![](http://ois.od.ua/public/style_images/master/icon_users.png)
![](http://ois.od.ua/uploads/profile/photo-thumb-1877.jpg?_r=1390493457)
Борьба с вирусами и прочч.
#181
Отправлено 27 June 2017 - 07:15 PM
#182
Отправлено 27 June 2017 - 09:42 PM
Гладырь Виталий, on 27 June 2017 - 07:00 PM, said:
Я звиняюсь, а в какое место RAID контроллер на 2008 сервере втыкать?. Гусары молчать.
#184
Отправлено 28 June 2017 - 06:24 AM
9 ч ·
#ВАЖЛИВО:
На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc." (програмне забезпечення для звітності та документообігу)
Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: "upd.me-doc.com.ua" (92.60.184.55) за допомогою User Agent "medoc1001189".
Оновлення має хеш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.
Більшість легітимниг "пінгів" (звернень до серверу) дорівнює приблизно 300 байт.
Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:
- створено файл: rundll32.exe;
- звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP;
- створення файлу: perfc.bat;
- запуск cmd.exe з наступною командою: /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:\Windows\system32\shutdown.exe /r /f" /ST 14:35”;
- створення файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) та його подальший запуск;
- створення файлу: dllhost.dat.
В подальшому, шкідливе програмне забезпечення розповсюджувалось за допомогою вразливості у протоколі Samba (яка також використовувалась під час атак WannaCry).
Рекомендація:
- тимчасово не застосовувати оновлення, які пропонує програмне забезпечення "M.E.doc." при запуску;
Інформація оновлюється!
#185
Отправлено 28 June 2017 - 11:41 AM
Гладырь Виталий, on 28 June 2017 - 06:24 AM, said:
9 ч ·
#ВАЖЛИВО:
На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc." (програмне забезпечення для звітності та документообігу)
Фигасе.
#186
Отправлено 28 June 2017 - 11:59 AM
Andrew Zhukov, on 28 June 2017 - 11:41 AM, said:
гадом буду - ноги растут от контор, имеющих отношение к касперскому . конкурентов одиночек он мочит, а в нужный момент рубильник включает. море мое блин накрылось в последний момент - щас брательник звонил - говорит, ем твою рыбу и пью твое пиво - приготовился к приезду (
блин, дырявые мелкософты -вместо того, чтобы клепать ежегодно новую версию, хоть одну до ума бы довели. эти индустриальные методы программирования, эти кучки всяческих индусов, по всему миру. системы были пропатчены, откуда опять уязвимость у самбы взялась - блин, стэк протоколов, можно хоть до ума довести? хотя есть сильное подозрение, что малверь свои, динамические поднимает. если так далее пойдет, начнутся опять разговоры про альтернативу мелкософтам.
Сообщение отредактировал Гладырь Виталий: 28 June 2017 - 12:05 PM
#188
Отправлено 28 June 2017 - 12:16 PM
Гладырь Виталий, on 28 June 2017 - 11:59 AM, said:
А на серверах каким образом? Должен кто backdor открыть. Ну если сервера со всеми заплатками после WanaCry это очень серъезный удар в промежность мелокомягкому.
Мои юниксовые админы задают глупый вопрос, а че все эти сервисы на серверах под админскими аккаунтами живут? Ну с самбой понятно. Клиенты тоже с админскими правами лазят? У нас просто малость свои понятия.
![:)](http://ois.od.ua/public/style_emoticons/default/smile.png)
Че то мало мальски стремное вообще в chroot разработчик загоняет. И то хачят.
Сообщение отредактировал Andrew Zhukov: 28 June 2017 - 12:21 PM
#189
Отправлено 28 June 2017 - 12:36 PM
Andrew Zhukov, on 28 June 2017 - 12:16 PM, said:
Мои юниксовые админы задают глупый вопрос, а че все эти сервисы на серверах под админскими аккаунтами живут? Ну с самбой понятно. Клиенты тоже с админскими правами лазят? У нас просто малость свои понятия.
![:)](http://ois.od.ua/public/style_emoticons/default/smile.png)
Че то мало мальски стремное вообще в chroot разработчик загоняет. И то хачят.
лет 15 тому, когда наашу контору взяли за жабра за лицензии и когда нужно было потратить лимон баксов на ЕА, генеральный спросил у меня про альтернативу. чота я засомневался тогда, хотя были уже сообщения о немцах и китайцах в госструктурах, которые на юниксподобные перешли. предложил нанять нормальный консалтинг на предмет альтернативы - согласился и начали искать. но потом бабло победило и взяли ЕА. хотя я до сих пор не до конца уверен - уравнение с многими неизвестными, это спор не в рамках нашего форума.
#190
Отправлено 28 June 2017 - 12:41 PM
Гладырь Виталий, on 28 June 2017 - 12:36 PM, said:
В Приватбанке весь процессинг на линухе сидит. Я супругу на Ubuntu присадил. Там правда плоттер на XP на VirtualBox ну то таке. Уже привыкла. А то что не привязанно к железу. Хотя для общения с госконторами непонятно как жить. Этих очевидно отделять надо как то со всеми звiтами.
Кстати еще одно малоизвестное преймущество юниксов. Там реестра нет. Все в /home пишется. Поэтому для полного восстановления достаточно чтобы домашний каталог сохранился. Делаеш чистую инсталляшку и все на места встает, ну почти все.
Сообщение отредактировал Andrew Zhukov: 28 June 2017 - 12:50 PM
#191
Отправлено 28 June 2017 - 12:58 PM
Andrew Zhukov, on 28 June 2017 - 12:41 PM, said:
Кстати еще одно малоизвестное преймущество юниксов. Там реестра нет. Все в /home пишется. Поэтому для полного восстановления достаточно чтобы домашний каталог сохранился. Делаеш чистую инсталляшку и все на места встает, ну почти все.
лень много букв писать - уже написано на эту тему много - однозначного решения нет. корпорациям нужны гарантии, а не куча дистрибутивов от непонятно кого. либо должно время пройти, дабы уяснить, что какая нибудь калдера или рэд хат - навсегда.
#192
Отправлено 28 June 2017 - 01:15 PM
Гладырь Виталий, on 28 June 2017 - 12:58 PM, said:
А кальдера интересно еще жива. Ее вроде для корпоративного сегмента пытались поднять. Я когда в Американской конторе работал, там на sco практичски все работало.
Мелкомягкий раздуплился
https://blogs.techne...m-capabilities/
Ну говорит что ничего нового и патчи от марта этого года должны были помочь, ну если усеры не с админскими правами по серверам шарятся.
Сообщение отредактировал Andrew Zhukov: 28 June 2017 - 01:33 PM
#193
Отправлено 28 June 2017 - 01:40 PM
Andrew Zhukov, on 28 June 2017 - 01:15 PM, said:
Мелкомягкий раздуплился
https://blogs.techne...m-capabilities/
Ну говорит что ничего нового и патчи от марта этого года должны были помочь, ну если усеры не с админскими правами по серверам шарятся.
и за безногим побежал
слепой увидел это дело
и все глухому рассказал...
#194
Отправлено 28 June 2017 - 02:07 PM
Ubuntu дружественная для пользователя, дело привычки - почти Windows.
Debian используют в NASA .
#195
Отправлено 28 June 2017 - 02:21 PM
#196
Отправлено 28 June 2017 - 02:46 PM
Владимир Серебринский, on 28 June 2017 - 02:21 PM, said:
Зверь а не админ.
Но полюбому от обновления c вирусом от 3-d party не спасло бы. Пришлось бы сервер с backup подымать.
Прикольные пацаны
https://www.me-doc.com.ua/
12 федора
![:)](http://ois.od.ua/public/style_emoticons/default/smile.png)
#197
Отправлено 28 June 2017 - 03:35 PM
#198
Отправлено 28 June 2017 - 04:09 PM
Andrew Zhukov, on 28 June 2017 - 02:46 PM, said:
Зверь а не админ.
Но полюбому от обновления c вирусом от 3-d party не спасло бы. Пришлось бы сервер с backup подымать.
Прикольные пацаны
https://www.me-doc.com.ua/
12 федора
![:)](http://ois.od.ua/public/style_emoticons/default/smile.png)
Оперативненько... OpenDns блокирует доступ. Уже в черных списках.
![Прикрепленный файл](http://ois.od.ua/public/style_extra/mime_types/gif.gif)
#199
Отправлено 28 June 2017 - 04:58 PM
#200
Отправлено 28 June 2017 - 06:03 PM
Владимир Серебринский, on 28 June 2017 - 02:21 PM, said:
и только после обкатки на подопытной vm.
Количество пользователей, читающих эту тему: 1
0 пользователей, 1 гостей, 0 скрытых