Здравствуйте!
Дано:
небольшая локальная сеть на 25 ПК, в процессе импортозамещения. Большая часть уже на Астра Линукс но еще осталось 4 ПК на Windows.
Сабж работает на Вин 10 Про х64 22H2, введен в домен.
В сети стоит "шпион" VipNet IDS NS.
Работаем себе, примусы починяем, никого не трогаем и вдруг прилетает алерт:
[27.05.2024 14:02]
Добрый день.
"Подрядчик "Перспективный мониторинг" фиксирует на сенсорах ****** (*** IDS NS1000 (******)) и 1**** (*** NS100 (г. Т******)) от узла 10.0.80.48 защищаемой сети обращения к ресурсу etc-eu1.nanopool[.]org (54.38.55.91, Польша, ASN: 16276), silentlegion.duckdns[.]org (77.91.68.64, Украина, ASN: 203727), shadowlegion.duckdns[.]org (192.169.69.26, США, ASN: 27323), cryptolegion.duckdns[.]org (77.91.68.64, Украина, ASN: 203727), связанному с майнингом криптовалюты.
Также фиксирует на сенсоре 1****** (*** NS100 (********)) от узла 10.0.80.48 защищаемой сети передачу в JSON-файле параметров подключения к удаленному серверу по протоколу Stratum, предназначенному для майнинга криптовалюты.
Адреса получателей: 163.172.162.51:10100 (Нидерланды, ASN: 12876), 51.89.22.137:10100 (Великобритания, ASN: 16276).
Данная активность может свидетельствовать о заражении узла ВПО типа майнер.
Майнер может быть скрыто установлен на компьютеры пользователей, чтобы использовать их ресурсы для майнинга криптовалюты.
Просьба уточнить внешний адрес узла 10.0.80.48."
Инцедент заведен: 2024-05-25 12:40:27
После многочисленных попыток вылечить, было принято решение переустановить систему, что и был сделано:
Все переносные носители, контактировавшие с этим ПК, были просканированы, по три раза, на трех разных ПК, ничего не обнаружено.
Никакого "левого" ПО не установлено, только Офис и Адоб Акробат и Агент Доктор Веб 13.
И опять прилетает алерт!
"Фиксируем на сенсорах ***** (*** IDS NS1000 (****)) и 10.0.80.66 (**** NS100 (*****)) от узла 10.0.80.48 защищаемой сети обращения к ресурсу etc-eu1.nanopool[.]org (54.38.55.91, Польша, ASN: 16276), silentlegion.duckdns[.]org (77.91.68.64, Украина, ASN: 203727), shadowlegion.duckdns[.]org (192.169.69.26, США, ASN: 27323), cryptolegion.duckdns[.]org (77.91.68.64, Украина, ASN: 203727), связанному с майнингом криптовалюты.
Также фиксируем на сенсоре ***** (*** NS100 (г. ********)) от узла 10.0.80.48 защищаемой сети передачу в JSON-файле параметров подключения к удаленному серверу по протоколу Stratum, предназначенному для майнинга криптовалюты.
Адреса получателей: 163.172.162.51:10100 (Нидерланды, ASN: 12876), 51.89.22.137:10100 (Великобритания, ASN: 16276).
Данная активность может свидетельствовать о заражении узла ВПО типа майнер.
Майнер может быть скрыто установлен на компьютеры пользователей, чтобы использовать их ресурсы для майнинга криптовалюты."
Снова всё просканировано, в том числе с помощью Лайв Диска, ничего не найдено.
Если это "ложняк", помогите реабилитироваться, а если нет, то научите где мой продолб.