Взломали сервер. Как такое может быть? Идет NetScan

LightWood

Moderator
Регистрация
04.11.2010
Сообщения
2 382
Благодарностей
917
Баллы
113
Снимаю сервер у хетзнера. Если на нём у зенно запустить прокси чекер, то прилетает абуза, что я порты сканю. Но ничего. Я освоился и юзаю прокси без предварительного чека.
Вообще на протяжении нескольких лет мне абузы за нетскан прилетали, но и винда переставлялась на сервере время от времени, да и я действительно иногда был этому причиной, ибо проводил какие-то проверки прокси иногда все-же, а отключать забывал.
Но были у меня теории, что что-то не совсем по делу прилетает.
Я последний раз прошелся всеми бесплатными сканерами на заражения и почистил всякого. Думал, ну вот да затесались они, в этом была проблема.
Вскоре после этого меня хакают и криптуют все файлы (Совпадение?!). Решаю всё снести и поставить заново.
Обращаюсь к ребятам сис. админам, с просьбой вместе с установкой винды накатить защит на их усмотрение, чтобы самому время не тратить и они всё сразу по уму сделали.
Винду они мне несколько дней накатывали, и мне в момент установки винды приходит абуза, что с моего сервера идет NetScan
Abuse Message [AbuseID:xxxxxx]: NetscanOutLevel: Netscan detected from x.x.x.x [Network-Normal]

Чуть позже получаю данные доступа к серверу от админов, и понимаю что примерно в момент абузы они уже имели доступ к серверу и винда была в рабочем состоянии.

Опасался я дыр и вредоносного кода, поэтому просил официальный дистрибутив:

Сис.Админ: .... я уточню если писал про офиц дистрибутив - то его и поставили
Я: я подтвердить её смогу ключом? хэш сумма как у оффициальной?
Сис.Админ: да. винду мы не активируем
Я: но я с могу покупным ключём?
Сис.Админ: лару ждем
Я: сейчас запрошу
Сис.Админ: покпуным - в смысле официальнм7 ну да должна аткироваться им
Я: ага им
Я: ну а иначе обновления и т.д. ничего же не встанет
Сис.Админ: она с обновлениями уже.
Ну и сегодня прилетает мне второе предупреждение (первое я вчера получил), что идет NetScan и мне локают сервер.

Как такое возможно? В моем необразованном мозгу, что либо винда с дырками и дистрибутив неофициальный, либо это дел рук сис. админов.
Ибо абузы пошли примерно в тот момент, как мне винду накатили примерно и у меня ещё даже к ней доступа не было. Как такое объясняется и как лечить?

NetScan выглядит так, где x.x.x.x - айпи сервера
##########################################################################
# Netscan detected from host x.x.x.x #
##########################################################################

time protocol src_ip src_port dest_ip dest_port
---------------------------------------------------------------------------
Sun May 28 11:14:36 2017 TCP x.x.x.x 49905 => 3.175.182.1 445
Sun May 28 11:14:28 2017 TCP x.x.x.x 65489 => 3.234.218.248 445
Sun May 28 11:14:42 2017 TCP x.x.x.x 50641 => 6.63.139.216 445
Sun May 28 11:14:48 2017 TCP x.x.x.x 51311 => 6.182.87.210 445
Sun May 28 11:14:35 2017 TCP x.x.x.x 49842 => 7.118.33.177 445
Sun May 28 11:14:32 2017 TCP x.x.x.x 49481 => 10.21.149.122 445
Help
 

Борат Сагдиев

Пользователь
Регистрация
09.05.2017
Сообщения
61
Благодарностей
36
Баллы
8

Обращаем Ваше внимание на то, что данный пользователь заблокирован.
Не рекомендуем проводить с Борат Сагдиев какие-либо сделки.

Запустить сниффер и глянуть откуда ноги ростут не судьба ?
Монитор ресурсов > Сеть
 

nomarketing

Client
Регистрация
01.11.2013
Сообщения
911
Благодарностей
178
Баллы
43
А сервер какой Dedicated ? или VPS ?
 

Valiksim

Client
Регистрация
14.04.2012
Сообщения
1 344
Благодарностей
298
Баллы
83
Опасался я дыр и вредоносного кода, поэтому просил официальный дистрибутив:
С официальными всегда так. На ломаных без проблем всё работает :ah: Это ж Микрософт, их, пока не починят наши программёры, будет куча дыр и куча проблем :bf:
 
  • Спасибо
Реакции: SHoro

LightWood

Moderator
Регистрация
04.11.2010
Сообщения
2 382
Благодарностей
917
Баллы
113
Запустить сниффер и глянуть откуда ноги ростут не судьба ?
Монитор ресурсов > Сеть
Полезная наглядная штука. Прояснила многое для меня. Как-то не знал о ней :bn::bw:
От Сис. Админов клещами приходится информацию вытаскивать.

А сервер какой Dedicated ? или VPS ?
Ded

С официальными всегда так. На ломаных без проблем всё работает :ah: Это ж Микрософт, их, пока не починят наши программёры, будет куча дыр и куча проблем :bf:
Одну большую закрывают, две маленькие делают для своих нужд. Разве часто не так?


В итоге решилась проблемма с сервером.

Админы сослались на эту статью про Wana decrypt0r 2.0
https://geektimes.ru/post/289115/

Сказали мол был не закончен сетап и пробрался зловред.
Поставили апдейты. Убрали SMB (wiki/Server_Message_Block).

Со мной связялся участник с форума, у него в тех же числах, такая же ситтуация была.
Тоже пользовался хетзнером, но за услугами к другому сис. админу обращался и ставился дистрибутив хетзнеровский.
Тоже были танцы с решением, нужны были свежие базы для касперского, были гадости в автозагрузке. Но его сис. админ тоже в итоге дырки залатал, по крайней мере больше абуз не приходило.

Общался я с хетзнером, сложилось впечатление что это у них сейчас сверх популярная картина.
Также сложилось впечатление, что кто-то пингует серверы на дыры и сразу заливает зловред, с особой тщательностью пингует те, у которых уже были уже заражения. Ибо ко мне приелетело почти моментально после установки системы.
 

Кто просматривает тему: (Всего: 1, Пользователи: 0, Гости: 1)