Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande
da nicola82 » mar gen 20, 2009 11:00 pm
ho una situazione strana e insolita ad un mio cliente.
struttura: 1 win2003st.ed.sp2 con dominio ad e server dns installato e circa 30client ad esso connessi.
router zyxell 660h-d1. gli utenti sono membri del dominio in domain user.
il server è stato appena resettato (array brutalmente distrutto) e reinstallato, configurato ad, dns, tutto patchato... installato symantec endpoint 11. abbiamo deciso di reinstallare il server perché un rootkit aveva rotto il sistema operativo: era installato come antivirus nod32 v3. il server è stato consegnato al cliente, tutto pulito... il giorno dopo vedo la cronologia di symantec endpoint e vedo attacchi dalle 4 di mattina da indirizzi esterni dinamici. è un trojan maledetto che puntualmente viene messo in quarantena ma sul server si aprono finestre explorer,inizia a beeppare (un file strano si chiama beep.sys sotto system32) si tovano file strani sulla root.. praticamente ho cambiato antivirus ma il risultato è lo stesso!! sul router è tutto chiuso: ho impostato le regole sul firewall wan-to-lan bloccando tutte le richieste da tutte le porte.ma come mai succede tutto cio? e per giunta da ip pubblici esterni alla lan.
premetto che tutto ciò succede con i pc della rete lan spenti (alle 4 non lavora nessuno ma il server è acceso..) e gli attacchi proseguono per tutto il giorno. non so fino a che punto reggerà il server. che protezioni mi consigliate di adottare ancora? un personal firewall? un proxy? quale antivirus? voglio disattivare dal server la navigazione web:come si fa? le schede di rete dei client sono configurate come gat:ip router e dns:ip server.
attendo vs. risp.
-
nicola82
- Aficionado
-
- Messaggi: 75
- Iscritto il: lun mar 05, 2007 8:17 pm
da crazy.cat » mer gen 21, 2009 8:10 am
Beep.sys mi risulta essere un rootkit.
Proviamo a vedere se combofix gira su windows 2003
http://www.bleepingcomputer.com/combofi ... e-combofix
se funziona posta qui il log che esce dopo la scansione.
Il problema è che su windows 2003 sembra non girare quasi niente dei normali tool di sicurezza/puliza.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
-
crazy.cat
- MLI Hero
-
- Messaggi: 30959
- Iscritto il: lun gen 12, 2004 1:38 pm
- Località: Mestre
da ste_95 » mer gen 21, 2009 3:00 pm
crazy.cat ha scritto:Beep.sys mi risulta essere un rootkit.
Proprio così, provato di persona.
Se ComboFix non funziona, fai come segue:
Scarica GMER, poi segui i seguenti passaggi:
--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e postastiamo sul forum il risultato facendo attenzione a queste regole.
--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e postastiamo sul forum il risultato facendo attenzione a queste regole.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
-
ste_95
- Membro Ufficiale (Gold)
-
- Messaggi: 17271
- Iscritto il: lun ago 06, 2007 11:19 am
-
Torna a Sicurezza
Chi c’è in linea
Visitano il forum: Nessuno e 5 ospiti
Esegui