Забивается канал интернета
Всем добрый день! Windows Server 2008R2. 2 сетевые карты, одна в локалку, другая инет (ip статика). После разговара с провайдером выяснилось что канал забит полностью. Есть подозрение что сидит какая-то зараза, какая, самому выяснить не удалось. Сделал лог, как в теме: http://forum.oszone.net/thread-98169.html Лог прикрепляю. Заранее спасибо |
Здравствуйте!
Вы скачали Автологер по альтернативной ссылке. Почему? Удалите все его папки, скачайте основной и повторите CollectionLog. |
Смутила имя (test) в названии exe-шника.
Цитата:
Цитата Sandor
Удалите все его папки, скачайте основной и повторите CollectionLog »
|
Хорошо. Сейчас |
IPsec настраивали самостоятельно?
Цитата:
IPSec: Name: netbc (2017/05/01) - {a8d6a397-601c-4206-a722-7f02ce7ee2b7} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
|
|
Цитата:
Цитата Sandor
IPsec настраивали самостоятельно? »
|
Нет |
Пофиксите в HijackThis следующие строчки:
Код:
O7 - IPSec: Name: netbc (2017/05/01) - {a8d6a397-601c-4206-a722-7f02ce7ee2b7} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
Саму утилиту используйте эту:
Цитата:
E:\Distrib\Проверка Даф 04102018\AutoLogger-test\AutoLogger\HiJackThis\HiJackThis.exe
|
|
Цитата:
Цитата Sandor
Пофиксите в HijackThis следующие строчки: »
|
Выполнил |
Понаблюдайте и сообщите результат.
|
Пока вроде тормозов не замечено. Но трафик так и гоняется. Скрин прикрепляю.
|
Подготовьте лог лог SecurityCheck by glax24
Ознакомьтесь: Рекомендации после лечения
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:- Запустите AVZ.
- Выполните обновление баз (Меню Файл - Обновление баз)
- Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
- В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
- Закачайте полученный архив, как описано на этой странице.
- Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
|
Цитата:
Цитата akok
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: »
|
Как буду на месте - выполню ваши рекомендации.
P.S. В данный момент пока все нормально. |
Всем добрый вечер. Проблема опять возобновилась. Выполнил рекомендации указанные в сообщении #11. "Файл успешно загружен и поставлен в очередь на обработку, спасибо! Размер файла, байт: 31264118
MD5: 2C4A8C63C5022B30717CCA507882CA93" Где теперь ждать ответ? Спасибо!
|
Цитата:
Цитата akok
Подготовьте лог лог SecurityCheck by glax24 »
|
На Windows Server 2008R2 не поддерживается |
Цитата:
Цитата Leaves
Проблема опять возобновилась »
|
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве. |
Цитата:
Цитата Sandor
Скачайте Farbar Recovery Scan Tool »
|
Вчера в ночь проверил kaspersky virus removal tool. Он нашел такую шутку: C:\Windows\security\msiexev.exe Trojan.Win64.Miner.ex он его удалил. Рекомендации ваши выполнять? |
Цитата:
Цитата Leaves
Рекомендации ваши выполнять? »
|
Выполняйте |
Цитата:
Цитата Sandor
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt »
|
Прикрепляю. Два по отдельности прикрепить не удалось. Убрал в архив |
Цитата:
Цитата Leaves
Trojan.Win64.Miner.ex он его удалил »
|
После этого проблема больше не возникала? |
Цитата:
Цитата Sandor
После этого проблема больше не возникала? »
|
2 дня нормально. + Еще обновления поставил, правда до этого, может уязвимость какую закрыла, через что он пролез. По логам рекомендаций нет? |
"Фиксить" ничего не нужно.
Цитата:
Цитата Leaves
На Windows Server 2008R2 не поддерживается »
|
Проверьте так:
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены. |
Нашел 6 уязвимостей, MS Office, JAVA, FlashPlayer ничего особенного. Я так понимаю этот скрипт и на других серверах для проверки уязвимостей? Спасибо помощь!
|
Цитата:
Цитата Leaves
Я так понимаю этот скрипт и на других серверах для проверки уязвимостей? »
|
да.
Цитата:
Цитата Leaves
По логам рекомендаций нет? »
|
1) Включите восстановление системы (сейчас оно не работает).
2) Пересмотрите правила файрволла и уберите лишние. В частности там остались разрешающие правила на Java 6 - которую вы должны были уже деинсталировать как старую и дрявую, а также разрешающие правила для торрента. Спрашивается зачем на сервере должен работать торрент? (но судя по логам его уже там и нет, видно раньше стоял).
Код:
Java(TM) 6 Update 15 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216015FF}) (Version: 6.0.150 - Sun Microsystems, Inc.)
FirewallRules: [{F6EEF6B8-4EC2-464B-99DE-F223597E0398}] => (Allow) C:\Program Files (x86)\Java\jre6\bin\java.exe
FirewallRules: [{FA63E7DD-D412-4D17-93B3-E1435070BF89}] => (Allow) C:\Program Files (x86)\Java\jre6\bin\java.exe
FirewallRules: [{22014348-68C1-4147-A3F8-291A3FD18302}] => (Allow) C:\Users\admin7\AppData\Roaming\uTorrent\uTorrent.exe
FirewallRules: [{C25DDFEF-47D6-437D-9B6F-20545AF06B52}] => (Allow) C:\Users\admin7\AppData\Roaming\uTorrent\uTorrent.exe
в остальном порядок. |
Цитата:
Цитата regist
1) Включите восстановление системы (сейчас оно не работает). »
|
Добрый день! Для чего? Backup делается штатными средствами Windows Server.
Цитата:
Цитата regist
В частности там остались разрешающие правила на Java 6 - которую вы должны были уже деинсталировать как старую и дрявую »
|
Деинсталировал
Цитата:
Цитата regist
но судя по логам его уже там и нет »
|
Да, уже нет |
Время: 21:26.
© OSzone.net 2001-
