Перейти к содержимому


Фотография

Непонятное явление на Windows 2008 R2


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 17

#1 Karina Hartz

Karina Hartz
  • Леди форума

  • Пользователи
  • 29 238 Cообщений

Отправлено 19 Апрель 2020 - 00:56

Никто не встречал подобное явление?:

 

Windows 2008 server R2. Антивирус есть, брандмауэр поднят, все обновления стоят. Одна сетевая карта, IP и маска. Все тихо и спокойно.

Когда на сетевом интерфейсе прописывается шлюз и днс (т.е. дается инет) на сервере начинается странное явление заметное только на маршрутизаторе.

Сервер с очень высокой скоростью открывает 100-150 соединений по rdp(!) протоколу на разнообразнейшие IP адреса по всему свету.

Соединиться у него не получается никогда и ни с чем поэтому трафик на каждый коннект по 150-200 байт.

Соединения естественно дропаются по он воссоздает новые с новыми и новыми IP.

За 5-10 минут маршрутизатор доходит до 100% загрузки ЦП и вешается. Стоит лишить сервак инета, все минут через 10 приходит в норму.

Сервер проверен вдоль и поперек на трояны, руткиты и все что можно 10 раз. Все патчи безопасности, реестр, сертификаты, брандмауэры, защитники и пр.

Источник найти не удается. Непонятно что он вообще собственно делает.

Никто не встречал подобное?



#2 belov_evgenii

belov_evgenii
  • Заслуженный Форумщик

  • Пользователи
  • 1 047 Cообщений

Отправлено 19 Апрель 2020 - 10:00

Очень интересно поставленный вопрос. Я не встречал.



#3 Балаганов

Балаганов
  • Начинающий

  • Пользователи
  • 21 Cообщений

Отправлено 19 Апрель 2020 - 10:48

Было подобное - раз в неделю сегмент сети отваливался, как по расписанию. Вычислили сервак, все перепробовали и даже сетевуху новую подтыкали, ни чего не помогало. Решили действовать кардинально, переустановили винду. Проблема исчезла. Есть видимо такие "трояны", которые даже спецпрограммы, не говоря про обычные антивирусники, не определяют. Ты лоарис троян ремовер пробовал прогонять?


Сообщение отредактировал Балаганов: 19 Апрель 2020 - 10:52


#4 mks

mks
  • Живет в Форуме

  • Пользователи
  • 7 419 Cообщений

Отправлено 19 Апрель 2020 - 16:15

Была непонятная сетевая активность когда ещё на практике работал на СС с только появившейся XP ещё без SP, голая.

Вайршарком проверял? Прямо на уровне приложений активность от ip, имени машины, или от MAC?
В смысле точно именно от этого компа?

Винду переставь.

#5 Karina Hartz

Karina Hartz
  • Леди форума

  • Пользователи
  • 29 238 Cообщений

Отправлено 19 Апрель 2020 - 16:19

В смысле точно именно от этого компа?
Винду переставь.

 

Точно. Проблематично, там много чего поставлено и настроено.


Ты лоарис троян ремовер пробовал прогонять?

 

Нет. Такого даже не помню. Как правильно пишется?



#6 mks

mks
  • Живет в Форуме

  • Пользователи
  • 7 419 Cообщений

Отправлено 19 Апрель 2020 - 17:29

Точно. Проблематично, там много чего поставлено и настроено.


Роль убрать пробовал?
Так чтобы исключить саму винду

Нет. Такого даже не помню. Как правильно пишется?

Ну, т.е. ещё не полностью проверена винла. Тогда с загрузочника заходи и проверяй, плюс диск ещё сам проверить отдельно. Можно и сетевуху поменять.

#7 Karina Hartz

Karina Hartz
  • Леди форума

  • Пользователи
  • 29 238 Cообщений

Отправлено 19 Апрель 2020 - 17:51

Роль убрать пробовал?
Так чтобы исключить саму винду

 

Какую. Домена нет.



#8 mks

mks
  • Живет в Форуме

  • Пользователи
  • 7 419 Cообщений

Отправлено 19 Апрель 2020 - 19:37

Ну, ок, давай по другому зайдем:

Как определил что именно по rdp протоколу? У тебя ngfw? Или просто по порту?
Погаси службы РДП на сервак. Есть какие изменения?

#9 belov_evgenii

belov_evgenii
  • Заслуженный Форумщик

  • Пользователи
  • 1 047 Cообщений

Отправлено 19 Апрель 2020 - 21:16

Если отключают сервер от сети и все нормализуется, значит это точно он. Вайршарк не покажет приложения, пытающегося открыть соединения. Можно посмотреть с помощью netstat либо tcpview и дальше уже можно будет определить приложение и сдать его в лабораторию.



#10 Karina Hartz

Karina Hartz
  • Леди форума

  • Пользователи
  • 29 238 Cообщений

Отправлено 19 Апрель 2020 - 23:17

Как определил что именно по rdp протоколу? У тебя ngfw? Или просто по порту?

 

Checkpoint. Порт 3389 определяется как rdp.


Погаси службы РДП на сервак. Есть какие изменения?

 

Они изначально отключены.


Если отключают сервер от сети и все нормализуется, значит это точно он.

 

Он это кто?  :)



#11 belov_evgenii

belov_evgenii
  • Заслуженный Форумщик

  • Пользователи
  • 1 047 Cообщений

Отправлено 20 Апрель 2020 - 08:08

Сервер.



#12 Karina Hartz

Karina Hartz
  • Леди форума

  • Пользователи
  • 29 238 Cообщений

Отправлено 21 Апрель 2020 - 00:17

Хех. Кажется мне удалось найти эту дрянь. От ведь красавцы, первый раз такое вживую вижу.



#13 Mistification

Mistification
  • Заслуженный Форумщик

  • Пользователи
  • 2 185 Cообщений

Отправлено 21 Апрель 2020 - 08:34

Хех. Кажется мне удалось найти эту дрянь. От ведь красавцы, первый раз такое вживую вижу.

Майнер?



#14 belov_evgenii

belov_evgenii
  • Заслуженный Форумщик

  • Пользователи
  • 1 047 Cообщений

Отправлено 21 Апрель 2020 - 10:34

Майнер с соответствующим процессом был бы быстро замечен по высокой загрузке процессора.



#15 Karina Hartz

Karina Hartz
  • Леди форума

  • Пользователи
  • 29 238 Cообщений

Отправлено 21 Апрель 2020 - 17:53

Майнер?

 

Нет. Исследовав логи фаера и прочих вещей я вижу картину так.

В виндах сраный майкрософт оставляет дыры. Одна из дыр находится как мне думается на порту 12207 (но это не точно). Через эту дыру майкрософт подсовывает в систему всякие веселые сообщения типа "поддержка ос этой системы прекращается" или "используйте ос более продуктивно" итд. В этой дыре нет мессенджера или какого-то хитрого обработчика, эти засранцы почему-то оставили возможность для обмена данными по tcp протоколу (без шифрования) откуда этот блок данных дампится зачем-то на уровень ядра. В результате в системе производится еще один хост сервис svchost запускаемый от имени как будто локального юзера. Защитник молчит и все подписи проверяются потому что запускается легальный svchost, но с данными которые ему подкинули. Ничего не представляет из себя ни трояна ни вируса, поэтому все молчит.

Служба начинает набор действий из подкинутого блока, а именно: лезет в самую никчемную папку windows/fonts, создает там подпапку например "j". Внутри создает папку "lib". Внутри нее кладет портативную версию явы в папку

jre1.8.0_162, рядом создает батник, этот батник формирует скрипт который обращается к нескольким серверам, получает с них куски кода и прямо на месте компилит из них брут, который кладет в отдельную подпапку. Там же нагло лежит инишник в котором прописаны ip получателей, порты, таймауты, количества попыток и т.д. Для отправки он использует как раз порт 3389.

Видимо дальше должно было следовать продолжение истории потому что в отдельной папке образовался скрипт который делает экспорт указанных кусков реестра, для отправки от хотел использовать порт 80 но что-то пошло не так. Удивляет что эта дрянь еще и нагло тут же вела логи где жалилась что у нее коннекшн не устанавливается.  :)



#16 Mistification

Mistification
  • Заслуженный Форумщик

  • Пользователи
  • 2 185 Cообщений

Отправлено 21 Апрель 2020 - 22:48

Майнер с соответствующим процессом был бы быстро замечен по высокой загрузке процессора.

Может цель была роутер.

Поддержка бесплатная кончилась, она теперь платная:

https://www.microsof...ecurity-updates
"Стоимость расширенных обновлений безопасности будет составлять приблизительно 75 % от ежегодной цены лицензии EA или SCE для последней версии SQL Server или Windows Server. Чтобы узнать фактические цены, обратитесь к своему посреднику или ознакомьтесь с опубликованными прейскурантами."



#17 mks

mks
  • Живет в Форуме

  • Пользователи
  • 7 419 Cообщений

Отправлено 22 Апрель 2020 - 13:47

Нет. Исследовав логи фаера и прочих вещей я вижу картину так.
В виндах сраный майкрософт оставляет дыры. Одна из дыр находится как мне думается на порту 12207 (но это не точно). Через эту дыру майкрософт подсовывает в систему всякие веселые сообщения типа "поддержка ос этой системы прекращается" или "используйте ос более продуктивно" итд. В этой дыре нет мессенджера или какого-то хитрого обработчика, эти засранцы почему-то оставили возможность для обмена данными по tcp протоколу (без шифрования) откуда этот блок данных дампится зачем-то на уровень ядра. В результате в системе производится еще один хост сервис svchost запускаемый от имени как будто локального юзера. Защитник молчит и все подписи проверяются потому что запускается легальный svchost, но с данными которые ему подкинули. Ничего не представляет из себя ни трояна ни вируса, поэтому все молчит.
Служба начинает набор действий из подкинутого блока, а именно: лезет в самую никчемную папку windows/fonts, создает там подпапку например "j". Внутри создает папку "lib". Внутри нее кладет портативную версию явы в папку
jre1.8.0_162, рядом создает батник, этот батник формирует скрипт который обращается к нескольким серверам, получает с них куски кода и прямо на месте компилит из них брут, который кладет в отдельную подпапку. Там же нагло лежит инишник в котором прописаны ip получателей, порты, таймауты, количества попыток и т.д. Для отправки он использует как раз порт 3389.
Видимо дальше должно было следовать продолжение истории потому что в отдельной папке образовался скрипт который делает экспорт указанных кусков реестра, для отправки от хотел использовать порт 80 но что-то пошло не так. Удивляет что эта дрянь еще и нагло тут же вела логи где жалилась что у нее коннекшн не устанавливается. :)


Под svchost обычно все кому не лень подстраиваться, в том числе и агенты dlp

По поводу порта 389 не факт опять же, что именно rdp.

Из описания, что ты указал я мало чего понял, но похоже на обычную телеметрию со стороны ОС или браузера

#18 Karina Hartz

Karina Hartz
  • Леди форума

  • Пользователи
  • 29 238 Cообщений

Отправлено 22 Апрель 2020 - 18:23

Под svchost обычно все кому не лень подстраиваться, в том числе и агенты dlp

По поводу порта 389 не факт опять же, что именно rdp.

Из описания, что ты указал я мало чего понял, но похоже на обычную телеметрию со стороны ОС или браузера

 

Проще говоря брутфорс сидел, который результаты своей работы пытался отослать таким вот странным методом.




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных