67 lines
4.0 KiB
Markdown
67 lines
4.0 KiB
Markdown
# Зеленоград — строительный магазин
|
||
|
||
## Хосты
|
||
|
||
### DESKTOP-6TF496J (касса/рабочая станция)
|
||
- **Netbird IP:** 100.70.40.152
|
||
- **FQDN:** desktop-6tf496j.netbird.cloud
|
||
- **ОС:** Windows 10 22H2 (build 19045.6456)
|
||
- **Локальный пользователь:** `пользователь` (кириллица, не для SSH)
|
||
- **Админ для диагностики:** `claude` / `Kl@udeD1ag!2026`
|
||
- **SSH:** `ssh zelenograd` (alias в `~/.ssh/config`, ключ `id_ed25519`)
|
||
- **Netbird setup-key:** Claude-Diag (`83301E74-6F86-4CBD-AF77-0C65730103CA`)
|
||
|
||
## Доступ
|
||
|
||
### SSH (через Netbird)
|
||
```bash
|
||
ssh zelenograd
|
||
```
|
||
|
||
### AnyDesk
|
||
- **ID:** `1989051750`
|
||
- **Пароль (unattended):** `OL260380eg`
|
||
- Лицензия: free-1
|
||
- Установлен 2026-04-23 через CLI `--set-password`
|
||
|
||
## Инцидент безопасности 2026-04-23 🚨
|
||
|
||
**Машина была заражена малварью** (майнер/RAT, дата дропа 17–21.07.2023, скорее всего через пиратский "RePack" софт с других дисков).
|
||
|
||
### Что найдено и удалено
|
||
| Артефакт | Путь |
|
||
|---|---|
|
||
| Папка малвари | `C:\ProgramData\ReaItekHD\` (taskhost.exe 22МБ + taskhostw.exe 30МБ, hidden+system, unsigned) |
|
||
| Папка малвари | `C:\ProgramData\Microsoft\gsbww\` (Game.exe, script.bat) |
|
||
| Папка малвари | `C:\ProgramData\Windows Tasks Service\` (winserv.exe) |
|
||
| Run-key | `HKLM\...\Run\Realtek HD Audio` → `ReaItekHD\taskhostw.exe` (маскировка: **I** вместо l) |
|
||
| Scheduled Tasks (10) | `\Microsoft\Windows\MasterDataV\{gsbww,RecoveryTask,RecoveryHosts}`, `\WindowsBackup\{CheckUP,MicrosoftCheck,OnlogonCheck,WinlogonCheck}`, `\Wininet\{1Hour,winser,winsers}` |
|
||
| IFEO hijack | `CompatTelRunner.exe → systray.exe` (отключение телеметрии Windows) |
|
||
| Backdoor-юзер | `John` (создан 21.07.2023, админ, LastLogon пустой) |
|
||
| Отключенные службы | EventLog (!!), VSS, uhssvc, DPS, WerSvc, Wdi*, FontCache, SysMain, WSearch и ~30 других |
|
||
|
||
### Что сделано
|
||
- Убиты процессы taskhost/taskhostw/winserv
|
||
- Удалены 10 scheduled tasks, Run-key, IFEO hijack, 3 папки, юзер John
|
||
- Восстановлены 13 критических служб + EventLog/wuauserv/BITS
|
||
- `sfc /scannow` — найденные повреждённые файлы восстановлены
|
||
- `DISM /RestoreHealth` — образ восстановлен
|
||
- Windows Update заработал, установил KB2267602 + Intel drivers
|
||
- Defender: PUA=Enabled, MAPS=Advanced, SubmitSamples=SendSafeSamples
|
||
- Quick Scan — чисто на C:\ (исторические детекты на L:\E: уже недоступны)
|
||
- **Offline Scan** запущен (ребут с проверкой до загрузки Windows)
|
||
|
||
### SHA256 малвари (для протокола)
|
||
- `taskhostw.exe`: `55E9458828B56747B7B035C4731C6CC3A921BACCD9E21A75A649125707AA3853`
|
||
|
||
### Рекомендации
|
||
- **Сменить пароли** (1С, банк, почта, WiFi, онлайн-касса) — считать скомпрометированными
|
||
- Включить Tamper Protection через "Безопасность Windows" (GUI)
|
||
- Не ставить "RePack / Portable by X" — частый источник троянов (нашли следы IObit Driver Booster RePack, Ashampoo Portable)
|
||
- Регулярно мониторить — кто-то уже имел admin-доступ и создавал юзеров
|
||
|
||
### Особенности доступа
|
||
- Локальный пользователь `пользователь` (кириллица) — SSH нельзя
|
||
- Создан админ `claude` / `Kl@udeD1ag!2026` для диагностики
|
||
- AnyDesk ID `1989051750` / пароль `OL260380eg` (unattended, установлен через CLI)
|