|
Меня взломали
Имеется сервер rdp настроенный на основе windows 7. Последние пару дней начал svchost.exe грузить проц на 100%. Нашёл у себя папу APIX в ней этот файл и bat файл: svchost -l zec.coinmine.pl:7007 -u bever2.all -p 1.
В общем кто-то подключается, создает пользователя и запускает эту хрень. Как найти кто и прекратить всё это? Удаление папки и пользователя не спасло. Первого созданного пользователя звали buh. Вот логи: Скрытый текст
Изменена учетная запись пользователя.
Субъект: Идентификатор безопасности: система Имя учетной записи: SERVER_1C$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: Server_1c\Lena Имя учетной записи: Lena Домен учетной записи: Server_1c Измененные атрибуты: Имя учетной записи SAM: Lena Отображаемое имя: Lena Основное имя пользователя: - Домашний каталог: <значение не задано> Домашний диск: <значение не задано> Путь к сценарию: <значение не задано> Путь к профилю: <значение не задано> Рабочие станции пользователя: <значение не задано> Последний пароль задан: 07.12.2016 16:36:02 Срок действия учетной записи истекает: <никогда> Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x210 Новое значение UAC: 0x210 Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: Все Дополнительные сведения: Привилегии: - Выполнена попытка сброса пароля учетной записи. Субъект: Идентификатор безопасности: система Имя учетной записи: SERVER_1C$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: Server_1c\Lena Имя учетной записи: Lena Домен учетной записи: Server_1c Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: Server_1c\Lena Имя учетной записи: Lena Домен учетной записи: Server_1c Код входа: 0x7fccf0d GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: WIN-Q5JN8U2O23P Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V2 Длина ключа: 128 Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: система Имя учетной записи: SERVER_1C$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: Lena Домен учетной записи: Server_1c GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2c24 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 89.184.82.231 Порт: 61870 Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: система Имя учетной записи: SERVER_1C$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 10 Новый вход: ИД безопасности: Server_1c\Lena Имя учетной записи: Lena Домен учетной записи: Server_1c Код входа: 0x7fcf2a7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x2c24 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: SERVER_1C Сетевой адрес источника: 89.184.82.231 Порт источника: 61870 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: система Имя учетной записи: SERVER_1C$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: Server_1c\ Администратор Имя учетной записи: Администратор Домен учетной записи: Server_1c Измененные атрибуты: Имя учетной записи SAM: Администратор Отображаемое имя: <значение не задано> Основное имя пользователя: - Домашний каталог: <значение не задано> Домашний диск: <значение не задано> Путь к сценарию: <значение не задано> Путь к профилю: <значение не задано> Рабочие станции пользователя: <значение не задано> Последний пароль задан: 07.12.2016 16:36:21 Срок действия учетной записи истекает: <никогда> Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x211 Новое значение UAC: 0x211 Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: Все Дополнительные сведения: Привилегии: - |
Цитата:
Я бы посоветовал обратиться в раздел "Лечение систем от вредоносных программ" От вас там будут нужны логи — смотрите вверху в разделе список прикреплённых тем. |
Цитата:
|
|
Вложений: 2
Логи
|
Цитата:
|
| Время: 22:31. |
Время: 22:31.
© OSzone.net 2001-