Как избавиться от вируса на сервере Windows Server 2012 R2 Standart?

Question

[kommov]

На мой сервер постоянно прилетают абузы от хостера. Не понимал в чем причина. И как-то открыл Fiddler (сниффер трафика) и обалдел: там летят какие-то запросы в нереальных количествах (см. скрин). Видать, какой то брут или ботнет. Если фидлер не закрыть, то через 5 минут сервер виснет намертво, из за тяжести накопившихся запросов. Я пробовал устанавливать разные антивирусы: avast, esetnod, и всё что мог найти. Большинство из них в принципе, не ставятся на систему Server 2012 R2. А те что поставились, никаких вирусов не находят. Товарищи хакеры, подскажите что можно сделать? Переустановить систему - пожалуйста не предлагать, т.к на сервере терабайты баз данных.

Comments

[Вадим]

Заходите на Virusinfo? создайте тему по правилам.
Хабр не самое удобное место для решения подобных проблем.
И, сразу: система обновлена?

[kommov]

Вадим, не заходил туда. Создам тему, спасибо!

[kommov]

Вадим, А на счет обновления системы даже не знаю. Иногда сервер перегружается, винда что-то обновляет. Но сам принудительно ничего не обновлял

[Вадим]

kommov, скачайте утилиту AVZ по ссылке: https://media.kaspersky.com/utilities/ConsumerUtil...
Распакуйте и выполните следующий скрипт при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, процитируйте его здесь.

Answer 1

[lik173]

Только начинаю свой путь в серверные дела, но имел дело с проблемами в Battlefield 4. Там говорили создавать правила в фаерволе на открытие соединений. Что если попробовать создать правило на фильтрацию трафика в фаерволе? И в любом случае можно заблокировать IP.

Answer 2

[rPman]

По теме антивирусника, его не нужно ставить на систему, делаешь загрузочный компакт диск или usb флешку от какого-нибудь касперского и загружаешь систему с него, проводя полную проверку

Answer 3

[Максим К]

drweb cureit (запрещено для корпоратов). А так заблокировать в firewall. Глянуть tcpview софтинкой - какой процесс лишний. Проверить, ярлыки на наличие лишних ключей в ярлыках (я имею ввиду для IE, ну и прочих браузеров если такие есть).