Windows server 2008 r2 не подключается к интернету
Интересный вирус майнер или как пропал сетевой доступ на сервере Win Server 2008 r2
Звонит мне клиент и говорит что не может на сервере работать так-как всё жёстко тормозит.
Подключаюсь я вообщем к нему, захожу в диспетчер задач и наблюдаю картину:
Процесс Svshost.exe загружает проц на 80-90%, перехожу в каталог где лежит сие чудо (папка кстати называется 4nationcal). Убиваю процесс, в каталоге 4nationcal удаляю файл и на место одного процесс вылазит 2-3. что делать как быть я хз. Сканировал Касперским, Нодом, Авестом, всё в пустую находит вирус, удаляет но после пары перезагрузок всё возвращается.
Самое страшное что всё кто подключаются по RDP, зависают при входе и дальше темнота, ещё в придачу перестали работать сетевые каталоги и принтеры. Ещё в
Панель управления\Все элементы панели управления\Центр управления сетями и общим доступом\Дополнительные параметры общего доступа не возможно включить сетевое обнаружение.
Вирусу как я понял не нужны права админа т.к. на сервере 1 админ и заходил я под ним примерно пол года назад, до момента тревожного звонка да и нашёл я его в папке загрузок у юзера.
Искал я в интернетах и никто не сталкивался с таким. 2 дня медитации дали свои плоды и я всё же победил его.
1. Удаляем службу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\4nationcal\
2. Вирус вырубает службы, так что включаем обратно и ставим автовлючение
-DNS-клиент (DNS Client);
-Обнаружение SSDP (SSDP Discovery);
-Публикация ресурсов обнаружения функции (Function Discovery Resource Publication);
-Узел универсальных PNP-устройств (UPnP Device Host).
3.Выключаем службу Агент политики IpSec и на конец появляется сетевой доступ.
Никогда с таким не сталкивался и нигде не нашел как удалить, так что может кому пригодится.
P.S. Мой первый пост, не судите строго
Дубликаты не найдены
ну ты это. покури теневое копирование и знакомство с шифровальщиками для тебя будет не очень жестоким.
у меня на есть Qnap-хранилище, туда бэкапы льются. На серверах самое важное 1с базы, а систему восстановить не проблема
лол, что ты будешь делать с зашифрованными архивами? =)
Архивы делаются каждый день, qnap на линуксе. Я уже сталкивался с шифровальщиком и всё норм пока. тьфу тьфу тьфу
Спасибо. очень выручил. столкнулся с такой-же бедой, после того как дал доступ не обновлённому серваку в интернет. сразу эта гадость прилетела.
Присоединяюсь к благодарностям. Очень выручил. До прочтения не допускал что мои проблемы могут быть связаны с вирусом, так как никто кроме меня не имел доступа. Однако прочитав полез смотреть загрузку процессора и службы и спалил в системной папке IMA исполняемый файл svchost запущенный как служба. Служба эта имела непримечательное название и не имела описания, терялась среди созданных служб сторонних программ с английскими названиями. Ну а дальше аналогично, вырубаем зловредную службу, переименовываем/удаляем файл, проверяем службы по списку.
Когда майнеры доберутся до консолей
Как я скрытый майнер искал
Зашел в process explorer и обнаружил такого зверя:
Командная строка, которая постоянно перезапускается, причем с таймаутом, как будто чего-то ждет. Заходим в свойства cmd.exe и видим:
Командая строка запускается с параметром, ведущим к некому DataTM.cmd. Вот код, который лежит в батнике:
А вот и файлы в папке с ним:
XMR майнер. Маскируется в процессах под steam я так понимаю и вырубается как только был включен taskmgr или похожие «диспетчеры задач».
Это не значит, что все майнеры так прячутся, но как один из вариантов. Надеюсь кому-то поможет.
Вот «. » если где забыл поставить.
Первый компьютерный вирус
Вирус не влиял на работу компьютера, за исключением наблюдения за доступом к дискам. Когда происходил доступ к незаражённой дискете, вирус копировал себя туда, заражая её, медленно распространяясь с диска на диск.
ELK CLONER: THE PROGRAM
WITH A PERSONALITY
IT WILL GET ON ALL YOUR
IT WILL INFILTRATE YOUR
IT WILL STICK TO YOU LIKE
IT WILL MODIFY RAM TOO
SEND IN THE CLONER!
Elk Cloner: программа с индивидуальностью
Она проникнет во все ваши
Она внедрится в ваши чипы
Она прилипнет к вам как
оперативную память
Cloner выходит на охоту
Криптоджекинг. Разбор случайного вируса-майнера под Windows.
В автозагрузке, повторюсь всё в порядке:
После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.
В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:
И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:
Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:
Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:
Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal’е, и получил следующий результат:
Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:
Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется «Info-Zip UnZip», и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:
Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.
Windows server 2008 r2 не подключается к интернету
Вопрос
Настройки сервера для выхода в интернет следующие:
ip: 192.168.4.1 255.255.255.0 192.168.4.4
Не давно был сбой и сервер самопроизвольно отключился. После чего пропал итернет. ЛВС1 работает отлично. Но сервер и ЛВС1 не имеют выход в интернет. Пинг на ip 192.168.4.4 и 91.ххх.хх0.1 не проходит. Кабели и свитч исправны.
В то же время через DIR-100 в интернет выходит вторая ЛВС2 которая сидит на сегменте 192.168.4.ххх. На DIR-100 две сети ЛВС1 и ЛВС2 объединялись в общюю сеть. Теперь Сервер тоже не видит пользователей ЛВС2.
Где искать причину? Железо? DNS?
Ответы
Если с адреса 192.168.4.1 неможно пропинговать роутер 192.168.4.4, то я бы поискал проблему в этом сегменте.
MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
Если с адреса 192.168.4.1 неможно пропинговать роутер 192.168.4.4, то я бы поискал проблему в этом сегменте.
MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
На данный момент на обоих интерфейсах назначен IP?
Если так, попробуйте пингануть себя 192.168.4.1
Если все отлично, то оключите интерфейс 192.168.10.1 и пробуйте пингануть роутер 192.168.4.4
Если все появится, подключайте обратно 192.168.10.1 и еще раз пробуйте пингануть 192.168.4.4
И еще, посмотрите, не сделал ли кто на серваке свою таблицу маршрутизации для 192.168.4.0? ( route print)
Все ответы
Покажите ipconfig /all проблемной машины
MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
Настройка протокола IP для Windows
Ethernet adapter Подключение по локальной сети:
Ethernet adapter Подключение по локальной сети 2:
Туннельный адаптер Подключение по локальной сети*:
Туннельный адаптер Подключение по локальной сети* 2:
Туннельный адаптер Подключение по локальной сети* 8:
Туннельный адаптер Подключение по локальной сети* 11:
Сегодня по ip 91.144.160.1 выход в интернет с сервера появился!! Вчера его не было! Но сегодня выходной и практически в сети сидел лишь один комп в сети ЛВС1 по ip 192.168.10.х.
Настройки моего компьютера (сеть ЛВС1), который выходит в интернет только через другой роутер с IP 77.40.0.2.
Настройка протокола IP для Windows
Ethernet adapter Подключение по локальной сети:
Туннельный адаптер Teredo Tunneling Pseudo-Interface:
Мне надо настроить чтобы все компы выходили в интернет через ip 91.144.160.1
Windows server 2008 r2 не подключается к интернету
Активация винды и обновления не проходят, «не удается установить соединение с сервером», код ошибки 0x80072EFD.
Подробности: предустановленный Win Server 2008 R2 rus. Ввел ключ, присоединил к домену, никаких ролей не назначал, вообще ничего еще не делал. IP выдается через DHCP.
ipconfig /all: (задействован 1 сетевой адаптер из 4)
Впервые сталкиваюсь с 2008 мым сервером, поэтому я в недоумении. Помогите кто знает.
|
))
Профиль | Отправить PM | Цитировать
Полезное сообщение чуть ниже.