|
Вот и нас хакнули. 🠗 (длинная ветка 24.01.2014 00:00) | ☑ | ||
---|---|---|---|---|
0
Godofsin
13.01.14
✎
06:58
|
Поздравляйте. В 4 утра ломанули админку на Сервере 2003, спокойно установили программу шифрования и зашифровали все диски, кроме системного. Под админом в автозагрузке текстовичок с указанием киви-кошелька, куда платить за дешифровку. Приехали, млять. Пошли башлять.
Кто сталкивался? Бабло уйдет в никуда или таки пришлют ключ дешифрования? |
|||
1
kokamoonga
13.01.14
✎
07:01
|
(0) Ну раз вы настаиваете... Поздравляем!
Как ломанули-то? |
|||
2
laeg
13.01.14
✎
07:03
|
(0) Сталкиваться не сталкивались лично, но те кто платил - кидалова не было.
|
|||
3
Godofsin
13.01.14
✎
07:05
|
(1) Идет разбор. Пока одна версия: проникли на пользовательскую станцию, с нее по РДП на сервер, перебрали учетки. Как подобрали пароль на админку - загадка.
|
|||
4
echo77
13.01.14
✎
07:06
|
(0)Заявление в полицию пишите
|
|||
5
Godofsin
13.01.14
✎
07:07
|
(4) Да, уже в процессе.
|
|||
6
skunk
13.01.14
✎
07:08
|
версию с трояном отметаете изначально?
|
|||
7
skunk
13.01.14
✎
07:08
|
кстати можете не платить
|
|||
8
Godofsin
13.01.14
✎
07:08
|
(6) Нет, но признаков пока не нашли.
|
|||
9
Godofsin
13.01.14
✎
07:08
|
(7) Почему? Кинут?
|
|||
10
mehfk
13.01.14
✎
07:08
|
(0) Бэкапы тоже зашифровали?
|
|||
11
Godofsin
13.01.14
✎
07:09
|
(10) Да, причем на НАСе отдельном тоже зашифрованно.
|
|||
12
skunk
13.01.14
✎
07:11
|
(9)угу ... если не идиоты ... обратная связь лишние улики против них ... плюс вероятность быть уличенными
|
|||
13
vqwy
13.01.14
✎
07:11
|
(0) я сталкивался
все прислали, сц..и убить бы их всех вот кусок переписки давайте реквизиты для перечисления. может скидку сделаете? 12.09.2012 11:36, John Silver пишет: > В течении нескольких часов до 3 ч, как правило. > > >> >> ----- Original Message ----- >> >> From: [email protected] >> >> Sent: 09/12/12 06:11 AM >> >> To: John Silver >> >> Subject: Re: Fwd: ДЕШИФРАТОР >> >> После перевода денег сколько нам ждать дешифратор? >> >> Tue, 11 Sep 2012 14:52:49 -0400 от "John Silver" <[email protected]>: >> >> Здравствуйте, дорогие советские друзя! Для разблокировки и получения дешифратора, Вам необо времениько пходимо >> пожертвовать детям африки 10000 рублей при помощи одной из платежных систем: Яндекс деньги ,Деньги@mail.ru . >> Сообщите нам какой метод оплаты вам приемлем.Так же для проверки, >> вы можете прислать нам зашифрованный файл, мы дешифруем и вышлем ваш файл в исходном состоянии. >> >> >> >>> >>> ----- Original Message ----- >>> >>> From: [email protected] >>> >>> Sent: 09/11/12 06:15 PM >>> >>> To: [email protected] >>> >>> Subject: ДЕШИФРАТОР >>> >>> >>> >>> Доброго времени суток вам господа пираты, сколько стоит ваш дешифратор >>> для компании номер 48478314 |
|||
14
KRV
13.01.14
✎
07:12
|
Сочувствую.. интересно - а хоть одного шифровальщика вообще наши суперспецслужбы поймали?
|
|||
15
vqwy
13.01.14
✎
07:13
|
(14) неа, им не до этого, они курильщиков ловят
|
|||
16
Ranger_83
13.01.14
✎
07:20
|
(13) Опыт денег стоит
|
|||
17
zzorky
13.01.14
✎
07:20
|
(15) гыггы, точняк
|
|||
18
skunk
13.01.14
✎
07:21
|
||||
19
fmrlex
13.01.14
✎
07:21
|
Почему учетка "Администратор" не была отключена?
|
|||
20
Ranger_83
13.01.14
✎
07:21
|
Вот если бы данные грохнули...а так ткнули носом
|
|||
21
skunk
13.01.14
✎
07:22
|
||||
22
Гобсек
13.01.14
✎
07:25
|
Смешные деньги 10000 руб
|
|||
23
Гобсек
13.01.14
✎
07:26
|
(22)+ Кто-то рискует свободой за эти деньги. А, может быть, надеется, что его поймают и он прославится?
|
|||
24
vqwy
13.01.14
✎
07:28
|
(0) Скачать экзешник с трояном ном согли пользователи? у нас в этом причина была.
|
|||
25
vqwy
13.01.14
✎
07:28
|
* не могли
|
|||
26
Эмбеддер
13.01.14
✎
07:29
|
(23) кто-то за эти деньги рискуя жизнью, спускается в шахту целую неделю
|
|||
27
skunk
13.01.14
✎
07:33
|
(24)да тут сразу понятно ... откуда ноги у данного взлома ...
забирать права админов, даже локальных, надо у пользователей в сети |
|||
28
Godofsin
13.01.14
✎
07:34
|
(19) Отключена.
|
|||
29
Godofsin
13.01.14
✎
07:35
|
(25) Могли, конешно. Так то везде каспер стоит. Видимо, просочилось как -то?
|
|||
30
Godofsin
13.01.14
✎
07:36
|
Все же в инете пишут, что не кидают после оплаты.
|
|||
31
fmrlex
13.01.14
✎
07:36
|
(28) Странно тогда, что подобрали имя учетки админа + его пароль.
|
|||
32
vqwy
13.01.14
✎
07:37
|
(29) у нас одна бухша скачала файл -архив с вложенным exe с названием типа Претензия от ОАО Сбербанк или типа того.
После запуска ничего не произошло. Через три дня всё произошло. |
|||
33
Эмбеддер
13.01.14
✎
07:37
|
(31) значит, репутацией дорожат
|
|||
34
Эмбеддер
13.01.14
✎
07:37
|
(31) к (30)
|
|||
35
Нууф-Нууф
13.01.14
✎
07:37
|
Кстати хороший бизнес походу
|
|||
36
Godofsin
13.01.14
✎
07:38
|
(31) Нууу... у нас учетка админа так и называется "Admin". Так что тут много ума не надо было. Вот как пароль взломали...
|
|||
37
Godofsin
13.01.14
✎
07:38
|
(35) +1
|
|||
38
Godofsin
13.01.14
✎
07:38
|
(33) Как доверенные компаньоны =))))
|
|||
39
Sorm
13.01.14
✎
07:38
|
(0) "В 4 утра ломанули админку на Сервере 2003, спокойно установили программу шифрования и зашифровали все диски, кроме системного." - это прелЭстно..
|
|||
40
Эмбеддер
13.01.14
✎
07:39
|
(36) а чтобы зашифровать файлы файловой базы, даже не надо иметь права админа
|
|||
41
Мэс33
13.01.14
✎
07:39
|
Весело.
|
|||
42
Сержант 1С
13.01.14
✎
07:42
|
этот тип вируса как правило глубоко не копает, использует простейшие ошибки админов - отсутствие парольной политики, стандартный порт рдп, отсутствие мониторинга.
тупо подбирают по buh1, buh2, admin. И да, бекапы должны писаться под совсем другим аккаунтом, и доступ только из-под него |
|||
43
Godofsin
13.01.14
✎
07:42
|
(39) Угу, сидим, умиляемся...
|
|||
44
Godofsin
13.01.14
✎
07:43
|
(42) Все верно, нарушения у нас в безопасности тут же всплыли. Кой чья попа скоро будет намылена.
|
|||
45
Эмбеддер
13.01.14
✎
07:43
|
чет никто не написал, что если у вас есть лицензионный каспер или дрвеб, напишите в их поддержку, они все починят бесплатно
|
|||
46
Сержант 1С
13.01.14
✎
07:44
|
(36) LOL, вот и причина. И пароль 123, или что-нибудь подобное. За неделю отбрутфорсили, никто ж не смотрит за этим..
|
|||
47
Sorm
13.01.14
✎
07:44
|
(43) Ну а списаться со службой касперского или там доктора Веба на предмет расшифровки - не?
|
|||
48
fmrlex
13.01.14
✎
07:45
|
(40) Ты еще скажи, что к архивам все юзеры доступ имеют.
(36) Ну это ж основы. Админские записи - все со странными именами + сильные пароли. |
|||
49
skunk
13.01.14
✎
07:45
|
(29)лучше антивирус это хандс анд хиад ... все остальное для введения в заблуждение
|
|||
50
vqwy
13.01.14
✎
07:45
|
вон тоже прецедент был, помню
Вирус, шифрующий файлы... |
|||
51
Сержант 1С
13.01.14
✎
07:45
|
у меня знакомые дважды платили. Второй раз уже 15, как постоянные клиенты
|
|||
52
mishaPH
модератор
13.01.14
✎
07:46
|
У нас была таже хрень. обошлось в 500р покупки лицензии к касперскому. В общем обратились к ним - они что-то там пару суток подумали и выдали нам дешифратор.
|
|||
53
Godofsin
13.01.14
✎
07:46
|
(51) хах ))) Скидку дали? или наоборот накинули?
|
|||
54
Sorm
13.01.14
✎
07:46
|
(46) Там, видать, мошшшшный пароль стоял, если смогли отбрутфорсить на 2003 серваке. Который, кстати, даже в конфе по умолчанию противостоит брутфорсу паузами(правда, проверяет по ip)
|
|||
55
Нууф-Нууф
13.01.14
✎
07:47
|
кстати, а почему суммы такие маленькие? чтобы полиция не связывалась? значит берут количеством?
|
|||
56
Godofsin
13.01.14
✎
07:48
|
(49) +1.
|
|||
57
Godofsin
13.01.14
✎
07:49
|
(52) У вас видимо файлы были, которые вы на анализ отдали. У нас же полностью зашифрованы диски.
|
|||
58
mishaPH
модератор
13.01.14
✎
07:54
|
(57) да файлы
|
|||
59
mishaPH
модератор
13.01.14
✎
07:54
|
бэкапы делать надо правильно!
|
|||
60
Godofsin
13.01.14
✎
08:00
|
(59) Ну вот. Админам нашим урок будет.
|
|||
61
mishaPH
модератор
13.01.14
✎
08:03
|
(60) нашим тоже был ;) правда зашифровали бузу кторую они бэкап не делали. остановился месяц назад и не проверили. Но все обошлось
|
|||
62
Эмбеддер
13.01.14
✎
08:03
|
(57) это как, показывает что диск не отформатирован?
|
|||
63
organizm
13.01.14
✎
08:08
|
а не думали, что завелась крыса?..
|
|||
64
Мэс33
13.01.14
✎
08:08
|
(51) скидочная система? :-)
В конце концов выдали им бонусную карту? |
|||
65
vde69
модератор
13.01.14
✎
08:10
|
(0) Вам еще нужен анонимный инет? ведь куда проще было-бы если менты могли брать тепленькими на обналичке....
|
|||
66
vqwy
13.01.14
✎
08:10
|
(0) таки сколько с вас денег хотят?
|
|||
67
skunk
13.01.14
✎
08:10
|
(63)зачем им крыса, когда 90% пользователей все сделают безвозмездно
|
|||
68
GStiv
13.01.14
✎
08:12
|
Была ситуация на 2-фирмах, пароль подбирали брутфорсом, и даже найдя любой пароль не админа под пользователем тоже все хорошо шифруется, как правило пароль подбирают по ночам и по выходным, на одной фирме работа без выходных и в воскресенье в 2 часа дня запустили шифровальщик. В базе в которой работали сразу вышибло (файловая) после дешифровки база мертвая. востановили из копии. Платили в принципе везде, но через WebMoney (с протекцией сделки). Код протекции мы не давали в принципе деньги вернули.
Поставили в групповой политики блокировка пользователя при трех неправильных попытках входа и разблокировку через восемь часов, пока держимся хотя на экране входа каждое утро пишет количество попыток входа. |
|||
69
Принт
13.01.14
✎
08:14
|
(65) а он у них был?
|
|||
70
КонецЦикла
13.01.14
✎
08:16
|
(63) Бред, из-за 10 тыс. руб. так подставляться
|
|||
71
Feunoir
13.01.14
✎
08:18
|
||||
72
spectre1978
13.01.14
✎
08:19
|
(68) а виндовый сервак высунут наружу?
|
|||
73
DenLaDen
13.01.14
✎
08:21
|
(0) Когда нас хакали, мы платили, мы попались еще на заре этого бизнеса и стоило нам 2 тр за раздел.
В отдел К заявление писали, они приходили, поглядели, но ничего не сделали, а передали дело в обэп. А те в свою очередь нас пригласили к себе и попросили закрыть дело нафиг :) |
|||
74
1Сергей
13.01.14
✎
08:23
|
(18) штраф 40 штук и подписка о невыезде???
афигеть! лучше б пальцем пригрозили - эффективнее было бы |
|||
75
spectre1978
13.01.14
✎
08:24
|
(71) БЕЗУСЛОВНО И ТОЛЬКО ТАК НАДО ДЕЛАТЬ!!!
|
|||
76
spectre1978
13.01.14
✎
08:24
|
+ (71) причем очень желательно чтобы VPN был аппаратным на отдельной железке, а не какой-нибудь виндовый или OpenVPN
|
|||
77
Эмбеддер
13.01.14
✎
08:26
|
(76) а что делать с пользователями, которые выходят с сервера в интернет и открывают трояны?
|
|||
78
Принт
13.01.14
✎
08:27
|
(75) только оно в данной ситуации не помогло бы
|
|||
79
1Сергей
13.01.14
✎
08:28
|
(77) пальцы топором отрубать
|
|||
80
spectre1978
13.01.14
✎
08:28
|
(76) с сервера в инет не ходить, браузер запретить политикой, разрешить только 1Ске ходить по своим нуждам.
А на рабочках работать только под юзером и антивирус. А в идеале порубать флешки. |
|||
81
spectre1978
13.01.14
✎
08:28
|
(75) почему? Я так понял, снаружи влезли
|
|||
82
skunk
13.01.14
✎
08:29
|
(77)что делать с админами разрешающие пользователям лаизть в инет с серверов
|
|||
83
fmrlex
13.01.14
✎
08:30
|
(71) Грамотная политика на сервере + бекапы - этого достаточно.
|
|||
84
spectre1978
13.01.14
✎
08:30
|
Кстати, самый простой вариант чтобы в инет с сервера не ходили (не всегда, правда, возможный) - 1С шеллом поставить. Т.е. заходит юзер в терминал - у него сразу 1С и кроме нее больше ничего.
|
|||
85
Принт
13.01.14
✎
08:31
|
(81) см (3)
|
|||
86
Мэс33
13.01.14
✎
08:34
|
(84) Легко обходится.
|
|||
87
Эмбеддер
13.01.14
✎
08:39
|
(86) речь не о пользователях хакерах, а обычных. которые случайно запустили то, что не должны были
|
|||
88
Godofsin
13.01.14
✎
08:39
|
(62) Да
|
|||
89
Zamestas
13.01.14
✎
08:39
|
(84) Ctrl+Shift+Esc нажми в терминале - много нового узнаешь.
|
|||
90
Godofsin
13.01.14
✎
08:40
|
(66) 7000
|
|||
91
Zamestas
13.01.14
✎
08:40
|
(88) А антивирь какой нить был на сервере?
|
|||
92
Принт
13.01.14
✎
08:40
|
(87) от этих пользователей можно чего угодно ожидать
|
|||
93
Godofsin
13.01.14
✎
08:41
|
(91) Да, каспер стоит
|
|||
94
spectre1978
13.01.14
✎
08:42
|
(89) это да, но большинство людей ленивы. Если решение не будет лежать на поверхности, никто не полезет, а полезут с рабочки, где ярлык браузера на рабочем столе
|
|||
95
Godofsin
13.01.14
✎
08:42
|
У нас с сервака в инет доступ закрыт
|
|||
96
spectre1978
13.01.14
✎
08:44
|
(95) не всегда можно. Если 1С обновляет курсы валют или лазит в EDI или еще чего такого делает - тогда инет нужен.
|
|||
97
Zamestas
13.01.14
✎
08:47
|
(95) А инет через что раздается?
|
|||
98
spectre1978
13.01.14
✎
08:51
|
(97) Ну, например, можно раздавать с той же железки которая VPN обеспечивает. Гуглить для примера: Zyxel ZyWall USG, Сisco series 800, D-Link DFL-260
|
|||
99
Godofsin
13.01.14
✎
08:57
|
(98) Так и есть
|
|||
100
Zamestas
13.01.14
✎
08:57
|
(98) Из перечисленного ставим циски 8хх (или старше, остальное бред.
|
|||
101
Zamestas
13.01.14
✎
08:57
|
(99) Дык логи куда нить скидываются или нет?
|
|||
102
Godofsin
13.01.14
✎
08:59
|
(101) Да я хз))) щас сисадмины вернутся от гендира, попы зашьют, я у них спрошу =)))
|
|||
103
dmpl
13.01.14
✎
08:59
|
(29) Сигнатурный антивирус абсолютно бесполезен против индивидуальных вирусов. Пока он не попадется разработчикам и они не внесут его в базу - вирус вирусом не считается ;)
|
|||
104
spectre1978
13.01.14
✎
08:59
|
(100) я бы не сказал. Из перечисленного лично мне очень нравится Zywall USG серия
|
|||
105
spectre1978
13.01.14
✎
09:00
|
+ (100) циско очень хорошая железка, но "политика партии", то бишь компании циско, скажем так, не способствует внедрению их решений в небольшие компании
|
|||
106
spectre1978
13.01.14
✎
09:01
|
+ (100) и дело даже не в цене
|
|||
107
Zamestas
13.01.14
✎
09:03
|
(105) Если в конторе больше 10 машин + хотят VPN - ставим циску. Нет денег/желания: Нет ножек - нет варенья.
|
|||
108
spectre1978
13.01.14
✎
09:05
|
(101) Если нужно - можно организовать на сторонней машине чтобы опрашивала и стягивала лог, по крайней мере для ZyWall такое решение видел. Другой вопрос - нахрен оно надо, если канал безлимитный
|
|||
109
spectre1978
13.01.14
✎
09:07
|
(107) я спорить не собираюсь, но если нет денег, можно рассмотреть другие варианты и будет ничуть не хуже.
|
|||
110
Zamestas
13.01.14
✎
09:08
|
(108) Если кто-то устойчиво стучится снаружи, ночью на 3389/80/8080, или из сети - админ должен начинать завязывать с гамесами и начинать бдеть.
|
|||
111
spectre1978
13.01.14
✎
09:08
|
(110) а вот это верно
|
|||
112
modestry
13.01.14
✎
09:09
|
(0) админов уволить
|
|||
113
Zamestas
13.01.14
✎
09:11
|
(112) И потом долго и упорно понимать, что, где и как они настроили и почему оно работает?
|
|||
114
Fish
13.01.14
✎
09:11
|
(113) Значит, дать им премию. :)
|
|||
115
Принт
13.01.14
✎
09:11
|
(112) следующим повысить з/п в 2 раза
|
|||
116
Godofsin
13.01.14
✎
09:13
|
(112) Косяк с их стороны конечно есть, но парни на самом деле толковые, не тупые. Думаю, премии лишат и сумму за дешифровку вычтут.
|
|||
117
Godofsin
13.01.14
✎
09:14
|
(113) +1
|
|||
118
Принт
13.01.14
✎
09:14
|
(110) мне на домашний комп, подключенный через GPRS к инету, стучали в 3389/80/8080, преимущественно из китая. мне нужно было бдеть, или нет?
|
|||
119
dmpl
13.01.14
✎
09:15
|
(114) Приковать к батарее в подвале и не отпускать, пока не расшифруют.
|
|||
120
Zamestas
13.01.14
✎
09:19
|
(118) Если не боишься, что прон зашифруют - то не нужно.
|
|||
121
Принт
13.01.14
✎
09:19
|
(120) конечно нет - у меня же его не было
|
|||
122
NcSteel
13.01.14
✎
09:20
|
(120) Прон надо хранить на отдельном серваке с входом только с проверкой сетчатки глаза ...
|
|||
123
ИС-2
naïve
13.01.14
✎
09:21
|
(116) если, толковые, то почему не поставили настройку ограничивать количество попыток ввода пароля?
Думаю сейчас начнется закручивание гаек по безопастности. Вот пользователи взвоют |
|||
124
neckto
13.01.14
✎
09:22
|
(0) У одного клиента после Ddos атаки на сервер, в базе 1С появилась платежка с очень красивой суммой к оплате. Хорошо во время заметили...
|
|||
125
Godofsin
13.01.14
✎
09:22
|
(123) Ну все ошибаются. ХЗ короче, я в этих делах не специалист особо.
|
|||
126
Godofsin
13.01.14
✎
09:23
|
(124) Прикольно )))
|
|||
127
dmpl
13.01.14
✎
09:23
|
(124) Заметили потому что денег на счету не хватило?
|
|||
128
ЧеловекДуши
13.01.14
✎
09:24
|
(0) Бу га га... и ибо нефик...
В ментовку заявление не забудьте кинуть :) А то вас еще много раз будут взламывать :) |
|||
129
neckto
13.01.14
✎
09:25
|
(127) Нет. Заметили, потому что заметили. Для них платеж в 500-600 тыров легко затеряется в реестре платежек.
|
|||
130
Godofsin
13.01.14
✎
09:26
|
(129) Мож кто из бухов решил под шумок себе благосостояние улучшить? =)
|
|||
131
Godofsin
13.01.14
✎
09:26
|
(128) С ментовки уже приезжали.
|
|||
132
neckto
13.01.14
✎
09:26
|
(130) :)
|
|||
133
Zamestas
13.01.14
✎
09:26
|
(123) Вероятно админский пароль не подбирали - как провалились на уровень ядра - другой вопрос.
(125) Поинтересуйся у админов - перебор пароля был или нет - если конечно логи не потерли. |
|||
134
Сержант 1С
13.01.14
✎
09:27
|
(131) мордой в пол, вывезли серверы? )
|
|||
135
dmpl
13.01.14
✎
09:27
|
(129) Хорошо клиент живет :) Обычно деньги на счету расписаны вперед, и даже 10 тыр. не проскочит...
|
|||
136
dmpl
13.01.14
✎
09:28
|
(134) Обнаружили шифровальщик и обвинили в нарушении авторских и смежных прав :) т.к. на него не было документов.
|
|||
137
ЧеловекДуши
13.01.14
✎
09:28
|
(22) Если таких лохов, как в (0) будет 100,
то это уже 1 000 000 Такая сумма вам уже не кажется смешной? |
|||
138
Zamestas
13.01.14
✎
09:28
|
(124) - А что это за позиция в счете: Прокатило - 100000 руб.
- Ну не прокатило - вычеркните. |
|||
139
Godofsin
13.01.14
✎
09:29
|
(133) Логи все стерты. Начинаются с момента установки пргораммы шифрования.
|
|||
140
Принт
13.01.14
✎
09:29
|
(133) ну ты расскажи про связь 3389/80/8080 с шифрованием?
|
|||
141
Godofsin
13.01.14
✎
09:30
|
(134) =) Не, посмотрели логи и уехали. Сказали, что шансов маловато.
|
|||
142
stix2010
13.01.14
✎
09:30
|
(0) есть админы, которые делают бэкапы и админы, которые будут делать их
|
|||
143
ЧеловекДуши
13.01.14
✎
09:30
|
(130) Смешно, смешно :)
|
|||
144
dmpl
13.01.14
✎
09:30
|
(141) Дык а СОРМ у провайдера?
|
|||
145
Godofsin
13.01.14
✎
09:31
|
(144) Запросили.
|
|||
146
Сержант 1С
13.01.14
✎
09:31
|
(144) СОРМ не для того делали, чтоб ловить всяких воришек )
|
|||
147
ЧеловекДуши
13.01.14
✎
09:31
|
(139) А что логи то дадут?
Тебе щас придется все сервера переустанавливать, что бы не словить еще 10000 через годик :) Да и пароли менять... :) |
|||
148
Godofsin
13.01.14
✎
09:32
|
(142) Бекапы тоже зашифрованы.
|
|||
149
sf
13.01.14
✎
09:32
|
(141) автор, наружу порт какой открыт для рдп?
(146) +500 |
|||
150
Godofsin
13.01.14
✎
09:32
|
(147) Мне - вряд ли. А вот сисадминам нашим вполне.
|
|||
151
spectre1978
13.01.14
✎
09:32
|
(110) если вы посмотрите лог любого файрволла, вы, кстати, обалдеете от того сколько туда ломится разных, в основном китайских товарищей. К примеру, не так давно видел как на мне на SSH полночи пользователя/пароль перебирали. Ну и что? Пусть их долбятся. Главное чтобы железка надежная была, пароль хороший и софт обновлялся регулярно.
|
|||
152
ЧеловекДуши
13.01.14
✎
09:32
|
(148) Где же ты бекапы то хранил? :)
|
|||
153
Vol71
13.01.14
✎
09:32
|
данные дешифровали? Попалась одна из обслуживаемых контор так по лету, данные дешифровали утилитами от каспера
|
|||
154
Godofsin
13.01.14
✎
09:33
|
(152) на НАСе
|
|||
155
stix2010
13.01.14
✎
09:33
|
(148) хорошие бэкапы по smb недоступны
|
|||
156
sf
13.01.14
✎
09:33
|
(152) если бекапы доступны с учетки, которую сломали (сетевой диск / шара и т.п.), то их тоже шифруют
|
|||
157
Godofsin
13.01.14
✎
09:34
|
(149) Нет, наружу по рдп закрыт. Единственно только с пользовательской машины внутри локалки. Или через ВПН, что ваще волшебно.
|
|||
158
Нууф-Нууф
13.01.14
✎
09:34
|
бекапы нужно хранить на флешке, флешку в кармане
|
|||
159
Zamestas
13.01.14
✎
09:35
|
(158) А потом её жена постирает...
|
|||
160
ЧеловекДуши
13.01.14
✎
09:35
|
Ээххх... "счастливая" жизнь у админов, настала :)
С одной стороны ОБЕП, с другой шифраторы... |
|||
161
ЧеловекДуши
13.01.14
✎
09:37
|
(157) Как правило, бухи, которые занимаются банковскими операциями имеют Админские права, ибо банковские программы любят полный доступ к системе :)
|
|||
162
ЧеловекДуши
13.01.14
✎
09:37
|
+(157) А уж буху подцепить трояна, проще простого :)
|
|||
163
Godofsin
13.01.14
✎
09:38
|
(161) Банк-клиенты у нас отдельно стоят, не на сервере.
|
|||
164
oslokot
13.01.14
✎
09:38
|
Все не читал. А что, на серваке есть открытый наружу порт рдп?
|
|||
165
Godofsin
13.01.14
✎
09:38
|
(164) Нет.
|
|||
166
Принт
13.01.14
✎
09:38
|
(161) хрена себе у вас банковские программы
|
|||
167
sf
13.01.14
✎
09:40
|
(157) т.е. в (0) " В 4 утра ломанули админку на Сервере 2003, спокойно установили программу шифрования и зашифровали все диски, кроме системного. "
можно читать, как действия были из локалки: троян / вирус и т.п. печально все это. кстати, что ребята с Украины, было? |
|||
168
Zamestas
13.01.14
✎
09:40
|
(162) У меня некоторые товарищи на виртуальных серверах сидят от греха подальше.
|
|||
169
dmpl
13.01.14
✎
09:41
|
(146) А тренироваться на ком? ;)
(158) А если один бэкап - 500 гиг? |
|||
170
Godofsin
13.01.14
✎
09:42
|
(167) Да, по ходу дела так.
|
|||
171
Принт
13.01.14
✎
09:46
|
(168) помогает от шифрования данных?
|
|||
172
DmitriyDI
13.01.14
✎
09:49
|
(169) если бэкап 500 то база сколько 500 терабайт ?
|
|||
173
Godofsin
13.01.14
✎
09:50
|
(172) дык база не одна может быть
|
|||
174
ЧеловекДуши
13.01.14
✎
09:51
|
(163) Ты сам писал, что РДП только доступно через локальную сеть. Следовательно что бы к вам попасть, нужно иметь БекДор на рабочей станции :)
|
|||
175
ЧеловекДуши
13.01.14
✎
09:52
|
+(163) Пароль мог быть и админским, ты мог под своей учеткой что либо настраивать :)
Через какой либо Кей Логер вас могли пасти не один день :) |
|||
176
Godofsin
13.01.14
✎
09:52
|
(174) Ну да. Ну я понял к чему ты клонишь. Как вариант, вполне может быть. У нас и кроме бухов куча народу, кто мог себе трояна на раб. станцию закатать.
|
|||
177
rphosts
13.01.14
✎
09:53
|
(77) бить по рукам тем кто не закрыл интернет с сервера. Бить катетом тем кто ходит в тырнет с сервера
|
|||
178
ЧеловекДуши
13.01.14
✎
09:53
|
(172) Шифруют только заголовки файлов, ну могут еще части тела зашифровать :)
|
|||
179
Новиков
13.01.14
✎
09:54
|
(0) Обратитесь в каспера. Но скорее всего, придется платить, если данные нужны. У нас была похожая ситуация - зашифровалось сетевое хранилище. Вроде тыщу платили.
|
|||
180
Принт
13.01.14
✎
09:54
|
(157) а на впн-ах у вас кто сидит?
|
|||
181
ЧеловекДуши
13.01.14
✎
09:54
|
(176) И Бек дор у вас еще открыт :)
А логи подтерты, что бы вы не закрыли лозейку :) |
|||
182
GStiv
13.01.14
✎
09:55
|
А полицию не смущает, что номер Qiwi кошелька обычно привязан к сотовому, пусть даже левый номер, но это сотовый
|
|||
183
Godofsin
13.01.14
✎
09:55
|
(181) Вполне возможно. Первое, что сделали - отключили сервак от сети.
|
|||
184
Godofsin
13.01.14
✎
09:55
|
(182) Определили, как Казахстан.
|
|||
185
Godofsin
13.01.14
✎
09:56
|
(180) ВПН редко включается. Например я могу по ВПН подключаться.
|
|||
186
Новиков
13.01.14
✎
09:56
|
(181) как объяснили нам специалисты по ИБ, наличие логов вообще ни о чем не говорит, т.к. они скорее всего будут заменены. Чтобы такого не было, нужно производить специальную настройку, что естественно, обычные системные администраторы, скорее всего не делают.
|
|||
187
пипец
13.01.14
✎
09:57
|
(89) контрл альт енд - тоже не плохо
ЗЫ понаставят тимвьюверов - потом жалуются |
|||
188
Zamestas
13.01.14
✎
09:59
|
(185) Вообщем надо админам запретить вход через службу терминалов - только локально, надо удаленно пусть ставят IP KVM.
|
|||
189
Sorm
13.01.14
✎
10:00
|
(110) Да постоянно ломятся:):) Да только кто сказал, что у тебя СЛУЖЕБНЫЕ сервисы должны висеть на стандартных портах?
|
|||
190
Godofsin
13.01.14
✎
10:02
|
(188) Ага. Думаю уровень безопасности подкрутят после этого случая.
|
|||
191
ЧеловекДуши
13.01.14
✎
10:05
|
(190) Сомневаюсь :)
|
|||
192
Zamestas
13.01.14
✎
10:07
|
(189) У меня нуружу только VPN торчит.
|
|||
193
Sorm
13.01.14
✎
10:08
|
(190) Ну как всегда - всем поголовно запретят ходить в инет, кроме почты... Но потихоньку все вернется на круги своя...
|
|||
194
Aprobator
13.01.14
✎
10:10
|
(0) Ищите засланного казачка с админскими правамию
|
|||
195
Sorm
13.01.14
✎
10:10
|
(192) Ну так аналогично... Но некоторые не особо искушенные товарищи вывешивают RDP, радмины, внутренние сервера... на стандартные порты:). После чего удивляются:). На предпоследнем блекхате вроде показывали, как падает сервак от неправильного пакета на RDP.
|
|||
196
Принт
13.01.14
✎
10:17
|
(195) порты просканят, если надо
|
|||
197
Zamestas
13.01.14
✎
10:27
|
(196) Оно долго по времени - если начали сканить все порты - значит ооочень надо - админ должен отреагировать на это.
|
|||
198
su_mai
13.01.14
✎
10:27
|
А они вам не говорили в Мисту не обращаться и т.п?
|
|||
199
djekting
13.01.14
✎
10:31
|
порты закрывать надо
|
|||
200
vlandev
13.01.14
✎
10:33
|
В принципе время взлома есть , а логи может полиция у провайдера запросить , у провайдеров всегда хранятся довольно таки продолжительное время лог соединений. По этому логу плюс времени плюс количеству пакетов по GRE (или чо там в качестве ВПН используется) можно вычислить IP атакующего. Другое дело что толку от этого может быть ноль если атакующий использовал анонимайзеры или какойнибудь ботнет , но все равно полиция этот вариант должна проверить , вдруг получится выйти на провайдера атакующего и поиметь засранца.
|
|||
201
Oftan_Idy
13.01.14
✎
10:35
|
(200) Ну найдут что атака была с виртуального голландского сервера - дальше что?
|
|||
202
capitanjack1
13.01.14
✎
10:37
|
Наручники на админа и в лес - пытать. Это он сдал парль !
|
|||
203
Мэс33
13.01.14
✎
10:40
|
А киви кошелек - он такой прям анонимный?
|
|||
204
Принт
13.01.14
✎
10:41
|
(203) а у нас, прям, коррупции нигде нет?
|
|||
205
djekting
13.01.14
✎
10:45
|
(203) на улице незарегистрированных симок вагон купить можно
|
|||
206
Питерский_
Никола 13.01.14
✎
10:48
|
(205) Ну дальше что ? Есть у тебя симка, на неё тебе перевили деньги(пусть на киви), как ты их выводишь и куда ?
|
|||
207
Godofsin
13.01.14
✎
10:48
|
(201) +1. Так и сказали, что если атака из-за бугра - найти нереал.
|
|||
208
vlandev
13.01.14
✎
10:49
|
(201) Ну с таким настроем можно совсем ничего не делать , IP проверять не надо - он голландский , киви кошелек тоже не надо проверять - номер мобилы наверняка на бомжа зареган. Да нафиг закрыть отдел "К" или как он там называется по борьбе с киберпреступностью , все равно от него толку нет зачем тратить бюджет?
|
|||
209
Zamestas
13.01.14
✎
10:50
|
(206) Сейчас модно биткоины тарить - потом концов точно не найдешь.
|
|||
210
Питерский_
Никола 13.01.14
✎
10:51
|
(207) Все реал, только это нах никому не нужно.
В конечном счете бабки которые ты переведешь, они рано или поздно окажутся в чьих то руках и эти руки можно поймать. |
|||
211
Simbad
13.01.14
✎
10:52
|
(0) Сталкивался , за 10 т руб, прислали программу расшифровки
|
|||
212
Simbad
13.01.14
✎
10:52
|
(0) да после заяву в полицую написали
|
|||
213
djekting
13.01.14
✎
10:53
|
(206) наивный человек, все уже придумано и не такие копейки выводят. есть люди которые скупают кошельки ломаные и отмывают деньги или работают за процент.
|
|||
214
spectre1978
13.01.14
✎
11:11
|
(206) ну если есть оплата путем снятия средств со счета при отправке SMS на короткий номер, то почему не быть выводу денег?
|
|||
215
BlackBytes
13.01.14
✎
11:11
|
(0) Посмотри файлы в HEX Редакторе
скорее всего весь файл не зашифрован только заголовок и потом ещё несколько фрагментов Бродили вирусы по почте и так шифровали... CD - Восстанавливается по аналогии с пустой базой или Копией c DBF - Целый день сидел... |
|||
216
BlackBytes
13.01.14
✎
11:12
|
Да скрин записки от кибер-вымогателей
|
|||
217
Джинн
13.01.14
✎
11:19
|
Пусть админ со своего кармана заплатит. За непроходимую тупость.
|
|||
218
uno-group
13.01.14
✎
11:22
|
Уголовная ответственность в России с какой суммы начинается? Нафига выставлять серваки в мир не меняя порт и доступ со всех ИП довать пропиши как минимум подсетки местный да даже на тотже мобильный инет если нужно подсеть прописал по крайней мере внутри страну уже както можно ловить хулиганов. Настраивать аудит кто будет. Политика паролей+ блокировка в диспечере терминалов номер сеанса и если он реально большой то, что то не так, как это можно не заметить. и журнал событий периодически просматривать.
|
|||
219
uno-group
13.01.14
✎
11:24
|
если 1с куда лазит и инет закрыть нельзя оставь его только на сервак с курсом валют и еди обновление антивируса и что там еще нужно остальное реж.
|
|||
220
uno-group
13.01.14
✎
11:28
|
с текущими скоростями инета бекапить критичные данные в зашифрованом виде куда либо в облако (а вдруг пожар скачек напряжения да малоли что. архивы должны храниться в разных местах физически. Это не только другой носитель информации, но и другое место территориально.
|
|||
221
Принт
13.01.14
✎
11:33
|
(220) потом данные всплывут где не надо и админа будут сношать уже за другое
|
|||
222
Принт
13.01.14
✎
11:34
|
+(221) или не админа, а того, кто принимал решение, но так же жестко
|
|||
223
Godofsin
13.01.14
✎
11:39
|
(215) Смотреть нечего, зашифрованы не файлы, а диски.
|
|||
224
Salimbek
13.01.14
✎
11:42
|
(196) А чего, никто не пользуется технологией port-knoking? http://en.wikipedia.org/wiki/Port_knocking или, например: http://habrahabr.ru/post/179219/
|
|||
225
rphosts
13.01.14
✎
11:43
|
(0) при любом раскладе по итогам сдайте их ментам, и посчитайте потери от простоя что-бы получилась достаточная для уголовки сумма.
Если полицаи не будут шевелиться - испортишь им статистику, если будут - у пацанов есть шансы попасть |
|||
226
Godofsin
13.01.14
✎
11:44
|
(225) Менты уже в курсе
|
|||
227
Принт
13.01.14
✎
11:46
|
(224) потому что с нормальным сервисом, паролем, алгоритмом шифрования и политикой авторизации можно светить стандартным портом наружу
|
|||
228
sf
13.01.14
✎
11:47
|
(224) в данном случае не поможет.
(223) о, это что-то новое. а файлы на шарах в сети не тронуты? (225) " посчитайте потери от простоя" а смысл? вроде нет практики компенсации упущенной выгоды. Только доказанные прямые потери (прокисшее молоко, админ в обмороке и т.п.) |
|||
229
Принт
13.01.14
✎
11:47
|
+(227) на виндах/стандартном сетевом оборудованиии такие фортели затруднительны
|
|||
230
sf
13.01.14
✎
11:47
|
(227) вроде автор написал в ветке, что наружу открыто ничего не было. атака была изнутри
|
|||
231
rphosts
13.01.14
✎
11:48
|
(226) в заявлении должна фигурировать не только сумма которую вымагают, но и величина финансовых потерь от простоя/занятия сотрудниками решением несвойственных задач и т.п. что-бы попадало дело под уголовку
|
|||
232
Godofsin
13.01.14
✎
11:49
|
(228) Кроме дисков на сервере зашифрованы также диски НАСа.
|
|||
233
rphosts
13.01.14
✎
11:49
|
(228) .2 в зависимости от величины ущерба дело может быть квалифицировано как административное или уголовное.
|
|||
234
Godofsin
13.01.14
✎
11:49
|
(230) Так и есть.
|
|||
235
Sorm
13.01.14
✎
11:52
|
(227) Можно-то можно... Но надо ли? Завтра найдут дыру в обработке пакета какого-либо "нормального" сервиса, и 1000 ботов тебя будут ронять каждые 10 мс.
|
|||
236
Принт
13.01.14
✎
11:54
|
(235) найдут - залатать. а дыра она и на уровне проверки стука может быть
|
|||
237
marvak
13.01.14
✎
11:56
|
(0)
Критические Бакапы надо на отдельном компе хранить, а лучше на внешнем носителе, который лежит дома, причем в нескольких экземплярах. |
|||
238
Принт
13.01.14
✎
11:56
|
дополнительные меры - они никогда не лишние, но никогда достаточные
|
|||
239
Sorm
13.01.14
✎
11:56
|
(236) Согласен. Ну и смысл тогда наружу порты открывать? А если апдейт "надежного" сервиса будет через полгодика?
|
|||
240
Godofsin
13.01.14
✎
11:57
|
(237) Есть такие, 20 дней назад версии. Документы восстанавливать за этот период = застрелиться.
|
|||
241
Aswed
13.01.14
✎
11:58
|
Отличная идея как выбить премию)))
|
|||
242
Godofsin
13.01.14
✎
11:59
|
(241) хах )))0
|
|||
243
marvak
13.01.14
✎
12:00
|
(240)
Видимо новогодние праздники помешали аккуратно бакапы делать? Как раз 20 дней. |
|||
244
marvak
13.01.14
✎
12:06
|
Я как то раз тоже словил трояна на домашнем компе, тоже требовалось оплатить куда то там.
Но в итоге восстановил системный диск с Акронисовской копии, которые храню на флешках. |
|||
245
sf
13.01.14
✎
12:07
|
(237) >> а лучше на внешнем носителе, который лежит дома, причем в нескольких экземплярах.
улыбнуло. ясен пень на таких бекапах будет старая версия. >>на отдельном компе хранить для случая в (0), необходимо, чтобы комп, на котором хранятся бекапы, сам забирал бекапы с сервера. но вроде редко кто так делает. |
|||
246
marvak
13.01.14
✎
12:11
|
(245)
У нас скрипт отрабатывал ночью, который бакапил данные на стриммер, но это не принципиально. Сейчас возможности для хранения больших бакапов шире, можно же скриптом копировать бакапы куда угодно. |
|||
247
zak555
13.01.14
✎
12:12
|
сервер терминалов наружу ?
|
|||
248
Принт
13.01.14
✎
12:13
|
(247) ))
|
|||
249
zak555
13.01.14
✎
12:14
|
(0) заяву не пиши в ментуру, лучше голову пеплом поспать одмину
|
|||
250
marvak
13.01.14
✎
12:15
|
(247)
На любой комп во внтуренней сети. Или на внешний носитель. |
|||
251
marvak
13.01.14
✎
12:16
|
Даже если IP хакерский определят, наказать их, имхо, будет очень сложно.
Тем более если адрес зарубежный. |
|||
252
zak555
13.01.14
✎
12:40
|
(251) не надо никого наказывать
|
|||
253
Эмбеддер
13.01.14
✎
12:42
|
(184) можно было догадаться по обращению к советским гражданам. среди РФ лидер Самарская область, поправьте, если не прав
|
|||
254
Death Moroz
13.01.14
✎
12:43
|
(0) Интересы у ТС "Казино, блэк-джек и шлюхи" рекомендую добавить "Выставление серваков в инет, хардкор, батхёрт"
Можно ещё "лень" добавить ну ладно RDP в инет выставил так хотяб потрудился стандартный порт сменить TCP 3389 или сертификатами доступ разрулить... видать религия не позволила. |
|||
255
Godofsin
13.01.14
✎
12:44
|
(254) Ну штоб млять за люди? Ты сначала почитай посты, а потом кидайся своими громкими заявлениями.
|
|||
256
Death Moroz
13.01.14
✎
12:49
|
(255) А чё тут читать...? Пока из выше на писаного видно только стон и сопли пузырями о том что фсё пропало и куда платить ;)))
|
|||
257
Godofsin
13.01.14
✎
12:49
|
(256) Сотрись с темы, раз для тебя вникать в тему лишнее
|
|||
258
Death Moroz
13.01.14
✎
12:54
|
(257) Вникать нужно было раньше - на стадии выставления RDP в инет о необходимости такого решения и его последствиях. Теперь остаётся только страдать ;)
|
|||
259
Godofsin
13.01.14
✎
12:58
|
(258) Вникать в тему нужно было раньше, прежде чем писать слова, никак к реальности не относящиеся. Но уже поздно, теперь ты записан в список тех тупиц, которые сначала говорят, а потом думают.
|
|||
260
Death Moroz
13.01.14
✎
13:00
|
(259) Список свой вначале расшифруй - умник ;)))
|
|||
261
Godofsin
13.01.14
✎
13:02
|
(260) ааа, ты ни о чем.
|
|||
262
Джордж1
13.01.14
✎
13:03
|
10 т.р. - копейки. У нас тут на прошлое или позапрошлое 8-е марта 28 млн. увели
|
|||
263
zak555
13.01.14
✎
13:05
|
(262) как же так ?
|
|||
264
Джордж1
13.01.14
✎
13:05
|
(263)ИМХО, бухгалтер был в доле. По факту буха даже не уволили вроде и не наказали
|
|||
265
zak555
13.01.14
✎
13:06
|
(264) вернули ?
|
|||
266
Джордж1
13.01.14
✎
13:06
|
(265)нет конечно
|
|||
267
zak555
13.01.14
✎
13:07
|
(266) так с буха надо взяскать
|
|||
268
alexbosh
13.01.14
✎
13:11
|
(267) Взыскивать нужно с виновного. Такую сумму реально скорее со счета увести, чем с нала. А там у каждой платежки подпись есть и автор. Вот оттуда и плясать... А там уже и взыскивать
|
|||
269
zak555
13.01.14
✎
13:14
|
(268) я знаю, как дир одной которы давал займы своим юрикам
учредители усекли займы на 30 лямов пришлось диру продавать недвигу |
|||
270
Джордж1
13.01.14
✎
13:15
|
(268)дак а виновный неведомы хакер - кто платежек левых понаделал
|
|||
271
zak555
13.01.14
✎
13:15
|
(270) что за банк ?
|
|||
272
Джордж1
13.01.14
✎
13:16
|
(271)вроде как Сбер
|
|||
273
zak555
13.01.14
✎
13:17
|
платёжку же надо подписать
|
|||
274
Джордж1
13.01.14
✎
13:17
|
(273)А дискетка (или флешка) с подписями были в компе
|
|||
275
zak555
13.01.14
✎
13:18
|
(274) без токенов ?
|
|||
276
alxxsssar
13.01.14
✎
13:18
|
(274) гыыы. А кто их там оставил?
|
|||
277
Джордж1
13.01.14
✎
13:19
|
(275)в то время СБ вроде еще без токенов работал.
Да и с токеном то не легче, если он в компе торчит |
|||
278
Джордж1
13.01.14
✎
13:19
|
(276)бух видать всегда и оставлял, а еще комп не выключал
|
|||
279
zak555
13.01.14
✎
13:20
|
(277) какая разница -- работает банк с токеном или нет
запихнул туда серт и всё обращение к токену -- пароль |
|||
280
zak555
13.01.14
✎
13:20
|
(278) как тогда определил, что в доле ?
|
|||
281
alxxsssar
13.01.14
✎
13:20
|
(278) ну етить... вот вам и крайний
|
|||
282
Джордж1
13.01.14
✎
13:21
|
(279)Ну сейчас у Сбера хитрые VPN-токены
(280)да как-то не верится что дискету оставили в компе, а комп включенный |
|||
283
Джордж1
13.01.14
✎
13:22
|
(281)а толку то...
|
|||
284
zak555
13.01.14
✎
13:22
|
клиент-банк у сбера теперь работает и с другие ОС, кроме ХР ?
|
|||
285
Джордж1
13.01.14
✎
13:23
|
(284)На Win 7 работает
|
|||
286
Джордж1
13.01.14
✎
13:23
|
(284)там теперь БизнесОнлайн
|
|||
287
Death Moroz
13.01.14
✎
13:24
|
(274) Подтверждение платёжки код по SMS - если платёж или сумма платёжек свыше ХХ руб в клиент банке разве не активирована ? Или банк такой услуги не предоставляет ? Я своих Бухов обязал, по началу выли теперь сами всё поняли.
|
|||
288
Джордж1
13.01.14
✎
13:24
|
(287)Раньше такого не было, теперь есть
|
|||
289
Федя Тяпкин
13.01.14
✎
13:25
|
У нас было подобное. Екзешник якобы от банка пришел в почту буху и понеслось. Вирус видимо шифровал все папки куда она заходила пока он жил. Вообщем файловую помойку почти все пофигачил. Был бэкап недельной свежести, до баз не добрался вирусяка, так что обошлись малой кровью. Денег не платили, искал дешефратор на сайтх веба и каспера. Ексельки потом удалось восстановить.
|
|||
290
Death Moroz
13.01.14
✎
13:27
|
(288) С такой услугой даже токен не обязателен + если сидишь на статике то Банк обычно перезванивает если вход с другого IP происходит.
|
|||
291
Джордж1
13.01.14
✎
13:29
|
(290)да там вход был наверняка с того же компа через терминал
|
|||
292
zak555
13.01.14
✎
13:31
|
(287) смс-ки можно перехватить
|
|||
293
Glenas
13.01.14
✎
13:32
|
(0) Хм.. А точку ты намерено поставил?
|
|||
294
Glenas
13.01.14
✎
13:34
|
(292) Перехватить может и можно, а отослать с этого же номера - врядли
|
|||
295
Godofsin
13.01.14
✎
13:35
|
(293) в теме? =)
|
|||
296
Gantosha
13.01.14
✎
13:35
|
по банкам и левым платежкам, у них явно протоколы ломали и их софт ..у нас так миллион увели .. но на украине.
|
|||
297
Glenas
13.01.14
✎
13:36
|
(295) В названии темы. Конец и шансов 0
|
|||
298
Принт
13.01.14
✎
13:37
|
(292) это каким образом?
|
|||
299
Godofsin
13.01.14
✎
13:40
|
(297) Ну я хз. Деньги отправили, ключ не прислали. Вариантов расшифровать без ключа мы не нашли что-то.
|
|||
300
Godofsin
13.01.14
✎
13:41
|
подняли пока старые архивы
|
|||
301
zak555
13.01.14
✎
13:45
|
(298) или в смарт "троян", или переадресация командами
|
|||
302
Попытка1С
13.01.14
✎
13:48
|
(0) А ты удаленно не заходил например со своего компа?
|
|||
303
Попытка1С
13.01.14
✎
13:48
|
Мог зайти с зараженной машины и привет.
|
|||
304
Chai Nic
13.01.14
✎
13:51
|
На сервере терминалов рекомендую запретить запуск всех приложений, за исключением конкретно заданных каталогов, к которым у пользователей нет доступа. Тогда подключившийся с зараженной машины юзер ничего серверу не сделает.
|
|||
305
Chai Nic
13.01.14
✎
13:51
|
(304) "каталогов, к которым у пользователей нет доступа" - имеется в виду доступ на запись
|
|||
306
Death Moroz
13.01.14
✎
13:53
|
(296)Больше половины банков Украины использует в качестве фронт клиента iBank 2 наличие доп услуг типа SMS итд. зависит только от грамотности и продвинутости админов на стороне банка а так всё стандартно ;) Хотя сапорт некоторых банков настолько печален ;) что иногда охота самому пойти и настроить там всё как надо ;)
|
|||
307
Midaw
13.01.14
✎
14:05
|
(0) 2003 = XP. Microsoft предупреждает, что с XP уже всё очень плохо. Я уже не говорю, что 10 тысяч это копейки за полученный опыт.
|
|||
308
ОчкарикСлава
13.01.14
✎
14:19
|
У меня на один из серваков тоже терм. порт проброшен.
Посотрел логи, - вижу бомбят в выходные капитально, причём с разных айпишников ... Но у меня блокировка логинов по трём неправильным данным включена. + сложные пароли обязательны. Но всё же - отключу я этот проброс нах пожалуй... |
|||
309
zak555
13.01.14
✎
14:20
|
(308) айПи надо в чёрный список добавлять
|
|||
310
ОчкарикСлава
13.01.14
✎
14:21
|
(309) их там 100500 .... в каждой попытке - разные ... и поты исходящие тоже...
|
|||
311
ОчкарикСлава
13.01.14
✎
14:21
|
порты... :)
|
|||
312
zak555
13.01.14
✎
14:23
|
(310) и чё ?
на порты забей |
|||
313
ОчкарикСлава
13.01.14
✎
14:29
|
(312) порты - тоже разные 100500 портов... мешанина из разных айпишников и разных портов.....
похоже на сетевого троянского бота... Закрыл я этот вход. |
|||
314
Принт
13.01.14
✎
14:31
|
лучше допустимые айпи в белый, а остальное резать
|
|||
315
ОчкарикСлава
13.01.14
✎
14:32
|
(309) не, похоже я ошибся, всё же список айпишников конечный всёже...
|
|||
316
Azverin
13.01.14
✎
14:35
|
(256) "выше на писаного" - поржал над орфографией)))
|
|||
317
zak555
13.01.14
✎
14:37
|
(314) а если одмину нужно из отпуска подключиться ?
|
|||
318
vlandev
13.01.14
✎
14:38
|
(307) Какая разница что там стоит 2003 или 2012 , вломились-то с админским паролем. 2003 кстати еще поддерживается как и XP , исправления влияющие на безопасность все еще клепают для этих осей мелкомягкие.
|
|||
319
Explorer1c
13.01.14
✎
14:40
|
научите меня приблизиться к хакерским способностям! заплачу реальное бабло! (просто для повышения квалификации)
|
|||
320
Принт
13.01.14
✎
14:41
|
(317) дать доступ на время отпуска
|
|||
321
zak555
13.01.14
✎
14:41
|
(319) > реальное бабло
сколько ? |
|||
322
wPa
13.01.14
✎
14:41
|
продажи каспера растут ... ) намек )
|
|||
323
zak555
13.01.14
✎
14:42
|
(320) но тут может возникнуть лазейка
=> надо всё планировать заранее |
|||
324
Принт
13.01.14
✎
14:42
|
(322) пора запасаться кефиром
|
|||
325
IamAlexy
13.01.14
✎
14:43
|
у одного из клиентов только что обнаружил гениальную защиту от перебора паролей через рдп/тимвьюверы и прочее..
у него на клавиатуре сервера лежит какая то тяжелая херня :) как только открываешь поле ввода пароля - оно начинает туда соответственно забивать всякую херь :) |
|||
326
Aprobator
13.01.14
✎
14:44
|
(325) жесть.
|
|||
327
Chai Nic
13.01.14
✎
14:46
|
(325) Действительно жесть.. ибо работает только для подключения к консоли сервера, а в обычном rdp-сеансе клавиатура своя, виртуальная..
|
|||
328
Explorer1c
13.01.14
✎
14:48
|
(321) за реальные знания,или указание пути что где учить и почитать. ничего не жалко. плюс приглашу в аломату, бесплатный рафтинг, лыжи. сноуборд, поучавствуешь в соревнованиях по К1, по бжж, в клубы тебя свожу, познакомлюс моделями !
|
|||
329
Advan
13.01.14
✎
14:48
|
(325)Херь - тогда проще просто отключить весь удаленный доступ
|
|||
330
Chai Nic
13.01.14
✎
14:48
|
(309) Лучше завести белый список, а не черный. А для тех, кто с динамическим адресом - сделать проверку через какой-нибудь динднс. Ну а еще лучше vpn.
|
|||
331
Принт
13.01.14
✎
14:51
|
а на исходящие порты флуда/брута смотреть вообще смысла нет
|
|||
332
Glenas
13.01.14
✎
14:56
|
(328) Неужели сам эту тему осилить не можешь? Само шифрование - это программный метод, изобретать ничего не надо. Главная сложность проникнуть на комп, но и здесь можешь незаметно устанавливать rms или radmin
|
|||
333
Midaw
13.01.14
✎
15:00
|
(318) админский пароль на 2003 получить значительно проще. это тебе расскажут даже на базовом курсе майкрософт по серверной винде. а вот получить информацию по 2012 r2 значительно сложнее, даже если описаны в документации...
про 2003 гугл тебе сразу выдаст в подробностях. http://www.xakep.ru/magazine/xs/048/020/1.asp |
|||
334
Godofsin
13.01.14
✎
15:05
|
все, прислали ключ, диски расшифрованы
|
|||
335
zak555
13.01.14
✎
15:06
|
(334) дёшево отделался
|
|||
336
Godofsin
13.01.14
✎
15:07
|
(335) ну не я, а хз пока еще кто ))) но да, дешево
|
|||
337
zak555
13.01.14
✎
15:08
|
(336) на киви кошелёк закинул ?
|
|||
338
sf
13.01.14
✎
15:08
|
(333) да статья про баян с 14 символами:
" если ключевое "администратор не совсем глуп и сделал пароль с длиной более 14 символов (это видно из того, что LM-пароль отключен, хотя NT-пароль присутствует);" т.е. на ОСы 2003 и младше - пароль надо со спецсимволами и длиной больше 14 и там только брут. (334) поздравляю! |
|||
339
Explorer1c
13.01.14
✎
15:08
|
(334) А сколько заплатил?
|
|||
340
Explorer1c
13.01.14
✎
15:09
|
(334) Сколько попросили заплатить?
|
|||
341
zak555
13.01.14
✎
15:10
|
(339) (340) 10 000
|
|||
342
zak555
13.01.14
✎
15:11
|
раньше был отличный бизнес по снятию порно-заставок
сейчас по шифровке/дешифроки |
|||
343
zak555
13.01.14
✎
15:11
|
только порно-заставку убирали за 1000р, а тут по 10 000 р
выросли однако |
|||
344
Godofsin
13.01.14
✎
15:11
|
(341) не не, 7000
|
|||
345
Godofsin
13.01.14
✎
15:12
|
(337) да
|
|||
346
zak555
13.01.14
✎
15:13
|
(345) в ментуру заявили ?
|
|||
347
Godofsin
13.01.14
✎
15:13
|
намного дороже простой фирмы за это время
|
|||
348
Godofsin
13.01.14
✎
15:13
|
(346) да
|
|||
349
zak555
13.01.14
✎
15:15
|
(348) забирайте заявление
|
|||
350
NcSteel
13.01.14
✎
15:15
|
(339) Хакни тему и нажми на сылку первой странице... там есть ответ.
|
|||
351
Godofsin
13.01.14
✎
15:18
|
(349) Чо, гемморой ждет?
|
|||
352
zak555
13.01.14
✎
15:18
|
(351) зачем напрягать "к" и молодцов, который вам провели аудит за 7000 ?
|
|||
353
Godofsin
13.01.14
✎
15:20
|
(352) да они чо то особого интереса не проявили... ну так то да, нах они нужны
|
|||
354
ОчкарикСлава
13.01.14
✎
15:22
|
(351) они тоже с вас денежку возьмут... вам оно надо?
|
|||
355
Кай066
13.01.14
✎
15:23
|
(354) за что?
|
|||
356
ОчкарикСлава
13.01.14
✎
15:23
|
(355) найдут за что ;)
|
|||
357
zak555
13.01.14
✎
15:24
|
(353) так что не надо искать ребёт
|
|||
358
zak555
13.01.14
✎
15:24
|
*ребят
|
|||
359
zak555
13.01.14
✎
15:24
|
(354) а ментов обэп сдать
|
|||
360
ОчкарикСлава
13.01.14
✎
15:25
|
(359) а обэп сдать в ФСБ ... :)
ФСб -> ФСО ФСО -> Самому.... %%% |
|||
361
MadJhey
13.01.14
✎
15:28
|
Похоже тенденция, однако. У меня у знакомых тоже сервак хакнули и зашифровали.
Только они всех послали. Ибо backup рулит. |
|||
362
ОчкарикСлава
13.01.14
✎
15:33
|
а вот кому весёлых айпишников?
92.246.220.49 177.133.48.120 198.40.61.109 84.42.56.250 195.211.103.127 |
|||
363
arsik
гуру
13.01.14
✎
15:40
|
(362) ну вот. Ты их на нас навел.
|
|||
364
wPa
13.01.14
✎
15:44
|
(355) за услуги ) - серваки заберут "для проверки" и вернут только когда заплатишь
|
|||
365
wPa
13.01.14
✎
15:48
|
(362) ты думаешь это реальные айпи?? не прокси?
|
|||
366
ОчкарикСлава
13.01.14
✎
15:49
|
(365) да ну, вряд ли реальные ...
прокси или боты затрояненые... |
|||
367
wPa
13.01.14
✎
16:03
|
(366) среди бразилий и амштатов есть Оренбург и Москва
|
|||
368
Принт
13.01.14
✎
16:07
|
(362) так не интересно. интересно, когда айпишник киевский и снорт опознаёт сигнатуру nmap-а
|
|||
369
vlandev
13.01.14
✎
16:22
|
(333) Все этим методы подбора пароля в 2003 осуществимы только при наличии физического доступа к серверу 2003 или как минимум надо быть внутри локальной сети. А когда у тебя только окно терминала с окошком для ввода логина пароля - получить LM-кэши или SAM базу нереально. Тут либо у ТС подобрали пароль (а он не мониторил логи) , либо логин и пароль был уведен с помощью какогонибудь трояна-кейлогера.
|
|||
370
Midaw
13.01.14
✎
16:35
|
(369) я пример привел, что 2003 знают от и до помелочи и дыр там очень много. смешно читать, что простой стоит столько то денег. а сервер у них 10 летней давности. я представляю какая там железяка с ним стоит...
|
|||
371
Джордж1
13.01.14
✎
16:35
|
Сейчас по радио сказали что неизвестный вирус вывел из строя все камеры Стрелка-М в Подмосковье.
Вот это высший пилотаж |
|||
372
ОчкарикСлава
13.01.14
✎
16:37
|
(371) наверное какой то биг босс обоцрался где то,... а вирус, он известный, это "капитан милиции Петренко"....
|
|||
373
Джордж1
13.01.14
✎
16:38
|
(372)может и так, тем более вирус уже стирал что-то с участием иермонаха Илии
|
|||
374
ОчкарикСлава
13.01.14
✎
16:39
|
(373) у них там наверное даже должность в штатке есть .... типа ... "Неизвесный вирус" , офицерская наверное... %)
|
|||
375
Принт
13.01.14
✎
16:41
|
сейчас вирус обидится и уйдёт с мисты)
|
|||
376
UIV
13.01.14
✎
16:41
|
Все не читал. За расшифровку админ из своей ЗП платил?
|
|||
377
ОчкарикСлава
13.01.14
✎
16:43
|
(376) да... вот: https://www.youtube.com/watch?v=8fqv_SBKhNU
|
|||
378
bizon2008
13.01.14
✎
16:57
|
А я вот по старинке бэкапы на лентах храню.
|
|||
379
Midaw
13.01.14
✎
16:58
|
(378) не забудь проверить, что они работают...
|
|||
380
UIV
13.01.14
✎
16:59
|
(378) А ты разве работаешь?
|
|||
381
Кай066
13.01.14
✎
17:01
|
(380) если хранение бэкапов на лентах можно назвать работой
|
|||
382
bizon2008
13.01.14
✎
17:07
|
(379)Я старый параноик, у меня дубль контроллер, сразу две пишет. И револьверный бэкап. Пару раз сильно выручало.
(380)Балуюсь |
|||
383
John83
13.01.14
✎
17:44
|
(244) систему можно и так переустановить, а вот что если музычку, фотки зашифруют?
|
|||
384
uno-group
13.01.14
✎
17:52
|
Все таки 1 диск это правильно. А права можно и на папки раздавать.
|
|||
385
uno-group
13.01.14
✎
17:54
|
(0)перечень проведенных мероприятий чтобы завтра не башлять за следующий зашифрованный диск. нашли источник взлома?
|
|||
386
aka MIK
13.01.14
✎
18:19
|
(0) Куда 10 тыр потратил? Просил бы уже соточку чтоли :)
|
|||
387
uno-group
13.01.14
✎
18:38
|
(386) Ты не шариш. Этот чирик был шанс что с ЗП удержат ну или для снятия кипиша можно было самому себе переложить с зарплаты на кошелек. А соточку он щя с откатов на абгрейд оборудования и ПО под это дело замути+ сверхурочные работы и т.п. ;)
|
|||
388
Kraft
13.01.14
✎
18:40
|
(387) Россия...
|
|||
389
Сержант 1С
13.01.14
✎
18:44
|
||||
390
Сержант 1С
13.01.14
✎
18:44
|
Клевогин ацкий сотона, научил читать RFC
|
|||
391
Кай066
13.01.14
✎
19:34
|
(319) С тебя реальное бабло
http://www.youtube.com/watch?v=_EWndMcES0M |
|||
392
Midaw
13.01.14
✎
19:36
|
(389) хехе, а мегафон то торренты уже блокирует по днс...
|
|||
393
Принт
13.01.14
✎
21:29
|
наш тьматараканский пров тоже
|
|||
394
zak555
13.01.14
✎
21:50
|
(389) бу га га
http://rutor.org -- заблокирован (IP 46.246.34.41) http://www.rutor.org -- нет (IP 46.246.32.12) ))) ну какой смысл блокировать по IP ? |
|||
395
zak555
13.01.14
✎
21:57
|
+ (394)
дата внесения в реестр 26.08.2013 странно, что владельцы домена ещё не сменили IP |
|||
396
ОчкарикСлава
13.01.14
✎
22:17
|
(395) а нафига. ...
Этот закон, это очередной пук в лужу... |
|||
397
zak555
13.01.14
✎
22:34
|
(396) надо его отменить
|
|||
398
Lionee
13.01.14
✎
23:20
|
(397) так там половину законов надо отменить
|
|||
399
zak555
13.01.14
✎
23:43
|
(398) надо понять, как это сделать
|
|||
400
Lionee
13.01.14
✎
23:47
|
400
|
|||
401
Сержант 1С
14.01.14
✎
00:53
|
||||
402
К_Дач
14.01.14
✎
00:58
|
(118) как тебе могли стучаться на комп, подключенный по GPRS, если на каждую сессию там разный IP? или я что-то не понимаю
|
|||
403
Гадкий 1С-ник
14.01.14
✎
01:16
|
Жесть)) в этот момент вспоминаешь что на твоём рабочем компе стоит тимвивер и рядом рдп на серв
|
|||
404
Гадкий 1С-ник
14.01.14
✎
01:20
|
ну протух уже сервер 2003 )) наверное их и ломают через дыру
|
|||
405
Джинн
14.01.14
✎
01:27
|
(404) Руки у админа из жпо. Хрен сломаешь даже NT 3.51 без физического доступа к серверу.
|
|||
406
Принт
14.01.14
✎
01:39
|
(402) Разный, но белый. Или разницу объяснить?
|
|||
407
Midaw
14.01.14
✎
10:56
|
http://habrahabr.ru/post/208962/
Вирус вывел из строя все комплексы видеофиксации в Подмосковье — в результате намеренного взлома системы была повреждена файловая система блоков обработки и управления комплексов «Стрелка-СТ», что делает невозможным запуск операционной системы Windows XP и специализированного программного обеспечения комплексов; — повреждены системные журналы операционной системы; на системном диске С: — найден инородный вредоносный пакетный файл 222.bat, настроенный для автоматического изменения пароля операционной системы и запуска исполняемого файла 1.exe; — изменены пароли на доступ в операционную систему с правами администратора. гыгы, опять XP/2003 ))) |
|||
408
Холст
14.01.14
✎
10:58
|
http://www.linux.org.ru/news/security/10031304
цитата: Опубликован обзор, в котором обобщены все сведения о сертификации ФСТЭК, Минобороны и ФСБ различных дистрибутивов Linux в России в сравнении с операционными системами Windows. В результате получена весьма любопытная информация: операционные системы Microsoft Windows не могут использоваться для обработки сколько-нибудь важной конфиденциальной информации. Несмотря на это, во многих госорганах закрывают на это глаза, предпочитая не задумываться о последствиях. В результате мы получаем множественные утечки информации и практически нулевую сохранность персональных данных. С другой стороны, рядом российских компаний проведена колоссальная работа по созданию на базе операционных систем GNU/Linux действительно надежных российских операционных систем. К сожалению, информация об этом зачастую оказывается неизвестна не только специалистам, которые интересуются данной проблематикой, но и руководителям государственных органов и госпредприятий, которые несут ответственность за сохранность конфиденциальной информации. Хотя коммерческие организации всегда стремились применять новейшие технологии и не меньшим образом берегли свои секреты — в России они почему-то существенно отстали даже от консервативных военных. |
|||
409
Midaw
14.01.14
✎
11:05
|
(408) зато мы очень хорошо научились эффективному деструктивному менеджменту и особенно словам "простой фирмы дороже жизни" :)
|
|||
410
ЧеловекДуши
14.01.14
✎
11:48
|
(407) >>> В настоящее время восстановлена работа 10 из 130 выведенных из строя комплексов
Чет у них там всё туго с Администрированием :) |
|||
411
Jump
14.01.14
✎
11:54
|
(0)А подскажи, чисто для общего образования - какой пароль(длина, спецсимволы) и какой протокол RDP? И почему думаете что именно по RDP ломанули?
|
|||
412
Godofsin
14.01.14
✎
11:58
|
(411) я хз, не сисадмин. То, что по РДП - говорит, по логам вычислил.
|
|||
413
Принт
14.01.14
✎
12:37
|
(407) >гыгы, опять XP/2003
поди и не обновлённые |
|||
414
Дтл
14.01.14
✎
12:40
|
(0)зарплату задерживают?
|
|||
415
Explorer1c
14.01.14
✎
12:43
|
(412) по логам ахахах, что за бред!
|
|||
416
Jump
14.01.14
✎
12:46
|
Ну почему сразу бред? Можно и по логам, правда это будет скорее предположение, нежели точный факт.
|
|||
417
Принт
14.01.14
✎
12:46
|
Тем временем Cisco удалит бэкдоры из своих маршрутизаторов
http://www.securitylab.ru/news/448883.php |
|||
418
Midaw
14.01.14
✎
12:51
|
(417) вот это уже даже не смешно :)
|
|||
419
Midaw
14.01.14
✎
12:51
|
но без XP никуда! )
|
|||
420
zak555
14.01.14
✎
12:52
|
(419) даже в поликлиниках столицы у врачей стоят компы с ебунтой
|
|||
421
Принт
14.01.14
✎
12:53
|
(420) ростелекому об этом кто-нибудь рассказал бы
|
|||
422
zak555
14.01.14
✎
12:53
|
(421) про этого "урода" даже говорить не хочу
|
|||
423
Godofsin
14.01.14
✎
12:57
|
(417) Прикольно
|
|||
424
Принт
14.01.14
✎
13:09
|
Cisco хоть удаляют, тогда как D-Link про некоторые знают, но заниматься ими не собираются.
|
|||
425
Midaw
14.01.14
✎
13:13
|
(424) также как Asus и многие другие.
|
|||
426
Cerera
14.01.14
✎
13:14
|
А разве в таких случаях отдел К не подключают?
|
|||
427
zak555
14.01.14
✎
13:19
|
(426) он только по тебе специализируется
|
|||
428
fmrlex
14.01.14
✎
13:23
|
(424) dd-wrt ставь на длинк и спи спокойно.
|
|||
429
Torquader
14.01.14
✎
14:24
|
Ломанули - понятно,
а вот такой вопрос - если сервак остановить - загрузиться с другой системы и "собрать" RAID в работу, а потом посмотреть недавно удалённые файлы - есть вероятность, что и зловред найдётся, а, может быть, даже и ключ. |
|||
430
Voronve
14.01.14
✎
14:27
|
(429) Blowfish + XOR - вряд ли ключ найдется
|
|||
431
vlandev
14.01.14
✎
14:30
|
(429) Ага , только надо успеть вытащить диск из рейда именно в тот момент , пока зловред еще не удалил себя с ключами и еще не зашифровал файлы :)
|
|||
432
SherifSP
14.01.14
✎
14:44
|
Так есть же программы по восстановлению удаленных данных, даже если диск был отформатирован или я ошибаюсь?
|
|||
433
ЧеловекДуши
14.01.14
✎
15:00
|
(432) Ты о чем? :)
|
|||
434
ЧеловекДуши
14.01.14
✎
15:01
|
+(432) Можно к примеру не удалять Зловредный файл, а попросту его очистить :)
А потом еще и удалить. |
|||
435
Принт
14.01.14
✎
15:52
|
(428) уже стоит, расслабься
|
|||
436
Glenas
15.01.14
✎
11:05
|
||||
437
zak555
15.01.14
✎
11:14
|
(436) так у тебя же на киви-кошелёк захотели
а ты идею подкинул про крипто-валюту )) |
|||
438
Midaw
15.01.14
✎
11:20
|
(436) хорошая статья, имхо.
|
|||
439
zak555
15.01.14
✎
11:26
|
(436) > Говорят, новое — хорошо забытое старое, и CryptoLocker не исключение.
сейчас авнтивири не распознают вири, которые были в 2000х годах => не удивительно |
|||
440
zak555
15.01.14
✎
11:28
|
надо создать профсоюз, в который будут жаловаться кинутые работники
далее профсоюз шифрует всё у нерадивого работодателя и расшифровывает за биткоин полученный доход идёт на компенсацию обратившегося и на уставные цели по-моему, отлично придумал |
|||
441
Принт
15.01.14
✎
11:28
|
>сейчас авнтивири не распознают вири, которые были в 2000х годах
а я всё думал, как они будут бороть падеж производительности при распухании базы? |
|||
442
adelaide
15.01.14
✎
11:36
|
(45) закатай губу, никто ничего не починит и не обязан... да и не смогут они расшифровать там нормальный алгоритм шифрования используется причем для каждого отдельного случая свой ключ шифрования, заплатить по любому дешевле чем пытаться расшифровать.
|
|||
443
zak555
15.01.14
✎
11:37
|
(441) в инете как раз читал статью в октябре того года про это
т.е. все старые методы сейчас актуальны и антивири их не видят |
|||
444
Glenas
15.01.14
✎
11:39
|
(437) Почему я? Соседка подхватила такую же заразу, обратилась ко мне. Чем я могу помочь.. Пожал плечами, на предыдущие версии локера есть дешифраторы, а сейчас они на каждое заражении порядковый номер придумали в названии файла
|
|||
445
Glenas
15.01.14
✎
11:41
|
(443) Особенно Eset подвержен с их урезанными базами старых детектов
|
|||
446
Glenas
15.01.14
✎
11:42
|
(444) + там была просьба помось африканским детям в виде 0,4 Биткоина
|
|||
447
zak555
15.01.14
✎
12:14
|
(445) там на 10 авнтирей проверяли
каспер, авасты, вэбы, нортом и т.д. |
|||
448
adelaide
15.01.14
✎
16:34
|
(294) за нефиг делать, это намного проще чем перехватить смс, практически все смс-провайдеры дают возможность указать любые символы в поле отправитель, а операторы пропускают...
|
|||
449
Принт
15.01.14
✎
16:41
|
смс-провайдеры - кто такие?
|
|||
450
Dmitry1c
22.01.14
✎
17:13
|
Позвонил друг и описал подобную ситуацию.
Походу, кто-то неплохо поднял бабла на своем вирусе. |
|||
451
Сержант 1С
22.01.14
✎
23:42
|
(450) этих кто-то тыщи, принцип описан подробно, бери да пиши. Пока есть ларьки с дырищами в безопасности и паролем "1" - эти шифровальщики будут неплохо кормиться.
|
|||
452
zak555
23.01.14
✎
22:57
|
(451) интересно, что будет после этого шифрования =)
|
|||
453
Diter
23.01.14
✎
23:10
|
простоте что влазию но у меня вот какой вопрос - чтобы подключиться по РДП даже с пробросом портов нужно как минимум :
1. знать ip роутера на входе 2. отсканировать порты 3. попробовать подключиться по рдп 4. подобрать логин и пароль меня смущает пункт № 1. Ну не долбит же их робот все ip по очереди |
|||
454
Diter
23.01.14
✎
23:10
|
простоте=простите
|
|||
455
zak555
23.01.14
✎
23:12
|
> знать ip роутера на входе
перведи |
|||
456
Diter
23.01.14
✎
23:13
|
(455) белый ip надо знать чтобы порты сканить
|
|||
457
Diter
23.01.14
✎
23:13
|
я к чему. вот например есть у меня клиент. у него белый статичный ip. стоит задача - ломануть его по рдп. вопрос - как узнать его ip? имхо без внутреннего крысятничества не обошлось
|
|||
458
zak555
23.01.14
✎
23:14
|
(457) отсылает письмо твой клиент мне -- я знаю его IP
далее дело техники |
|||
459
Diter
23.01.14
✎
23:16
|
(458) стоп. что значит "отсылает письмо твой клиент мне -- я знаю его IP"? т.е. если он отправляет письмо с сервера через бат - там фиксируется белый ip WANa?
|
|||
460
zak555
23.01.14
✎
23:17
|
(459) он даже, если напишет письмо из яндекса -- ip мне будет известен )))
|
|||
461
Diter
23.01.14
✎
23:17
|
(460) поясни
|
|||
462
Diter
23.01.14
✎
23:18
|
а если из локалки письмо будет? все одно видно?
|
|||
463
zak555
23.01.14
✎
23:22
|
посмотри заголовок письма -- всё станет на свои места
|
|||
464
Diter
23.01.14
✎
23:23
|
хм... щас
|
|||
465
Diter
23.01.14
✎
23:26
|
нифига не вижу кроме чисто почтовых реквизитов
Date: Thu, 23 Jan 2014 09:10:11 +0300 From: =?windows-1251?B?wO3k8OXpIMrz9+Xw5e3q7g==?= <мой алрес> X-Priority: 3 (Normal) Message-ID: <[email protected]> To: =?windows-1251?B?0PPx6+DtINfz6eru?= <адрес получателя> Subject: Fwd: In-Reply-To: <[email protected]> References: <[email protected]> MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----------04F0FF1EF27CD0BD7" |
|||
466
zak555
23.01.14
✎
23:27
|
Received: from
|
|||
467
Diter
23.01.14
✎
23:28
|
(466) да где это увидить?
|
|||
468
Diter
23.01.14
✎
23:34
|
светани мыло я тебе кину письмо пустышку. а ты скажешь мне мой ip
|
|||
469
zak555
23.01.14
✎
23:34
|
(468) в личке
|
|||
470
Diter
23.01.14
✎
23:36
|
лови. надеюсь ума хватит сказать тут не весь ip а последние две секции? ;)
|
|||
471
zak555
23.01.14
✎
23:36
|
Received: from [91.203.167.94] (port=35053 helo=[192.168.2.22])
|
|||
472
zak555
23.01.14
✎
23:37
|
(470) не хватило
|
|||
473
Diter
23.01.14
✎
23:37
|
бл....
|
|||
474
zak555
23.01.14
✎
23:37
|
IP 91.203.167.94
Хост: 94-167-203-91.zeus.poltava.ua Город: Кременчуг Страна: Ukraine IP диапазон: 91.203.164.0 - 91.203.167.255 Название провайдера: FOP Koval Dmitro Orestovich |
|||
475
Diter
23.01.14
✎
23:38
|
все верно. но хоть убей где это увидеть я так и не понял
|
|||
476
zak555
23.01.14
✎
23:38
|
(473) ну форматнём один разок, потому научишься использовать iptables
|
|||
477
zak555
23.01.14
✎
23:38
|
(475) в письме
|
|||
478
Diter
23.01.14
✎
23:39
|
все увидел. в исходящих нет (я там смотрел). во входящих - видно
|
|||
479
Bigcalm
23.01.14
✎
23:40
|
(476) Чего ты там форматировать собрался? Устройства маршрутизации провайдера?
|
|||
480
Diter
23.01.14
✎
23:40
|
да уж...
|
|||
481
zak555
23.01.14
✎
23:40
|
(479_ т-с-с
|
|||
482
Питерский_
Никола 23.01.14
✎
23:42
|
(480) Вырубай комп быстрее )))) а то zak555 уже пароль подобрал )))
|
|||
483
Bigcalm
23.01.14
✎
23:42
|
(481) Не ну расскажи как ты достучишься до 192.168.2.22? :)
|
|||
484
Diter
23.01.14
✎
23:42
|
так удалите художества этого неадеквата....
|
|||
485
zak555
23.01.14
✎
23:43
|
(483) перебором портов, которые прокинуты на шлюзе
|
|||
486
Питерский_
Никола 23.01.14
✎
23:44
|
(484) Поздно миста индексируется через 20 сек. после появления сообщения, все ты под колпаком ))) и в записной книжке у мизантропа ))
|
|||
487
Diter
23.01.14
✎
23:45
|
(485) ни одного порта не прокинуто ;)~
|
|||
488
Diter
23.01.14
✎
23:45
|
(486) провайдер мой друг. позвонил щас ip белый будет изменён ;)
|
|||
489
Diter
23.01.14
✎
23:46
|
щас только порнуху с шары уберу на всяк случай ;)
|
|||
490
Bigcalm
23.01.14
✎
23:48
|
Хотя да, если он он узнал IP машины, которая за натом прова, то тогда да, любым сканером портов можно промониторить порт на которые можно подключится, далее какой-нить троян, или что-то в этом духе... И привет)))
|
|||
491
Diter
23.01.14
✎
23:48
|
(490) например? через какой порт можно подключиться если ни один проброс не настроен?
|
|||
492
Diter
23.01.14
✎
23:49
|
теперь представь что ip внутренний я поменял сразу как только увидел пост 471
|
|||
493
Diter
23.01.14
✎
23:49
|
как и подсеть
|
|||
494
Diter
23.01.14
✎
23:49
|
дело 10 секунд
|
|||
495
Bigcalm
23.01.14
✎
23:49
|
Проброс уже не нужен, он имеет доступ к 192.168.2.22
|
|||
496
Diter
23.01.14
✎
23:49
|
и теперь у меня 192.168.9.11
|
|||
497
Diter
23.01.14
✎
23:49
|
(495) каким образом?
|
|||
498
Bigcalm
23.01.14
✎
23:50
|
(497) Понятия не имею, вопрос к этому скрипткидди"
|
|||
499
Diter
23.01.14
✎
23:53
|
только если настроен проброс порта. иначе никак имхо
|
|||
500
Bigcalm
23.01.14
✎
23:56
|
(499) Ты бы комп выключил на всякий пожарный, мало ли там чем зак орудует сейчас :)))
|
|||
501
Diter
24.01.14
✎
00:00
|
(500) ip сменён уже говорю же. директор провайдера мой друг. я звонок сделал и белый ip теперь уже другой
|
|||
502
Diter
24.01.14
✎
00:00
|
и внутренний тоже, и подсеть тоже
|
|||
503
Diter
24.01.14
✎
00:00
|
сказать?
|
|||
504
Принт
24.01.14
✎
00:01
|
(499) смотря насколько шлюз не дубовый
|
|||
505
Diter
24.01.14
✎
00:02
|
(504) т.е. "не дубовый"? самый обычный шлюз. тп-линк
|
|||
506
Bigcalm
24.01.14
✎
00:05
|
(503) Мне то зачем? В следующий раз просто не надо людям самостоятельно отдавать доступ до своего информационного пространства.
Тебя развели на wiki:Социальная_инженерия Просто будь внимательнее. |
|||
507
Принт
24.01.14
✎
00:06
|
(505) без багов в прошивке
|
|||
508
Diter
24.01.14
✎
00:07
|
(506) да нет. тут все ровно. получается все кому я отправляю письма видят ip моего роутера и компа. а это означает что правильно я сделал что настроил сервак так, что с него ничего не отправишь. и порты нестандартные и диапазон допустимых ip на вход.... молодец я ;)
|
|||
509
Сержант 1С
24.01.14
✎
00:52
|
на каждый роутер есть список дыр к каждой прошивке
|
|||
510
Diter
24.01.14
✎
00:56
|
(509) возможно но надо знать и прошивку к тому же - версию
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |