Форум OlegON > Компьютеры и Программное обеспечение > Операционные системы и программное обеспечение

ПРЕДУПРЕЖДЕНИЕ! Новый тип "вирусной" атаки : Операционные системы и программное обеспечение

28.03.2024 14:35


11.09.2017 12:40
baggio
 
Цитата:
AndreyZh Тоже мимо... везде своя специфика! На сервере нужно постоянно пастись 1-3 работников одновременно, находящихся... один сейчас в испании
да успокойтесь нет никакой специфики... просто реально нужно заворачивать в vpn.. если уж невтепеж можно было бы rdp в ssh тоннель завернуть...

конечно от заказа конкретного не спасет но от китайский школьников легко...
11.09.2017 12:44
OlegON
 
Цитата:
AndreyZh дающим абсолютную гарантию от проникновения
найдите тех, кто вам это пообещает и это будут мошенники :) ломается все
Цитата:
AndreyZh Linux на сервер предлагали - бред!!! Знакомый прогер работает в конторе со всеми Linux ПК, что не защищает от постоянных атак
Linux значительно проще защитить, чем винду. Спорить не буду. У меня "атаки" приблизительно раз в минуту. Проблем нет, тьфу-тьфу-тьфу.

Рекомендации уже выкладывали, если хотите - заведем тему, еще раз соберем.
11.09.2017 14:53
AndreyZh
 
Извините уважаемые специалисты за тон!!!

Просто в один из "домов" пришла беда, а советы "задним числом" типа, что "надо было это или что за ламеры не продумали" сейчас, когда нужно сначала срочно восстановить нечто работающее, а только затем думать о будущем...

Это синдром сантехника - ИМХО. Все наверняка встречались, когда он приходит, первым делом обсирает пердшественика, а сам не менее кривожопо делает работу, обязательно об чём-то "забыв"?

Возможно зря создал эту тему? Просто встретился абсолютно новый тип атаки на компьютерные ресурсы неизвестный даже лабораториям Касперского и DrWeb - вот и сдуру решил предупредить всех... Возможно и другие с этим встречались, но google "молчит в тряпочку". Пока доступно размещу текст письма "попрошайки" во вложении


Цитата:
baggio да успокойтесь нет никакой специфики... просто реально нужно заворачивать в vpn.. если уж невтепеж можно было бы rdp в ssh тоннель завернуть...

конечно от заказа конкретного не спасет но от китайский школьников легко...
Цитата:
OlegON найдите тех, кто вам это пообещает и это будут мошенники :) ломается все
Linux значительно проще защитить, чем винду. Спорить не буду. У меня "атаки" приблизительно раз в минуту. Проблем нет, тьфу-тьфу-тьфу.

Рекомендации уже выкладывали, если хотите - заведем тему, еще раз соберем.
Повторюсь!!! Спецы AVP & DrWeb не нашли способ проникновения на сервер, а посему вполне допустима установка "подарка" каким-то из бывших работников... и не факт, что вход и закладка был на сервер из интернет, а не на сервер с другого ПК локальной сети... Ни о одного из этих способов вышеприведенные рекомендации не спасут...
Вложения
Тип файла: txt ИНФОРМАЦИЯ!!!.txt (465 байт, 43 просмотров)
11.09.2017 15:35
Fomka
 
AndreyZh, да правильно, что тему создал. Надо людям иногда напоминать. Если кого-то не ломали, это не значит, что не шмогли. Просто не было того кому это было очень сильно нужно.
11.09.2017 16:32
OlegON
 
Ни разу не хотел поглумиться или аналогичное. Взломать могут всех.

Показалось, что заметка выставлена для обсуждения причин. Судя по описанию, причины в неграмотности админов, что я и выдал, не потому, что поиздеваться хочу и не по поводу, а просто описанное странно, как велогонки с закрытыми глазами. Как уже говорил, аналогичное мне попадалось, не один раз. Кстати, во втором разе винду заменили на Линукс и при том, что человек не поменялся, благополучно все работает уже раза в три дольше, чем до этого на винде.

То, что спецы не нашли следов, не говорит ровным счетом ничего. Следы достаточно легко спрятать, а спецы, во-первых, криворукие, есть везде, а во-вторых, бывают немотивированные искать черную кошку в темной комнате. Смысла в этом нет.

Закладка от старых пользователей исключается в случае грамотного админа. От админа, да... Но, ссориться с админом не надо - факт.
11.09.2017 16:44
mamont
 
если письмо попрошайка говорит про облако, может стоит посмотреть детальную статистику от провайдера? может возможно увидеть направление атаки, или место утечки данных?
тем более что инфраструктура провайдера отдельно от клиентской, данные по статистике потереть сложнее.
11.09.2017 16:57
AndreyZh
 
Цитата:
mamont если письмо попрошайка говорит про облако, может стоит посмотреть детальную статистику от провайдера? может возможно увидеть направление атаки, или место утечки данных?
тем более что инфраструктура провайдера отдельно от клиентской, данные по статистике потереть сложнее.
Старался очень подробно описать ситуацию, например:

Цитата:
AndreyZh ...Червь из интернет по адресу наткнулся на сервер (хотя возможно всё было известно, т.к. была кучка недоброжелателей, знающих атрибуты входа на него); "штатными" средствами установлена "нормальная" программа (следы, время её установки определились), которая удалила, перезаписав сектора "мусором" всю информацию с доступных из сервера расшаренных ресурсов; затем она деинсталировала себя и стерла свои файлы.

На каждом стертом диске оставлен текстовый файл с просьбой о письме, если нужна инфа (по письму о деньгах за якобы возврат данных из облака, куда она типа сохранила данные). Конечно это было враньё: уничтожено 5 терабайт инфы, со скоростью провайдера это качается несколько суток, а программа уничтожение "прожила" на сервере 1 час...
P.S. Службы техподдержки Каспера и DrWeb реально пытались (возможно недостаточно?) помочь. Однако с их точки зрения - это не вирус!
11.09.2017 17:14
OlegON
 
Цитата:
AndreyZh Однако с их точки зрения - это не вирус!
я же дал диагноз, даже бесплатно :)
Цитата:
OlegON Судя по всему, не вирус и не червь.
не думаю, что провайдера интересует что-то конкретное у пользователя прикрывать и мониторить... у него и так забот хватает...
12.09.2017 00:35
baggio
 
Цитата:
Сообщение от AndreyZh ➤
...Червь из интернет по адресу наткнулся на сервер (хотя возможно всё было известно, т.к. была кучка недоброжелателей, знающих атрибуты входа на него); "штатными" средствами установлена "нормальная" программа (следы, время её установки определились), которая удалила, перезаписав сектора "мусором" всю информацию с доступных из сервера расшаренных ресурсов; затем она деинсталировала себя и стерла свои файлы.

На каждом стертом диске оставлен текстовый файл с просьбой о письме, если нужна инфа (по письму о деньгах за якобы возврат данных из облака, куда она типа сохранила данные). Конечно это было враньё: уничтожено 5 терабайт инфы, со скоростью провайдера это качается несколько суток, а программа уничтожение "прожила" на сервере 1 час...
Дак вам про то и толкуют что:

а) рдп наружу низя... оно дырявое было\есть\будет
б) да это не вирус... пока нет вирусов с искуственным интелектом которые сами ставят программы и избирательно подчищяют данные...
в) логическим выводом должно стать то что кто то "слил" данные для входа и пришел "писец" в лице конкретного человека... а не вируса с ИИ...
г) все остальное лишь попытка замаскировать все под вирус...

я думаю вам и самим это понятно... просто зачем писать и валить на вирусы?
19.09.2017 08:55
AndreyZh
 
Вот уже на 80% восстановлена важная информация... а с остальным... но поднял тему не по этому... Так и не разрешенным остался вопрос - убран или затаился зловред в системе? Посему пока выключаем технику на ночь и на выходные, а на отключаемом и локальном внешнем диске создаем ежедневные копии важных данных. Однако и не по этому поднял тему!

Одна из моих "любимых" и считаю полезных программ CCleaner, которая стоит почти на всех ПК и серверах сетей, правда, если устанавливаю я, то, как правило отключаю автообновление. Так вот и новость:

Цитата:
Зараженную утилиту CCleaner скачало более двух миллионов пользователей

Популярная утилита CCleaner (сокращение от «Crap Cleaner»), которая должна очищать систему для повышения ее производительности, была взломана для распространения вредоносного ПО на миллионы компьютеров пользователей по всему миру.

На что способен взломанный CCleaner?

Одна из версий чрезвычайно популярного приложения оказалось заражена зловредом, позволяющим загружать и устанавливать другое подозрительное программное обеспечение, в том числе, для вымогательства и шпионажа.

На данный момент известно, что вредоносная программа была также запрограммирована на сбор самых разных пользовательских данных, в их числе:

- Имя компьютера
- Список установленных программ, включая обновления Windows
- Список запущенных процессов
- MAC-адреса первых трех сетевых адаптеров
- Дополнительная информация о работе системы
Подробнее:

P.S. Таким образом и эта програмулина могла стать инициатором и швейцаром атаки... и от неё не было возможности защититься штатными средствами?
Часовой пояс GMT +3, время: 14:35.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.