51 ответов в этой теме

[B.Chugunov]

Даже нашел, чей это сервер, и еще более интересно, как этот сетап попал к брату топикстартера, учитывая кому пренадлежит сервак=) 
Не увидительно, почему там флешки блокируются 

[B.Chugunov]

Автор, сгенерируйте и приложите к тикету или в личку отчет утилиты http://download.geo.drweb.com/pub/drweb/tools/dwsysinfo.exe
Можно залить на любой удобный файлообменник. 
Либо можете подождать, пока агента Вам хозяева сервера удалят. Это может произойти в любой момент с автоматической неоткладываемой перезагрузкой в течении 5 следующих минут после удаления. 
Брату я бы весьма настоятельно посоветовал удалить этот установщик и более никогда его не использовать 

[Aleksandra]

Даже нашел, чей это сервер, и еще более интересно, как этот сетап попал к брату топикстартера, учитывая кому пренадлежит сервак=) 
Не увидительно, почему там флешки блокируются 

Неужто сервер товарища майора?

[Aleksandra]

Брату я бы весьма настоятельно посоветовал удалить этот установщик и более никогда его не использовать 

Лучше сразу бежать без оглядки.

[B.Chugunov]

Неужто сервер товарища майора?

Нет=) 

[Aleksandra]

root@lenovo:/home/aleksa# nmap -v 82.151.111.84

Starting Nmap 7.01 ( https://nmap.org ) at 2022-04-16 15:21 +05
Initiating Ping Scan at 15:21
Scanning 82.151.111.84 [4 ports]
Completed Ping Scan at 15:21, 0.21s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 15:21
Completed Parallel DNS resolution of 1 host. at 15:21, 0.06s elapsed
Initiating SYN Stealth Scan at 15:21
Scanning 82.151.111.84 [1000 ports]
Discovered open port 80/tcp on 82.151.111.84
Discovered open port 443/tcp on 82.151.111.84
Discovered open port 22/tcp on 82.151.111.84
Discovered open port 5222/tcp on 82.151.111.84
Discovered open port 8089/tcp on 82.151.111.84
Discovered open port 5001/tcp on 82.151.111.84
Discovered open port 5190/tcp on 82.151.111.84
Discovered open port 7100/tcp on 82.151.111.84
Discovered open port 8022/tcp on 82.151.111.84
Discovered open port 85/tcp on 82.151.111.84
Discovered open port 9081/tcp on 82.151.111.84
Discovered open port 2196/tcp on 82.151.111.84
Discovered open port 5000/tcp on 82.151.111.84
Discovered open port 5910/tcp on 82.151.111.84
Increasing send delay for 82.151.111.84 from 0 to 5 due to 18 out of 59 dropped probes since last increase.
Increasing send delay for 82.151.111.84 from 5 to 10 due to max_successful_tryno increase to 4
Completed SYN Stealth Scan at 15:22, 69.98s elapsed (1000 total ports)
Nmap scan report for 82.151.111.84
Host is up (0.062s latency).
Not shown: 978 filtered ports
PORT     STATE  SERVICE
22/tcp   open   ssh
80/tcp   open   http
81/tcp   closed hosts2-ns
85/tcp   open   mit-ml-dev
443/tcp  open   https
444/tcp  closed snpp
2196/tcp open   unknown
2323/tcp closed 3d-nfsd
5000/tcp open   upnp
5001/tcp open   commplex-link
5002/tcp closed rfe
5003/tcp closed filemaker
5004/tcp closed avt-profile-1
5190/tcp open   aol
5222/tcp open   xmpp-client
5903/tcp closed vnc-3
5910/tcp open   cm
7100/tcp open   font-service
8022/tcp open   oa-system
8080/tcp closed http-proxy
8089/tcp open   unknown
9081/tcp open   unknown

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 70.33 seconds
           Raw packets sent: 5810 (255.616KB) | Rcvd: 155 (9.836KB)

http://82.151.111.84:5000

Любителям выставлять вебморды для всех нужно передать, что с этим надо завязывать.

[Eugeny Gladkih]

Адрес ­– 82.151.111.84, непонятно, чей. И это таки Enterprise. В общем, либо трясите братца, либо загружайтесь с флэшки, удаляйте dwprot.sys из виндовых драйверов, ребутайтесь обратно без сети и удаляйте агента ремувером.

inetnum:        82.151.111.80 - 82.151.111.95

netname:        RU-BELREGION-NET

descr:          Mashinery of the governor of Belgorod region

[Afalin]

Даже нашел, чей это сервер, и еще более интересно, как этот сетап попал к брату топикстартера, учитывая кому пренадлежит сервак=) 
Не увидительно, почему там флешки блокируются 

Инициалы админа, поди, Р.К.? Сложил увиденный тогда Belregion и NODEVICES. Искать логи и сверять было лень.

На самом деле понятно, как он тогда попал.

Сообщение было изменено Afalin: 18 Апрель 2022 - 09:59

[Afalin]

 

Адрес ­– 82.151.111.84, непонятно, чей. И это таки Enterprise. В общем, либо трясите братца, либо загружайтесь с флэшки, удаляйте dwprot.sys из виндовых драйверов, ребутайтесь обратно без сети и удаляйте агента ремувером.

inetnum:        82.151.111.80 - 82.151.111.95

netname:        RU-BELREGION-NET

descr:          Mashinery of the governor of Belgorod region

 

Хм, мне whois показывал немного другое.

[Kirill Polubelov]

Владельцу то кто-либо черканул, чтобы прикрыл немного лавочку? )

[B.Chugunov]

Владелец уже послал агент на удаление, предварительно дал права на отключение самозащиты. 

[B.Chugunov]

Инициалы админа, поди, Р.К.?

Да, он самый, и судя по всему это уже не первый подобный случай. В конце февраля со стороны сервера залочили USB носители, после чего начали вскрываться видимо такие случаи. Как я понял, большая часть таких нелегалов как то сами справляются.