Prośba o sprawdzenie logów
#1
witam,

oczywiście proszę o pomoc. Sprawa wygląda tak, że ostatnio zacząłem dość mocno blokować IP z których idą próby zalogowania się na serwer, którym zacząłem się "opiekować". W logach zablokowanych połączeń ze stałym odstępem czasowym pojawiają się teraz takie:

Kod:
2016-0x-xx 14:02:51 DROP TCP 192.168.1.xxx 59.124.xxx.71 51068 80 0 - 0 0 0 - - - SEND


wpisy. Jak namierzyć szkodnika który próbuje się połączyć z zewnętrznym serwerem?

FRST.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut.txt

[Aby zobaczyć linki, zarejestruj się tutaj]


EDIT
to coś nie nasłuchuje na stałym porcie ale raz na 15 minut (+ 1s.) łączy się skokowo na kolejnym (albo czasem przeskakuje w górę o 1-2). Z tego co zauważyłem to "przeskoki" obejmują (choć nie zawsze) porty na których nasłuchują inne programy. Tej nocy wyglądało to tak:

2016-03-25 03:33:45 DROP TCP 192.168.1.xxx 59.124.yyy.71 51163 80 0 - 0 0 0 - - - SEND
2016-03-25 03:48:46 DROP TCP 192.168.1.xxx 59.124.yyy.71 51164 80 0 - 0 0 0 - - - SEND
2016-03-25 04:03:47 DROP TCP 192.168.1.xxx 59.124.yyy.71 51165 80 0 - 0 0 0 - - - SEND
2016-03-25 04:18:48 DROP TCP 192.168.1.xxx 59.124.yyy.71 51166 80 0 - 0 0 0 - - - SEND
2016-03-25 04:33:49 DROP TCP 192.168.1.xxx 59.124.yyy.71 51167 80 0 - 0 0 0 - - - SEND
2016-03-25 04:48:50 DROP TCP 192.168.1.xxx 59.124.yyy.71 51168 80 0 - 0 0 0 - - - SEND
2016-03-25 05:03:51 DROP TCP 192.168.1.xxx 59.124.yyy.71 51169 80 0 - 0 0 0 - - - SEND
2016-03-25 05:18:52 DROP TCP 192.168.1.xxx 59.124.yyy.71 51170 80 0 - 0 0 0 - - - SEND
2016-03-25 05:33:53 DROP TCP 192.168.1.xxx 59.124.yyy.71 51171 80 0 - 0 0 0 - - - SEND
2016-03-25 05:48:54 DROP TCP 192.168.1.xxx 59.124.yyy.71 51172 80 0 - 0 0 0 - - - SEND
2016-03-25 06:03:55 DROP TCP 192.168.1.xxx 59.124.yyy.71 51173 80 0 - 0 0 0 - - - SEND
2016-03-25 06:18:56 DROP TCP 192.168.1.xxx 59.124.yyy.71 51174 80 0 - 0 0 0 - - - SEND

zapuściłem "netstat -a -b -n 1" z przekierowaniem na plik, odczekałem dwa cykle połączeń i ... zero śladu po poszukiwanym IP

Sad
Odpowiedz
#2
Nic tu nie widzę specyficznego.

Przeprowadź skanowanie na żądanie programami

[Aby zobaczyć linki, zarejestruj się tutaj]

 
Oraz HitmanPro

[Aby zobaczyć linki, zarejestruj się tutaj]


Pokaż logi z programów
Odpowiedz
#3
(26.03.2016, 20:15)tachion napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Przeprowadź skanowanie na żądanie programami

[Aby zobaczyć linki, zarejestruj się tutaj]

 
Oraz HitmanPro

[Aby zobaczyć linki, zarejestruj się tutaj]

Pokaż logi z programów

Logi z Malwarebytes

[Aby zobaczyć linki, zarejestruj się tutaj]

- ten nic nie znalazł : (
HitmanPro nie daje się zainstalować : (
Odpowiedz
#4
Ale mi nie chodziło o konfiguracje programu tylko o raport ze skanowania.

Uruchom MBAM, zaktualizuj bazy, i klik w skanuj teraz. Po zakończeniu skanowania nie usuwaj nic, klik w prawym dolnym rogu zapisz wynik, zapisując go np. w notatniku, wklej zawartość na forum.
Odpowiedz
#5
(29.03.2016, 21:09)tachion napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Ale mi nie chodziło o konfiguracje programu tylko o raport ze skanowania.

dałem 2 w 1 ..

(29.03.2016, 21:09)tachion napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom MBAM, zaktualizuj bazy, i klik w skanuj teraz. Po zakończeniu skanowania nie usuwaj nic, klik w prawym dolnym rogu zapisz wynik, zapisując go np. w notatniku, wklej zawartość na forum.

no to jeszcze raz:

Kod:
Malwarebytes Anti-Malware
www.malwarebytes.org

Data skanowania: 2016-03-31
Czas skanowania: 13:34
Raport: mbam.txt
Administrator: Tak

Wersja: 2.2.1.1043
Baza szkodliwego oprogramowania: v2016.03.31.02
Baza danych rootkitów: v2016.03.30.01
Licencja: Wersja próbna
Ochrona przed złośliwym oprogramowaniem: Włączony
Ochrona przed szkodliwymi stronami: Włączony
Samoobrona: Wyłączony

System operacyjny: Windows Server 2012
Procesor: x64
System plików: NTFS
Użytkownik: Administrator

Typ skanowania: Dokładne skanowanie
Wynik: Zakończono
Obiekty przeskanowane: 538514
Czas, który upłynął: 11 min, 54 s

Pamięć: Włączony
Autostart: Włączony
System plików: Włączony
Archiwa: Włączony
Rootkity: Wyłączony
Heurystyka: Włączony
PUP: Włączony
PUM: Włączony

Procesy: 0
(Nie wykryto zagrożeń)

Moduły: 0
(Nie wykryto zagrożeń)

Klucze rejestru: 0
(Nie wykryto zagrożeń)

Wartości rejestru: 0
(Nie wykryto zagrożeń)

Dane rejestru: 0
(Nie wykryto zagrożeń)

Foldery: 0
(Nie wykryto zagrożeń)

Pliki: 0
(Nie wykryto zagrożeń)

Sektory fizyczne: 0
(Nie wykryto zagrożeń)


(end)

i ciekawostka z ponad dwugodzinnego zaczytywania pakietów Wireshark'iem:

[Obrazek: a2c7e5905edd9.png]
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości