Não é um cliente BH Servers?

Introdução

Se você utiliza um VPS Windows, verifique seu servidor para garantir que não está infectado pelo malware de força bruta que tem gerado suspensões dos serviços ou bloqueios de IPs por parte do Datacenter. Este malware tenta adivinhar a senha do cliente, causando lentidão no servidor e eventualmente efetivando a invasão. Isso geralmente ocorre devido ao uso da porta padrão (3389), senhas fracas ou antigas. Em caso de sucesso na invasão, seu VPS passará a ser parte da rede de invasões e tentará invadir outros servidores, gerando denúncias ao datacenter, por parte dos servidores que recebem o ataque e resultando em bloqueio do IP. Somos forçados pelo Datacenter a suspender o servidor também, para cumprir com os termos de serviço deles e os nossos.

Para evitar essa situação, criamos um tutorial para auxiliar na proteção e, se for o caso, remoção do vírus. Mas atenção. Essa remoção é apenas com base no nosso aprendizado e pode não ser totalmente eficiente. A prevenção é o melhor caminho.

Ferramenta de Detecção

Criamos um pequeno utilitário que tentará remover automaticamente esse arquivo em especial. Acesse o link dessa base do conhecimento dentro do VPS para facilitar o download e utilize nosso arquivo para ajudar a identificar o malware em seu servidor: Baixar Ferramenta. Siga as instruções do arquivo após executar como administrador.

Verificação manual

1. Verifique por Arquivos Suspeitos

Procure pelos arquivos GoldBruteSocket.exe e findWndHnd.exe nas pastas:

  • C:\ProgramData\tmp
  • C:\ProgramData\Temp

Dica: A pasta ProgramData é oculta. Ative "Itens Ocultos" em "Exibir" no Windows Explorer. Use a busca no canto superior direito do Windows Explorer.
Busque também pelo GoldBruteSocket.exe em todo o VPS, pois talvez ele seja enviado para outras pastas.

2. Checar o Gerenciador de Tarefas

  • Abra o Gerenciador de Tarefas (botão direito na barra de tarefas > Gerenciador de Tarefas).
  • Procure por processos desconhecidos ou suspeitos, como findWndHnd.exe.
  • Pesquise nomes estranhos no Google com a frase "o que é" (ex: "arquivoestranho.exe o que é").

Nota: Lentidão no Windows pode indicar infecção ou tentativa de ataque ao seu VPS, que pode resultar na infecção.

Medidas Importantes de Prevenção

  1. Altere a Porta Padrão do RDP: Mude a porta 3389 para uma porta diferente. Essa ação reduzirá muito a chance de infecção.
  2. Use Senhas Fortes: Altere sua senha imediatamente. Combine letras maiúsculas e minúsculas, números e caracteres especiais e com no mínimo 13 caracteres.
  3. Use Antivírus Confiável: Faça uma verificação completa do sistema.
  4. Mantenha o Windows Atualizado: Instale todas as atualizações de segurança.

Relatório de Atividade Suspeita

Se encontrar qualquer atividade suspeita ou precisar de ajuda, entre em contato com nosso suporte técnico.

 

Esta resposta lhe foi útil? 0 Usuários acharam útil (0 Votos)