Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

trojan su windows server 2003

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

trojan su windows server 2003

Messaggioda nicola82 » mar gen 20, 2009 11:00 pm

ho una situazione strana e insolita ad un mio cliente.
struttura: 1 win2003st.ed.sp2 con dominio ad e server dns installato e circa 30client ad esso connessi.
router zyxell 660h-d1. gli utenti sono membri del dominio in domain user.
il server è stato appena resettato (array brutalmente distrutto) e reinstallato, configurato ad, dns, tutto patchato... installato symantec endpoint 11. abbiamo deciso di reinstallare il server perché un rootkit aveva rotto il sistema operativo: era installato come antivirus nod32 v3. il server è stato consegnato al cliente, tutto pulito... il giorno dopo vedo la cronologia di symantec endpoint e vedo attacchi dalle 4 di mattina da indirizzi esterni dinamici. è un trojan maledetto che puntualmente viene messo in quarantena ma sul server si aprono finestre explorer,inizia a beeppare (un file strano si chiama beep.sys sotto system32) si tovano file strani sulla root.. praticamente ho cambiato antivirus ma il risultato è lo stesso!! sul router è tutto chiuso: ho impostato le regole sul firewall wan-to-lan bloccando tutte le richieste da tutte le porte.ma come mai succede tutto cio? e per giunta da ip pubblici esterni alla lan.
premetto che tutto ciò succede con i pc della rete lan spenti (alle 4 non lavora nessuno ma il server è acceso..) e gli attacchi proseguono per tutto il giorno. non so fino a che punto reggerà il server. che protezioni mi consigliate di adottare ancora? un personal firewall? un proxy? quale antivirus? voglio disattivare dal server la navigazione web:come si fa? le schede di rete dei client sono configurate come gat:ip router e dns:ip server.


attendo vs. risp.
Avatar utente
nicola82
Aficionado
Aficionado
 
Messaggi: 75
Iscritto il: lun mar 05, 2007 8:17 pm

Re: trojan su windows server 2003

Messaggioda crazy.cat » mer gen 21, 2009 8:10 am

Beep.sys mi risulta essere un rootkit.
Proviamo a vedere se combofix gira su windows 2003
http://www.bleepingcomputer.com/combofi ... e-combofix
se funziona posta qui il log che esce dopo la scansione.

Il problema è che su windows 2003 sembra non girare quasi niente dei normali tool di sicurezza/puliza.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: trojan su windows server 2003

Messaggioda ste_95 » mer gen 21, 2009 3:00 pm

crazy.cat ha scritto:Beep.sys mi risulta essere un rootkit.

Proprio così, provato di persona.
Se ComboFix non funziona, fai come segue:
Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e postastiamo sul forum il risultato facendo attenzione a queste regole.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e postastiamo sul forum il risultato facendo attenzione a queste regole.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 10 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising