Вирусная атака на Windows 2003 и ее последствия

Petya V4sechkin · Конфигурация компьютера

frost357, обновление KB4012598 установлено?

Цитата:

Расшифровки из малого дампа памяти прилагаю.

Нужны не расшифровки, а DMP-файлы.

frost357 · Отправлено: **10:47, 07-07-2017** | #3

Цитата Petya V4sechkin:

Нужны не расшифровки, а DMP-файлы. »

Выкладываю

Petya V4sechkin · Конфигурация компьютера

frost357, в стеке присутствует:

Цитата:

srv!SrvFreeNonPagedPool+0x3f
srv!SrvOs2FeaListToNt+0x1e5
srv!SrvSmbOpen2+0xdf
srv!ExecuteTransaction+0x15e
srv!SrvSmbTransactionSecondary+0x4c5
srv!SrvProcessSmb+0x19f
srv!SrvRestartReceive+0xca
srv!WorkerThread+0x144

и версия srv.sys старая - ваш сервер подвергается сетевым атакам через широко известную уязвимость EternalBlue - установите обновление KB4012598 (ссылка в предыдущем сообщении).

Наверное, сервер ещё и в Интернет смотрит внешним интерфейсом с "белым" IP-адресом, включенной "службой доступа к файлам и принтерам" на этом интерфейсе, без брандмауэра/файрвола?

frost357 · Отправлено: **11:20, 07-07-2017** | #5

Цитата Petya V4sechkin:

и версия srv.sys старая - ваш сервер подвергается сетевым атакам через широко известную уязвимость EternalBlue - установите обновление KB4012598 (ссылка в предыдущем сообщении).
Наверное, сервер ещё и в Интернет смотрит внешним интерфейсом с "белым" IP-адресом, включенной "службой доступа к файлам и принтерам" на этом интерфейсе, без брандмауэра/файрвола? »

Похоже на то. Вирусная атака как раз совпала с подключением белого ip, до этого был АДСЛ модем, как только перешли на оптику началась такая жесть.

frost357 · Отправлено: **11:47, 07-07-2017** | #6

Цитата Petya V4sechkin:

в стеке присутствует: »

А какие мои дальнейшие действия? Заплатку KB4012598 скачал и накатил.

Petya V4sechkin · Конфигурация компьютера

Цитата frost357:

с подключением белого ip

Ну хотя бы "Службу доступа к файлам и принтерам" надо было отключить в свойствах внешней сети (просто снять флажок, не удаляя, потому как она нужна для внутренней сети).
Это в дополнение (полезная мера безопасности).

EternalBlue уже три месяца зловреды используют в хвост и в гриву, несколько эпидемий было... Но "пока гром не грянет, мужик не перекрестится", да? :)

Цитата frost357:

А какие мои дальнейшие действия? Заплатку KB4012598 скачал и накатил.

Перезагрузиться.
Ну и остальные компьютеры в локальной сети пролечить.

frost357 · Отправлено: **12:12, 07-07-2017** | #8

Цитата Petya V4sechkin:

Перезагрузиться.
Ну и остальные компьютеры в локальной сети пролечить. »

Проблема с синими экранами тоже пройдет после установки KB4012598, или то уже другое?

Petya V4sechkin · Конфигурация компьютера

frost357, патч закрывает уязвимость. Не будет уязвимости - не будет результативных атак. Не будет результативных атак - не будет синих экранов (сбоев в srv.sys).

frost357 · Отправлено: **14:38, 07-07-2017** | #10

Цитата Petya V4sechkin:

патч закрывает уязвимость. Не будет уязвимости - не будет результативных атак. Не будет результативных атак - не будет синих экранов (сбоев в srv.sys). »

Понял, получается каждый синий экран это атака. Я думал это из-за каких то поврежденных файлов системных