Prośba o sprawdzenie logów - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html) +--- Wątek: Prośba o sprawdzenie logów (/thread-10185.html) |
Prośba o sprawdzenie logów - Masaraksz - 24.03.2016 witam, oczywiście proszę o pomoc. Sprawa wygląda tak, że ostatnio zacząłem dość mocno blokować IP z których idą próby zalogowania się na serwer, którym zacząłem się "opiekować". W logach zablokowanych połączeń ze stałym odstępem czasowym pojawiają się teraz takie: Kod: 2016-0x-xx 14:02:51 DROP TCP 192.168.1.xxx 59.124.xxx.71 51068 80 0 - 0 0 0 - - - SEND wpisy. Jak namierzyć szkodnika który próbuje się połączyć z zewnętrznym serwerem? FRST.txt [Aby zobaczyć linki, zarejestruj się tutaj] Addition.txt[Aby zobaczyć linki, zarejestruj się tutaj] Shortcut.txt[Aby zobaczyć linki, zarejestruj się tutaj] EDIT to coś nie nasłuchuje na stałym porcie ale raz na 15 minut (+ 1s.) łączy się skokowo na kolejnym (albo czasem przeskakuje w górę o 1-2). Z tego co zauważyłem to "przeskoki" obejmują (choć nie zawsze) porty na których nasłuchują inne programy. Tej nocy wyglądało to tak: 2016-03-25 03:33:45 DROP TCP 192.168.1.xxx 59.124.yyy.71 51163 80 0 - 0 0 0 - - - SEND 2016-03-25 03:48:46 DROP TCP 192.168.1.xxx 59.124.yyy.71 51164 80 0 - 0 0 0 - - - SEND 2016-03-25 04:03:47 DROP TCP 192.168.1.xxx 59.124.yyy.71 51165 80 0 - 0 0 0 - - - SEND 2016-03-25 04:18:48 DROP TCP 192.168.1.xxx 59.124.yyy.71 51166 80 0 - 0 0 0 - - - SEND 2016-03-25 04:33:49 DROP TCP 192.168.1.xxx 59.124.yyy.71 51167 80 0 - 0 0 0 - - - SEND 2016-03-25 04:48:50 DROP TCP 192.168.1.xxx 59.124.yyy.71 51168 80 0 - 0 0 0 - - - SEND 2016-03-25 05:03:51 DROP TCP 192.168.1.xxx 59.124.yyy.71 51169 80 0 - 0 0 0 - - - SEND 2016-03-25 05:18:52 DROP TCP 192.168.1.xxx 59.124.yyy.71 51170 80 0 - 0 0 0 - - - SEND 2016-03-25 05:33:53 DROP TCP 192.168.1.xxx 59.124.yyy.71 51171 80 0 - 0 0 0 - - - SEND 2016-03-25 05:48:54 DROP TCP 192.168.1.xxx 59.124.yyy.71 51172 80 0 - 0 0 0 - - - SEND 2016-03-25 06:03:55 DROP TCP 192.168.1.xxx 59.124.yyy.71 51173 80 0 - 0 0 0 - - - SEND 2016-03-25 06:18:56 DROP TCP 192.168.1.xxx 59.124.yyy.71 51174 80 0 - 0 0 0 - - - SEND zapuściłem "netstat -a -b -n 1" z przekierowaniem na plik, odczekałem dwa cykle połączeń i ... zero śladu po poszukiwanym IP RE: Prośba o sprawdzenie logów - tachion - 26.03.2016 Nic tu nie widzę specyficznego. Przeprowadź skanowanie na żądanie programami [Aby zobaczyć linki, zarejestruj się tutaj] Oraz HitmanPro [Aby zobaczyć linki, zarejestruj się tutaj] Pokaż logi z programów RE: Prośba o sprawdzenie logów - Masaraksz - 29.03.2016 (26.03.2016, 20:15)tachion napisał(a): Logi z Malwarebytes [Aby zobaczyć linki, zarejestruj się tutaj] - ten nic nie znalazł : (HitmanPro nie daje się zainstalować : ( RE: Prośba o sprawdzenie logów - tachion - 29.03.2016 Ale mi nie chodziło o konfiguracje programu tylko o raport ze skanowania. Uruchom MBAM, zaktualizuj bazy, i klik w skanuj teraz. Po zakończeniu skanowania nie usuwaj nic, klik w prawym dolnym rogu zapisz wynik, zapisując go np. w notatniku, wklej zawartość na forum. RE: Prośba o sprawdzenie logów - Masaraksz - 31.03.2016 (29.03.2016, 21:09)tachion napisał(a): dałem 2 w 1 .. (29.03.2016, 21:09)tachion napisał(a): no to jeszcze raz: Kod: Malwarebytes Anti-Malware i ciekawostka z ponad dwugodzinnego zaczytywania pakietów Wireshark'iem: |