Сообщений в теме: 305

[Гладырь Виталий]

произнес сегодня на собрании - "есть админы которые делают бэкапы, а есть - которые уже делают бэкапы ...."

[Andrew Zhukov]

Гладырь Виталий, on 27 June 2017 - 07:00 PM, said:

кстати вот типа рецепт https://bykvu.com/bu...zarazhennyj-pk

Я звиняюсь, а в какое место RAID контроллер на 2008 сервере втыкать?. Гусары молчать.

[Гладырь Виталий]

Andrew Zhukov, on 27 June 2017 - 09:42 PM, said:

Я звиняюсь, а в какое место RAID контроллер на 2008 сервере втыкать?. Гусары молчать.

дык это понятно  ) - ну хоч шось...

[Гладырь Виталий]

Департамент кіберполіції Національної поліції України

9 ч ·
#ВАЖЛИВО:
На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc." (програмне забезпечення для звітності та документообігу)
Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: "upd.me-doc.com.ua" (92.60.184.55) за допомогою User Agent "medoc1001189".
Оновлення має хеш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.
Більшість легітимниг "пінгів" (звернень до серверу) дорівнює приблизно 300 байт.
Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:
- створено файл: rundll32.exe;
- звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP;
- створення файлу: perfc.bat;
- запуск cmd.exe з наступною командою: /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:\Windows\system32\shutdown.exe /r /f" /ST 14:35”;
- створення файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) та його подальший запуск;
- створення файлу: dllhost.dat.
В подальшому, шкідливе програмне забезпечення розповсюджувалось за допомогою вразливості у протоколі Samba (яка також використовувалась під час атак WannaCry).
Рекомендація:
- тимчасово не застосовувати оновлення, які пропонує програмне забезпечення "M.E.doc." при запуску;
Інформація оновлюється!

[Andrew Zhukov]

Гладырь Виталий, on 28 June 2017 - 06:24 AM, said:

Департамент кіберполіції Національної поліції України

9 ч ·
#ВАЖЛИВО:
На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc." (програмне забезпечення для звітності та документообігу)

Фигасе.

[Гладырь Виталий]

Andrew Zhukov, on 28 June 2017 - 11:41 AM, said:

Фигасе.

гадом буду - ноги растут от контор, имеющих отношение к касперскому . конкурентов одиночек он мочит, а в нужный момент рубильник включает. море мое блин накрылось в последний момент - щас брательник звонил - говорит, ем твою рыбу и пью твое пиво - приготовился к приезду (

блин, дырявые мелкософты -вместо того, чтобы клепать ежегодно новую версию, хоть одну до ума бы довели. эти индустриальные методы программирования, эти кучки всяческих индусов, по всему миру. системы были пропатчены, откуда опять уязвимость у самбы взялась - блин, стэк протоколов, можно хоть до ума довести? хотя есть сильное подозрение, что малверь свои, динамические поднимает. если так далее пойдет, начнутся опять разговоры про альтернативу мелкософтам.

Сообщение отредактировал Гладырь Виталий: 28 June 2017 - 12:05 PM

[Давыдова Татьяна]

Andrew Zhukov, on 28 June 2017 - 11:41 AM, said:

Фигасе.

Выборы уже хакнули, теперь, ясен пень,   вот это...

[Andrew Zhukov]

Гладырь Виталий, on 28 June 2017 - 11:59 AM, said:

что малверь свои, динамические поднимает. если так далее пойдет, начнутся опять разговоры про альтернативу мелкософтам.

А на серверах каким образом? Должен кто backdor открыть. Ну если сервера со всеми заплатками после WanaCry это очень серъезный удар в промежность мелокомягкому.
Мои юниксовые админы задают глупый вопрос, а че все эти сервисы на серверах под админскими аккаунтами живут? Ну с самбой понятно. Клиенты тоже с админскими правами лазят?  У нас просто малость свои понятия.
Че то мало мальски стремное вообще в chroot разработчик загоняет. И то хачят.

Сообщение отредактировал Andrew Zhukov: 28 June 2017 - 12:21 PM

[Гладырь Виталий]

Andrew Zhukov, on 28 June 2017 - 12:16 PM, said:

А на серверах каким образом? Должен кто backdor открыть. Ну если сервера со всеми заплатками после WanaCry это очень серъезный удар в промежность мелокомягкому.
Мои юниксовые админы задают глупый вопрос, а че все эти сервисы на серверах под админскими аккаунтами живут? Ну с самбой понятно. Клиенты тоже с админскими правами лазят?  У нас просто малость свои понятия.
Че то мало мальски стремное вообще в chroot разработчик загоняет. И то хачят.

лет 15 тому, когда наашу контору взяли за жабра за лицензии и когда нужно было потратить лимон баксов на ЕА, генеральный спросил у меня про альтернативу. чота я засомневался тогда, хотя были уже сообщения о немцах и китайцах в госструктурах, которые на юниксподобные перешли. предложил нанять нормальный консалтинг на предмет альтернативы - согласился и начали искать. но потом бабло победило и взяли ЕА. хотя я до сих пор не до конца уверен - уравнение с многими неизвестными, это спор не в рамках нашего форума.

[Andrew Zhukov]

Гладырь Виталий, on 28 June 2017 - 12:36 PM, said:

лет 15 тому, когда наашу контору взяли за жабра за лицензии и когда нужно было потратить лимон баксов на ЕА, генеральный спросил у меня про альтернативу. чота я засомневался тогда, хотя были уже сообщения о немцах и китайцах в госструктурах, которые на юниксподобные перешли. предложил нанять нормальный консалтинг на предмет альтернативы - согласился и начали искать. но потом бабло победило и взяли ЕА. хотя я до сих пор не до конца уверен - уравнение с многими неизвестными, это спор не в рамках нашего форума.

В Приватбанке весь процессинг на линухе сидит. Я супругу на Ubuntu присадил. Там правда плоттер на XP на VirtualBox ну то таке. Уже привыкла. А то что не привязанно к железу. Хотя для общения с госконторами непонятно как жить. Этих очевидно отделять надо как то со всеми звiтами.

Кстати еще одно малоизвестное преймущество юниксов. Там реестра нет. Все в /home пишется. Поэтому для полного восстановления достаточно чтобы домашний каталог сохранился. Делаеш чистую инсталляшку и все на места встает, ну почти все.

Сообщение отредактировал Andrew Zhukov: 28 June 2017 - 12:50 PM

[Гладырь Виталий]

Andrew Zhukov, on 28 June 2017 - 12:41 PM, said:

В Приватбанке весь процессинг на линухе сидит. Я супругу на Ubuntu присадил. Там правда плоттер на XP на VirtualBox ну то таке. Уже привыкла. А то что не привязанно к железу. Хотя для общения с госконторами непонятно как жить. Этих очевидно отделять надо как то со всеми звiтами.

Кстати еще одно малоизвестное преймущество юниксов. Там реестра нет. Все в /home пишется. Поэтому для полного восстановления достаточно чтобы домашний каталог сохранился. Делаеш чистую инсталляшку и все на места встает, ну почти все.

лень много букв писать - уже написано на эту тему много - однозначного решения нет.  корпорациям нужны гарантии, а не куча дистрибутивов от непонятно кого. либо должно время пройти, дабы уяснить, что какая нибудь калдера или рэд хат - навсегда.

[Andrew Zhukov]

Гладырь Виталий, on 28 June 2017 - 12:58 PM, said:

лень много букв писать - уже написано на эту тему много - однозначного решения нет.  корпорациям нужны гарантии, а не куча дистрибутивов от непонятно кого. либо должно время пройти, дабы уяснить, что какая нибудь калдера или рэд хат - навсегда.

А кальдера интересно еще жива. Ее вроде для корпоративного сегмента пытались поднять. Я когда в Американской конторе работал, там на sco практичски все работало.

Мелкомягкий раздуплился
https://blogs.techne...m-capabilities/

Ну говорит что ничего нового и патчи от марта этого года должны были помочь, ну если усеры не с админскими правами по серверам шарятся.

Сообщение отредактировал Andrew Zhukov: 28 June 2017 - 01:33 PM

[Лушин Ролан]

Andrew Zhukov, on 28 June 2017 - 01:15 PM, said:

Мелкомягкий раздуплился
https://blogs.techne...m-capabilities/

Ну говорит что ничего нового и патчи от марта этого года должны были помочь, ну если усеры не с админскими правами по серверам шарятся.

Не удивлюсь если они через день два опять всех в облако будут тянуть или на десятку соблазнять...

[Евгений Плитко]

Mac Os не знает о вирусах?
Ubuntu дружественная для пользователя, дело привычки - почти Windows.
Debian используют в NASA .

[Владимир Серебринский]

У меня symantec endpoint protection. Полиси зажаты так, что юзвери рыдают. По сетке на машины вход только rdp. Usb отрублен как класс. Сетка сегментирована - 8 портов на асе не хватает. Еще и внеты пришлось ваять. Сам к себе в менеджмент подсеть хожу через впн. Муторно но спасает от неприятностей. Все обновления только через WSUS и только после обкатки на подопытной vm. Ну и Veeam backup каждые 12 часов. 14 копий - 7 дней назад. Даже рабочие станции. Везде вин 10. Выход на интернет через OpenDns с блокировкой 53 порта на асе, умникам вбить 8.8.8.8 нп помогает. Хотя одного поймал на корректировании хост файла. Отрубил ему локального админа.Ну где-то так.

[Andrew Zhukov]

Владимир Серебринский, on 28 June 2017 - 02:21 PM, said:

У меня symantec endpoint protection. Полиси зажаты так, что юзвери рыдают. По сетке на машины вход только rdp. Usb отрублен как класс. Сетка сегментирована - 8 портов на асе не хватает. Еще и внеты пришлось ваять. Сам к себе в менеджмент подсеть хожу через впн. Муторно но спасает от неприятностей. Все обновления только через WSUS и только после обкатки на подопытной vm. Ну и Veeam backup каждые 12 часов. 14 копий - 7 дней назад. Даже рабочие станции. Везде вин 10. Выход на интернет через OpenDns с блокировкой 53 порта на асе, умникам вбить 8.8.8.8 нп помогает. Хотя одного поймал на корректировании хост файла. Отрубил ему локального админа.Ну где-то так.

Зверь а не админ.
Но полюбому от обновления c вирусом от 3-d party не спасло бы. Пришлось бы сервер с backup подымать.
Прикольные пацаны
https://www.me-doc.com.ua/
12 федора Причем народу похер. Гос выходной. Ну или на подвале СБУ уже сидят, бо мордокнига со вчерашнего обеда не обновлялась.

[Гультяева Екатерина Викторовна]

Горжусь нашим форумом, какие все умные и, главное, когда беда, то все помогают своим!! Я конечно, ничего не поняла, мне просто позвонили вчера в 12 и сказали выключить ком, если у меня винда 7 или 10 и включить, когда скажут. Так и сделала. Вирус петя очень символичен, конечно  Путин, ну и умный же зараза. Да пусть уже вирусы, только бы не убивали. Тем более, что Петя одноклассников закрыл..

[Владимир Серебринский]

Andrew Zhukov, on 28 June 2017 - 02:46 PM, said:

Зверь а не админ.
Но полюбому от обновления c вирусом от 3-d party не спасло бы. Пришлось бы сервер с backup подымать.
Прикольные пацаны
https://www.me-doc.com.ua/
12 федора Причем народу похер. Гос выходной. Ну или на подвале СБУ уже сидят, бо мордокнига со вчерашнего обеда не обновлялась.

Оперативненько... OpenDns блокирует доступ. Уже в черных списках.
 6-28-2017 10-07-01 AM.jpg   93.23К   0 Количество загрузок:

[Владимир Горчак]

Поговаривают, что лучшей защитой от вируса Петя-это стакан водки перед монитором. Он своих не трогает, перескакивает на другие компьютеры.

[Гладырь Виталий]

Владимир Серебринский, on 28 June 2017 - 02:21 PM, said:

У меня symantec endpoint protection. Полиси зажаты так, что юзвери рыдают. По сетке на машины вход только rdp. Usb отрублен как класс. Сетка сегментирована - 8 портов на асе не хватает. Еще и внеты пришлось ваять. Сам к себе в менеджмент подсеть хожу через впн. Муторно но спасает от неприятностей. Все обновления только через WSUS и только после обкатки на подопытной vm. Ну и Veeam backup каждые 12 часов. 14 копий - 7 дней назад. Даже рабочие станции. Везде вин 10. Выход на интернет через OpenDns с блокировкой 53 порта на асе, умникам вбить 8.8.8.8 нп помогает. Хотя одного поймал на корректировании хост файла. Отрубил ему локального админа.Ну где-то так.

и только после обкатки на подопытной vm.