоносных программ" »

Отправлено: 11:03, 10-12-2016 | #6



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » 2008 - Меня взломали

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Вопрос - У меня взломали e-mail postoronim Защита компьютерных систем 3 01-01-2016 20:28
[решено] Все время выходит программа Guard маил сообщает что у меня через каждые 5 минут меня micro8 Лечение систем от вредоносных программ 9 27-01-2014 16:11
[решено] Меня взломали Sunforger Лечение систем от вредоносных программ 5 28-09-2012 21:44
меня взломали в контакте Dimarik951 Лечение систем от вредоносных программ 16 05-01-2011 23:16
люди у меня такая проблема когда я играю в игру минут10 то у меня екран стайот чорным waresha Тест-форум 3 20-02-2010 22:12


« Предыдущая тема | Следующая тема »


 
Переход