Удаленное администрирование

Удалённый Избранный

25 февраля 2015, 08:00

Работаю в большом IT-отделе большой компании. Месяц назад руководство отдела заметило необычную сетевую активность с одного из ПК во внерабочее время. Полетели теории заговора, крики о взломе и краже конфиденциальной информации. Начали внутреннее расследование.

Во внерабочее время к корпоративной сети по внутреннему VPN подключался некий пользователь и активно использовал определённый ПК. Проверили логи машины — подключение происходило по RDP. У пользователей во внерабочее время есть доступ к своим ПК по этому протоколу. Начали отслеживать источник VPN; адрес оказался в списке доверенных, там же нашлось имя владельца. Разыскали сотрудника (оказался один из сотрудников IT-отдела), начали расспрос.

Сотрудник принципиально не хотел иметь дома Windows и разбираться с эмулятором, но любил играть в старые Windows-only игрушки (типа Fallout). Выбрав в жертвы ничем не примечательный комп, он создал на нём локальную учётную запись и играл в любимые игры, подключаясь по RDP.

Конечно, в этом не было ничего криминального, но сотрудника уволили за установку и использование игрового ПО на рабочем ПК.

How Did My PC Get Infected with Radmin?^

The following are the most likely reasons why your computer got infected with Radmin:

• Your operating system and Web browser’s security settings are too lax.
• You are not following safe Internet surfing and PC practices.

Downloading and Installing Freeware or Shareware

Small-charge or free software applications may come bundled with spyware, adware, or programs like Radmin. Sometimes adware is attached to free software to enable the developers to cover the overhead involved in created the software. Spyware frequently piggybacks on free software into your computer to damage it and steal valuable private information.

Using Peer-to-Peer Software

The use of peer-to-peer (P2P) programs or other applications using a shared network exposes your system to the risk of unwittingly downloading infected files, including malicious programs like Radmin.

Visiting Questionable Web Sites

When you visit sites with dubious or objectionable content, trojans-including Radmin, spyware and adware, may well be automatically downloaded and installed onto your computer.

Radmin — что это такое?

Программа для удаленного управления ПК.

Название расшифровывается как Remote Administrator.

Кроме удаленного управления программа позволяет передавать файлы, а также есть функции текстового или голосового общения с пользователем.

Простыми словами — Radmin позволяет работать за другим компьютером, через интернет, и работать так, будто за своим. Можно вообще окно удаленного ПК сделать на весь экран и будет так, будто вы работаете за своим.

Где используется программа? В основном в двух направлениях:

• Удаленная помощь пользователям. Например может быть компания, в которой есть штат сотрудников, у них компьютеры и везде стоит Radmin. И есть администратор, который через Radmin в случае проблем подключается и пытается решить проблему.
• Частное использование. Здесь все просто, например у вас проблема, а ваш друг разбирается в ПК, тогда он может через Radmin подключиться к вам и попробовать помочь. Но чаще всего для этих целей используется все таки не Radmin, а TeamViewer.

Также нужно понимать, что Radmin состоит из двух частей:

• Radmin Server — серверная часть, которая устанавливается на удаленный ПК, нужно при этом указать пароль и настроить чтобы программа запускалась как сервис. Потом делается перезагрузка и все — к этому ПК уже можно получить доступ с другого ПК через Radmin.
• Radmin Viewer — соответственно наоборот, это уже клиентская часть, при помощи которой можно подключаться к тем ПК, на которых стоит серверная часть. Можно настроить качество картинки, поэтому даже при медленном интернете можно управлять ПК (но конечно качество изображения будет не очень).

Также программа поддерживает Telnet — специальный протокол для удаленного администрирования.

Нет заявки — нет работы

14 января 2014, 07:45

Пользователи бывают разными: опытными и не очень, адекватными и не совсем, обучаемыми и тугодумами. Есть ещё одна категория — пользователь офигевше-непонятный. Завёлся у нас такой в компании после переезда из другого филиала.

Юзер пишет вежливое сообщение в чате:

добрый день! не могли бы вы зайти в кабинет ###

Всё. Точка. На мои расспросы, что случилось, с какой целью и нельзя ли это выполнить по удалёнке, молчит. Я на такое не ведусь и продолжаю игнорировать.

Через некоторое время пользователь начинает говорить загадками: «есть дело», «проблема с компьютером», «на месте расскажу». Отправляю писать заявку. Естественно, писать не собирается. Что ж, нет заявки — нет работы!

Сейчас, даже ни о чём не спрашивая, направляю его писать заявку. И чтобы бы вы думали? Все заявки от него такого плана: не работает почта, требуется предоставить доступ к сетевой папке. В общем, безумно сложные работы, 99% которых выполняется по удалёнке Радмином, а то и вообще не беспокоящие пользователя и выполняемые на сервере.

Никак не могу понять: зачем надо было ломать эту комедию?

Meaning of Remoteadmin.ave/svkp — Malware??

Remoteadmin.ave/svkp — Malware? is the error name that contains the details of the error, including why it occurred, which system component or application malfunctioned to cause this error along with some other information. The numerical code in the error name contains data that can be deciphered by the manufacturer of the component or application that malfunctioned. The error using this code may occur in many different locations within the system, so even though it carries some details in its name, it is still difficult for a user to pinpoint and fix the error cause without specific technical knowledge or appropriate software.

История версий

Remote Administrator разработан Дмитрием Зноско в 1999 году. В настоящее время Дмитрий Зноско является единственным владельцем и генеральным директором компании «Фаматек».

• 2004 — релиз Remote Administrator (Radmin) 2.2.
• 13.02.2007 — релиз Radmin 3.0. В этой версии стал использоваться драйвер зеркалирования видеовывода (англ.), обеспечивающий высокую скорость передачи данных при минимальной загрузке центрального процессора. Это достигается путём получения данных непосредственно от драйвера операционной системы до их попадания в память видеокарты.
• 03.07.2007 — релиз версии Radmin 3.01 с оптимизированным процессом установки, совместимостью клиентского модуля с Wine (удаленный доступ с машин, где установлена ОС Linux)и другими изменениями.
• 02.11.2007 — релиз Radmin 3.1 с поддержкой 64-битных системы Windows Vista/XP/Server 2003
• 25.04.2008 — Radmin 3.2 с поддержкой Windows Vista SP1 (32-бит и 64-бит) и Windows Server 2008.
• 19.11.2008 — Radmin 3.3 с поддержкой технологии Intel AMT
• 13.11.2009 — Radmin 3.4 с полной поддержкой Windows 7 (кроме режима Aero)
• 25.12.2012 — Radmin 3.5 с полной поддержкой Windows 8
• 06.07.2017 — Radmin 3.5.1 c полной поддержкой Windows 10
• 14.12.2017 — Radmin 3.5.2 с реализацией нового способа чтения экрана убирающего эффект моргания дисплея в момент подключения; оптимизация скорости и другие изменения.

Возможные ошибки активации

При возникновении проблем с активацией возможна одна из
следующих ошибок:

• Radmin Server не смог установить интернет соединение с Сервером
  Активации Фаматек. Проверьте, что интернет соединение включено и
  позволяет отправлять HTTP запросы (протокол TCP, порт 80).
  Убедитесь в правильности настроек вашей сети, брандмауэров и
  маршрутизаторов.

• Данные, полученные от Сервера Активации Фаматек, имеют неверный
  формат. Проверьте правильность настроек вашей сети, брандмауэров и
  маршрутизаторов. Проверьте, что HTTP запросы и ответы на них не
  модифицируются.

• Не удается сохранить данные в реестр. Проверьте наличие
  необходимых прав

  Radmin Server не смог сохранить информацию об активации в
  системный реестр компьютера. Проверьте правильность настройки
  безопасности компьютера, а также возможность создавать ключи в
  ветке реестра
  HKEY_LOCAL_MACHINE\SOFTWARE\Radmin\v3.0\Server\Parameters
  с правами данного пользователя.

• Radmin Server был успешно активирован.

• Radmin Server не смог получить информацию об аппаратной
  конфигурации компьютера. Проверьте, что на компьютере установлены
  актуальные, сертифицированные драйвера для всех устройств.
  Проверьте правильность настройки безопасности компьютера.
  Попробуйте временно отключить виртуальные устройства.

• Radmin Server не смог выделить необходимое количество системных
  ресурсов компьютера. Проверьте правильность настроек компьютера.
  Попробуйте перезагрузить компьютер и временно закрыть все
  запущенные программы.

• Файл с лицензией поврежден или содержит неверные данные.
  Проверьте, что он не был поврежден или изменен. Попробуйте
  повторить активацию.

• Использованный для активации лицензионный код уже был
  использован для активации Radmin Server на другом компьютере. В
  случае, если это не так, свяжитесь со службой технической поддержки
  компании Фаматек.

• Radmin Server не смог открыть файл запроса на активацию или файл
  с лицензией. Проверьте правильность настроек безопасности для этих
  файлов. Проверьте правильность настройки безопасности компьютера.
  Проверьте жесткие диски компьютера на наличие ошибок.

• Radmin Server не смог сохранить файл. Проверьте правильность
  настройки безопасности компьютера. Проверьте жесткие диски
  компьютера на наличие ошибок.

• Файл с запросом на активацию содержит неверные данные.
  Проверьте, что он не был изменен или поврежден при копировании на
  компьютер.

• Введенный лицензионный код неверен. Проверьте, что текст
  лицензионного кода правильно набран в соответствующем поле ввода.
  Попробуйте использовать операцию копирования-вставки и убедитесь,
  что скопированный текст не содержит лишних пробелов, табуляций и
  знаков в начале или конце.

• Введенный лицензионный код предназначен для активации другого
  программного обеспечения. Если у Вас есть несколько лицензий от
  компании Фаматек, убедитесь что вы используете лицензионный код
  нужной лицензии. Для получения подробной информации свяжитесь со
  службой технической поддержки компании Фаматек.

• Лицензионный код уже был использован для активации Radmin Server
  на максимальном количестве компьютеров, указанном в используемой
  лицензии. Если с использованием данного кода было активировано
  другое количество компьютеров, свяжитесь со службой технической
  поддержки компании Фаматек. Не передавайте ваш лицензионный ключ
  третьим лицам.

• Product already has activated product license

  Radmin Server уже активирован. Для увеличения максимального
  количества одновременных соединений используйте лицензии для
  дополнительных соединений.

Вставайте, граф, вас ждут великие дела!

1 сентября 2014, 07:24

5:59
Подорвался посмотреть, почему не сработал будильник, вчера поднятый на Cлакваре и настроенный на 6:00.

6:05
Звонок с работы. Станок отказывается выключаться. Мастер цеха в ахтунге. RDP через нет на сервак, TeamViewer на станок, «Пуск → Завершение работы → Выключить».

6:10
Вышел покурить и допить вчерашний кофе.

6:50
Зашёл сосед, забрал свой ноут, что принёс в три ночи бухой в хламину и попросил почистить.

7:20
Не получилось забрать выписки из клиент-банка. Есть у нас одна работница, которая приходит исключительно заранее.

7:30
Неправильно введённый пароль на ключ от клиент-банка заблокировал сессию на 15 минут. Бухгалтерия проинструктирована.

7:40
С намыленным черепом объясняю по телефону, что нужно сделать, чтобы просмотреть архив видеонаблюдения. Хорошо, что я купил водонепроницаемый и трудноубиваемый телефон.

8:00
У маркетинга закончился тонер в принтерах.

8:05
По дороге на работу — звонок от бухгалтерии: не идёт товарный отчёт по магазину на миллионы рублей.

8:10
Я на работе. Заправка картриджей, исправление косяков по товарному отчёту. Вдогонку несётся ещё куча заданий.

11:45
Я снова дома, и после банки «Бёрна» я наконец-то проснулся. И да — я в отпуске…

How to Remove Radmin from the Windows Registry^

The Windows registry stores important system information such as system preferences, user settings and installed programs details as well as the information about the applications that are automatically run at start-up. Because of this, spyware, malware and adware often store references to their own files in your Windows registry so that they can automatically launch every time you start up your computer.

To effectively remove Radmin from your Windows registry, you must delete all the registry keys and values associated with Radmin, which are listed in the and sections on this page.

IMPORTANT: Because the registry is a core component of your Windows system, it is strongly recommended that you back up the registry before you begin deleting keys and values. For information about backing up the Windows registry, refer to the Registry Editor online help.

To remove the Radmin registry keys and values:

1. On the Windows Start menu, click Run.
2. In the Open box, type regedit and click OK. The Registry Editor window opens. This window consists of two panes. The left pane displays folders that represent the registry keys arranged in hierarchical order. The right one lists the registry values of the currently selected registry key.
3. To delete each registry key listed in the Registry Keys section, do the following:
   • Locate the key in the left pane of the Registry Editor window by sequentially expanding the folders according to the path indicated in the Registry Keys section. For example, if the path of a registry key is HKEY_LOCAL_MACHINE\software\FolderA\FolderB\KeyName1 sequentially expand the HKEY_LOCAL_MACHINE, software, FolderA and FolderB folders.
   • Select the key name indicated at the end of the path (KeyName1 in the example above).
   • Right-click the key name and select Delete on the menu.
   • Click Yes in the Confirm Key Delete dialog box.
4. To delete each registry value listed in the Registry Values section, do the following:
   • Display the value in the right pane of the Registry Editor window by sequentially expanding the folders in the left pane according to the path indicated in the Registry Values section and selecting the specified key name. For example, if the path of a registry value is HKEY_LOCAL_MACHINE\software\FolderA\FolderB\KeyName2,valueC= sequentially expand the HKEY_LOCAL_MACHINE, software, FolderA and FolderB folders and select the KeyName2 key to display the valueC value in the right pane.
   • In the right pane, select the value name indicated after a comma at the end of the path (valueC in the example above).
   • Right-click the value name and select Delete on the menu.
   • Click Yes in the Confirm Value Delete dialog box.

Registry Keys

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\remote administrator v2.2HKEY_LOCAL_MACHINE\system\radminHKEY_LOCAL_MACHINE\system\currentcontrolset\services\r_serverHKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_r_server
Scan your Windows Registry for Radmin

Без определённого места образования

13 ноября 2013, 07:15

Швейцария. Утро. Регион «поедателей устриц».

— Добрый день, компания %myCompany%.

— Здравствуйте, подключитесь, пожалуйста!

Нда, как-то быстро.

— Будьте добры, опишите сначала проблему…

Потянулся за бубном и поставил на комп.

— Да, конечно. У меня не работает клавиатура!

Опа! А бубен, похоже, не зря вытащил.

— Вы перезагружали компьютер?

— Да!

— Маленький зелёный свет на клавиатуре у вас горит справа сверху?

— Да, горит.

Блин… Варианты отпадают почти все.

— Хорошо-о. А…

— Когда я подключаюсь к другой сети, она работает!

— Э-э-э… А вы не могли бы пояснить? Вы отключаете кабель…

— Нет, я вам покажу!

Инструктирую, дабы смогла открыть Тимвьюер. Вижу рабочий стол. Почти пустой.

— Вот видите, слева есть маленькая иконка, это другая сеть!

Так вот как звучит RDP из уст юзверя! Подключаюсь. Диктует. Смотрим. Открываю Ворд — с моей стороны вводится.

— Попробуйте что-то напечатать.

Вижу, как вводится слово SDF (на французском — бомж). А клиент-то — комик!

— Ой, заработало! Спасибо, до свидания!

Бубен! Бубен и эффект присутствия!

Ещё одни будни техподдержки. А дамочка была в шоке, уж больно голос стих…

312

Чувствуйте себя как дома

19 декабря 2013, 18:12

В далёком-далёком филиале недобрым днём одна очень важная железка не смогла чего-то понять в давно записанном в неё конфиге и благополучно его стёрла. Понятно: нефиг подсовывать приличной железке непонятную бяку в конфиге, и пофигу, что эта бяка уже пару лет как там была. Заодно и прошивку потёрла, нехристь заморская. А поскольку кризис, зарплаты урезали, с ними ушли и сотрудники, которые могли всунуть в железку прошивку и поставить хоть какой-то адрес для удалённого конфигурирования.

В итоге подняли VPN-канал между нашим головным офисом и тамошним, а интерфейсы локальной сети и этого канала объединили в бридж. Все бродкасты и прочее начали спокойно бродить и там, и тут. Железка потребовала загрузиться из сети, и на призыв откликнулся головной офис с новым конфигом. Остальное — дело техники.

Альтернативная активация со стороны клиента

Если Radmin Server установлен на компьютере без подключения к
интернет, вы можете передать код активации с помощью любого Radmin
Viewer, установленного на подключенном к интернет компьютере.

Чтобы активировать Radmin Server со стороны клиента: В интерфейсе Radmin Viewer добавьте запись в адресную книгу для компьютера, на котором нужно активировать Radmin Server. Щелкните правой кнопкой мыши на записи чтобы вызвать контекстное меню записи (Иллюстрация). Контекстное меню записи Выберите пункт меню Передать код активации. Введите имя пользователя и пароль в соответствии с настройками безопасности Radmin Server и нажмите кнопку ОК. В окне с ответом от Radmin Server (Иллюстрация) нажмите кнопку Активация, появится окно ‘Активация’. Окно ‘Сообщение сервера’ Активируйте Radmin Server так же, как описано выше.

Структура программы

Radmin 3 включает 2 модуля:

• RadminServer 3, это серверный блок, его надо инсталлировать на стороннем ПК, к примеру на рабочем, к которому планируется подключить доступ.
• RadminViewer 3, это блок для клиента, его нужно инсталлировать на другом, локальном ПК/ноутбуке, с которого будет осуществляться доступ.

Для взаимодействия оба устройства должны увязываться в локальную сеть через интернет/модем/по TCP/IP протоколам.

Установка и настройка Radmin Server 3

Для создания VPN сети RadminServer нужно загрузить и запустить файл rserv35ru.msi на той машине, где требуется организовать удалённый доступ. Выполняйте команды на мониторе. При инсталляции нужные файлы запишутся в папку Windows по умолчанию (C:\WINDOWS\system32\rserver30\). Если на компьютере стояли старые выпуски, программа сама обновит их актуальной версией. Все прежние пользовательские настройки сохранятся.

Систему безопасности Windows NT чаще задействует в локальных сетях организаций. Выполните настройку доступа по следующему алгоритму:

• запустите приложение кликом правой клавиши мыши по иконке RadminServer на панели задач, перейдите в «Настройки», а оттуда в «Права доступа»;
• введите характеристики системы безопасности Radmin, она наиболее приемлема при интернет-подключении, так как позволяет точнее настроить права доступа;
• в системе безопасности должен быть создан хотя бы один пользователь — это обязательное условие доступа к RadminServer: пока в системе нет регистрированных юзеров, активация будет невозможна;
• сперва зарегистрируйте в RadminServer очередного пользователя, ник и пароль лучше набирать латиницей, количество знаков в пароле ставьте не менее 6;
• вновь прописанному пользователю нужно дать права доступа, выбрав их из списка опций; пока не появится хоть одна галочка, работать с программой нельзя.

Чтобы повысить безопасность, можно внести изменения в базовые параметры. В том случае, когда ПО нужно в целях удалённого подключения службы техподдержки и дистанционного устранения неполадок во время работы за компьютером, есть смысл задать подтверждение входящих соединений, то есть разрешить или запретить доступ вручную, а также в целевое время. Кроме этого, можно сменить адрес заданного по умолчанию порта, через который подключается сисадмин или специалист техподдержки. Если этот порт был изменён, сделайте пометку или известите администратора — новый номер порта будет использоваться при настройке RadminViewer.

Далее выясните сетевой адрес машины, за которым вы работаете. Определите тип подключения для последующей настройки:

• устройство находится в вашей локальной сети или на удалённой машине с внешнего сетевого адреса;
• идёт подсоединение к элементу чужой локальной сети и необходим доступ к параметрам роутера;
• вы находитесь за ПК такой локальной сети, где отсутствует доступ к роутеру, нужно добавиться к имеющейся Сети через имя и пароль.

Когда вы наведёте курсор на значок программы, появятся 2 или больше адресов IP, значит установка виртуальной системы закончена.

Установка Radmin Viewer

Установка программного обеспечения Radmin Viewer происходит в несколько этапов.

• Для начала необходимо загрузить файл с программой на удалённый компьютер и после запуска выполнять рекомендации по установке. Если на компьютере находится не обновлённое ранее установленное программное обеспечение RadminViewer, то произойдёт замена на новую версию автоматически, при этом настройки будут сохранены.
• Следующим шагом проведите пуск программы и обеспечьте подключение с семантически ясным именем. IP-адрес компьютера, содержащего установленный RadminServer и к которому предполагается примкнуть, нужно определить и внести.
• Если интернет-соединение работает на низкой скорости и есть желание не тратить интернет-трафик, то можно внести коррективы в настройки по умолчанию при подключении.
• Затем с помощью встроенного сканера необходимо провести сканирование, чтобы проверить хороший ли доступ к удалённому компьютеру.

Чтобы удостовериться в возможности к соединению, стоит обратить внимание на наличие галочки у иконки подключения. Если она есть, значит, установка завершилась успешно и можно приступать к работе

Для этого также важно подтвердить имя/пароль пользователя. Это можно сделать в настройках программы на удалённом компьютере. После этого вы получите доступ к удалённому контролю и управлению подключённого компьютера

Папа, я пописал

7 июня 2014, 07:12

Утром затупил удалённый доступ к серверу. Пингую. Через раз время отклика — больше трёх секунд. Беда. Прикинул топологию — сервера там на отдельном свитче. Ладно, надо идти смотреть, что случилось.

Прихожу. Жопа! Кондиционер потёк, посреди серверной лужа. Но на свитч это никак не влияет: всё в высокой стойке, сухо и комфортно.

В общем, пока разбирался с лужей и вызывал кондиционерщиков, стало не до свитча. Через час освободился, решил продолжить поиски потерь — всё восстановилось! Коллективное сознание железа нашло способ вызвать меня в серверную, пока лужа не достигла критических размеров.

Detecting Radmin^

The following symptoms signal that your computer is very likely to be infected with Radmin:

PC is working very slowly

Radmin can seriously slow down your computer. If your PC takes a lot longer than normal to restart or your Internet connection is extremely slow, your computer may well be infected with Radmin.

New desktop shortcuts have appeared or the home page has changed

Radmin can tamper with your Internet settings or redirect your default home page to unwanted web sites. Radmin may even add new shortcuts to your PC desktop.

Annoying popups keep appearing on your PC

Radmin may swamp your computer with pestering popup ads, even when you’re not connected to the Internet, while secretly tracking your browsing habits and gathering your personal information.

rutserv.exe — что это такое?

Процесс от ПО Remote Manipulator System (RMS) для удаленного управления компьютером. Данное ПО также используется для создания вируса Program.RemoteAdmin.684.

Также может быть служба TektonIT — RMS Host (RMANService), которой судя по всему и принадлежит процесс rutserv.exe:

Суть: rutserv.exe это может быть спокойно вирус удаленного управления, который построен на легальном ПО (аналог TeamViewer), поэтому антивирусы могут не видеть угрозы.

Процесс может запускаться из папки:

Или из этой:

Однако возможно это имеет отношение к обычной версии Remote Manipulator System, не вирусной. Потому что если вирусная модификация, то процессы могут запускать из этих папок:

Сразу видно — специально, чтобы пользователь подумал что это системные файлы. Кроме этого — служба процесса тоже может быть замаскирована и иметь отображаемое название — Quality Windows Audio Video Experience Devices.

Что еще интересно — может маскироваться даже под некую утилиту обновления драйверов (при этом значок Realtek):

Данное окошко — запрос от встроенного фаервола Windows, который контролирует сетевую активность программ. Простыми словами фаервол сообщает что процесс rutserv.exe хочет установить соединение с интернетом.