|
Вот и нас хакнули. 🠗 (длинная ветка 24.01.2014 00:00) | ☑ | ||
---|---|---|---|---|
0
Godofsin
13.01.14
✎
06:58
|
Поздравляйте. В 4 утра ломанули админку на Сервере 2003, спокойно установили программу шифрования и зашифровали все диски, кроме системного. Под админом в автозагрузке текстовичок с указанием киви-кошелька, куда платить за дешифровку. Приехали, млять. Пошли башлять.
Кто сталкивался? Бабло уйдет в никуда или таки пришлют ключ дешифрования? |
|||
411
Jump
14.01.14
✎
11:54
|
(0)А подскажи, чисто для общего образования - какой пароль(длина, спецсимволы) и какой протокол RDP? И почему думаете что именно по RDP ломанули?
|
|||
412
Godofsin
14.01.14
✎
11:58
|
(411) я хз, не сисадмин. То, что по РДП - говорит, по логам вычислил.
|
|||
413
Принт
14.01.14
✎
12:37
|
(407) >гыгы, опять XP/2003
поди и не обновлённые |
|||
414
Дтл
14.01.14
✎
12:40
|
(0)зарплату задерживают?
|
|||
415
Explorer1c
14.01.14
✎
12:43
|
(412) по логам ахахах, что за бред!
|
|||
416
Jump
14.01.14
✎
12:46
|
Ну почему сразу бред? Можно и по логам, правда это будет скорее предположение, нежели точный факт.
|
|||
417
Принт
14.01.14
✎
12:46
|
Тем временем Cisco удалит бэкдоры из своих маршрутизаторов
http://www.securitylab.ru/news/448883.php |
|||
418
Midaw
14.01.14
✎
12:51
|
(417) вот это уже даже не смешно :)
|
|||
419
Midaw
14.01.14
✎
12:51
|
но без XP никуда! )
|
|||
420
zak555
14.01.14
✎
12:52
|
(419) даже в поликлиниках столицы у врачей стоят компы с ебунтой
|
|||
421
Принт
14.01.14
✎
12:53
|
(420) ростелекому об этом кто-нибудь рассказал бы
|
|||
422
zak555
14.01.14
✎
12:53
|
(421) про этого "урода" даже говорить не хочу
|
|||
423
Godofsin
14.01.14
✎
12:57
|
(417) Прикольно
|
|||
424
Принт
14.01.14
✎
13:09
|
Cisco хоть удаляют, тогда как D-Link про некоторые знают, но заниматься ими не собираются.
|
|||
425
Midaw
14.01.14
✎
13:13
|
(424) также как Asus и многие другие.
|
|||
426
Cerera
14.01.14
✎
13:14
|
А разве в таких случаях отдел К не подключают?
|
|||
427
zak555
14.01.14
✎
13:19
|
(426) он только по тебе специализируется
|
|||
428
fmrlex
14.01.14
✎
13:23
|
(424) dd-wrt ставь на длинк и спи спокойно.
|
|||
429
Torquader
14.01.14
✎
14:24
|
Ломанули - понятно,
а вот такой вопрос - если сервак остановить - загрузиться с другой системы и "собрать" RAID в работу, а потом посмотреть недавно удалённые файлы - есть вероятность, что и зловред найдётся, а, может быть, даже и ключ. |
|||
430
Voronve
14.01.14
✎
14:27
|
(429) Blowfish + XOR - вряд ли ключ найдется
|
|||
431
vlandev
14.01.14
✎
14:30
|
(429) Ага , только надо успеть вытащить диск из рейда именно в тот момент , пока зловред еще не удалил себя с ключами и еще не зашифровал файлы :)
|
|||
432
SherifSP
14.01.14
✎
14:44
|
Так есть же программы по восстановлению удаленных данных, даже если диск был отформатирован или я ошибаюсь?
|
|||
433
ЧеловекДуши
14.01.14
✎
15:00
|
(432) Ты о чем? :)
|
|||
434
ЧеловекДуши
14.01.14
✎
15:01
|
+(432) Можно к примеру не удалять Зловредный файл, а попросту его очистить :)
А потом еще и удалить. |
|||
435
Принт
14.01.14
✎
15:52
|
(428) уже стоит, расслабься
|
|||
436
Glenas
15.01.14
✎
11:05
|
||||
437
zak555
15.01.14
✎
11:14
|
(436) так у тебя же на киви-кошелёк захотели
а ты идею подкинул про крипто-валюту )) |
|||
438
Midaw
15.01.14
✎
11:20
|
(436) хорошая статья, имхо.
|
|||
439
zak555
15.01.14
✎
11:26
|
(436) > Говорят, новое — хорошо забытое старое, и CryptoLocker не исключение.
сейчас авнтивири не распознают вири, которые были в 2000х годах => не удивительно |
|||
440
zak555
15.01.14
✎
11:28
|
надо создать профсоюз, в который будут жаловаться кинутые работники
далее профсоюз шифрует всё у нерадивого работодателя и расшифровывает за биткоин полученный доход идёт на компенсацию обратившегося и на уставные цели по-моему, отлично придумал |
|||
441
Принт
15.01.14
✎
11:28
|
>сейчас авнтивири не распознают вири, которые были в 2000х годах
а я всё думал, как они будут бороть падеж производительности при распухании базы? |
|||
442
adelaide
15.01.14
✎
11:36
|
(45) закатай губу, никто ничего не починит и не обязан... да и не смогут они расшифровать там нормальный алгоритм шифрования используется причем для каждого отдельного случая свой ключ шифрования, заплатить по любому дешевле чем пытаться расшифровать.
|
|||
443
zak555
15.01.14
✎
11:37
|
(441) в инете как раз читал статью в октябре того года про это
т.е. все старые методы сейчас актуальны и антивири их не видят |
|||
444
Glenas
15.01.14
✎
11:39
|
(437) Почему я? Соседка подхватила такую же заразу, обратилась ко мне. Чем я могу помочь.. Пожал плечами, на предыдущие версии локера есть дешифраторы, а сейчас они на каждое заражении порядковый номер придумали в названии файла
|
|||
445
Glenas
15.01.14
✎
11:41
|
(443) Особенно Eset подвержен с их урезанными базами старых детектов
|
|||
446
Glenas
15.01.14
✎
11:42
|
(444) + там была просьба помось африканским детям в виде 0,4 Биткоина
|
|||
447
zak555
15.01.14
✎
12:14
|
(445) там на 10 авнтирей проверяли
каспер, авасты, вэбы, нортом и т.д. |
|||
448
adelaide
15.01.14
✎
16:34
|
(294) за нефиг делать, это намного проще чем перехватить смс, практически все смс-провайдеры дают возможность указать любые символы в поле отправитель, а операторы пропускают...
|
|||
449
Принт
15.01.14
✎
16:41
|
смс-провайдеры - кто такие?
|
|||
450
Dmitry1c
22.01.14
✎
17:13
|
Позвонил друг и описал подобную ситуацию.
Походу, кто-то неплохо поднял бабла на своем вирусе. |
|||
451
Сержант 1С
22.01.14
✎
23:42
|
(450) этих кто-то тыщи, принцип описан подробно, бери да пиши. Пока есть ларьки с дырищами в безопасности и паролем "1" - эти шифровальщики будут неплохо кормиться.
|
|||
452
zak555
23.01.14
✎
22:57
|
(451) интересно, что будет после этого шифрования =)
|
|||
453
Diter
23.01.14
✎
23:10
|
простоте что влазию но у меня вот какой вопрос - чтобы подключиться по РДП даже с пробросом портов нужно как минимум :
1. знать ip роутера на входе 2. отсканировать порты 3. попробовать подключиться по рдп 4. подобрать логин и пароль меня смущает пункт № 1. Ну не долбит же их робот все ip по очереди |
|||
454
Diter
23.01.14
✎
23:10
|
простоте=простите
|
|||
455
zak555
23.01.14
✎
23:12
|
> знать ip роутера на входе
перведи |
|||
456
Diter
23.01.14
✎
23:13
|
(455) белый ip надо знать чтобы порты сканить
|
|||
457
Diter
23.01.14
✎
23:13
|
я к чему. вот например есть у меня клиент. у него белый статичный ip. стоит задача - ломануть его по рдп. вопрос - как узнать его ip? имхо без внутреннего крысятничества не обошлось
|
|||
458
zak555
23.01.14
✎
23:14
|
(457) отсылает письмо твой клиент мне -- я знаю его IP
далее дело техники |
|||
459
Diter
23.01.14
✎
23:16
|
(458) стоп. что значит "отсылает письмо твой клиент мне -- я знаю его IP"? т.е. если он отправляет письмо с сервера через бат - там фиксируется белый ip WANa?
|
|||
460
zak555
23.01.14
✎
23:17
|
(459) он даже, если напишет письмо из яндекса -- ip мне будет известен )))
|
|||
461
Diter
23.01.14
✎
23:17
|
(460) поясни
|
|||
462
Diter
23.01.14
✎
23:18
|
а если из локалки письмо будет? все одно видно?
|
|||
463
zak555
23.01.14
✎
23:22
|
посмотри заголовок письма -- всё станет на свои места
|
|||
464
Diter
23.01.14
✎
23:23
|
хм... щас
|
|||
465
Diter
23.01.14
✎
23:26
|
нифига не вижу кроме чисто почтовых реквизитов
Date: Thu, 23 Jan 2014 09:10:11 +0300 From: =?windows-1251?B?wO3k8OXpIMrz9+Xw5e3q7g==?= <мой алрес> X-Priority: 3 (Normal) Message-ID: <[email protected]> To: =?windows-1251?B?0PPx6+DtINfz6eru?= <адрес получателя> Subject: Fwd: In-Reply-To: <[email protected]> References: <[email protected]> MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----------04F0FF1EF27CD0BD7" |
|||
466
zak555
23.01.14
✎
23:27
|
Received: from
|
|||
467
Diter
23.01.14
✎
23:28
|
(466) да где это увидить?
|
|||
468
Diter
23.01.14
✎
23:34
|
светани мыло я тебе кину письмо пустышку. а ты скажешь мне мой ip
|
|||
469
zak555
23.01.14
✎
23:34
|
(468) в личке
|
|||
470
Diter
23.01.14
✎
23:36
|
лови. надеюсь ума хватит сказать тут не весь ip а последние две секции? ;)
|
|||
471
zak555
23.01.14
✎
23:36
|
Received: from [91.203.167.94] (port=35053 helo=[192.168.2.22])
|
|||
472
zak555
23.01.14
✎
23:37
|
(470) не хватило
|
|||
473
Diter
23.01.14
✎
23:37
|
бл....
|
|||
474
zak555
23.01.14
✎
23:37
|
IP 91.203.167.94
Хост: 94-167-203-91.zeus.poltava.ua Город: Кременчуг Страна: Ukraine IP диапазон: 91.203.164.0 - 91.203.167.255 Название провайдера: FOP Koval Dmitro Orestovich |
|||
475
Diter
23.01.14
✎
23:38
|
все верно. но хоть убей где это увидеть я так и не понял
|
|||
476
zak555
23.01.14
✎
23:38
|
(473) ну форматнём один разок, потому научишься использовать iptables
|
|||
477
zak555
23.01.14
✎
23:38
|
(475) в письме
|
|||
478
Diter
23.01.14
✎
23:39
|
все увидел. в исходящих нет (я там смотрел). во входящих - видно
|
|||
479
Bigcalm
23.01.14
✎
23:40
|
(476) Чего ты там форматировать собрался? Устройства маршрутизации провайдера?
|
|||
480
Diter
23.01.14
✎
23:40
|
да уж...
|
|||
481
zak555
23.01.14
✎
23:40
|
(479_ т-с-с
|
|||
482
Питерский_
Никола 23.01.14
✎
23:42
|
(480) Вырубай комп быстрее )))) а то zak555 уже пароль подобрал )))
|
|||
483
Bigcalm
23.01.14
✎
23:42
|
(481) Не ну расскажи как ты достучишься до 192.168.2.22? :)
|
|||
484
Diter
23.01.14
✎
23:42
|
так удалите художества этого неадеквата....
|
|||
485
zak555
23.01.14
✎
23:43
|
(483) перебором портов, которые прокинуты на шлюзе
|
|||
486
Питерский_
Никола 23.01.14
✎
23:44
|
(484) Поздно миста индексируется через 20 сек. после появления сообщения, все ты под колпаком ))) и в записной книжке у мизантропа ))
|
|||
487
Diter
23.01.14
✎
23:45
|
(485) ни одного порта не прокинуто ;)~
|
|||
488
Diter
23.01.14
✎
23:45
|
(486) провайдер мой друг. позвонил щас ip белый будет изменён ;)
|
|||
489
Diter
23.01.14
✎
23:46
|
щас только порнуху с шары уберу на всяк случай ;)
|
|||
490
Bigcalm
23.01.14
✎
23:48
|
Хотя да, если он он узнал IP машины, которая за натом прова, то тогда да, любым сканером портов можно промониторить порт на которые можно подключится, далее какой-нить троян, или что-то в этом духе... И привет)))
|
|||
491
Diter
23.01.14
✎
23:48
|
(490) например? через какой порт можно подключиться если ни один проброс не настроен?
|
|||
492
Diter
23.01.14
✎
23:49
|
теперь представь что ip внутренний я поменял сразу как только увидел пост 471
|
|||
493
Diter
23.01.14
✎
23:49
|
как и подсеть
|
|||
494
Diter
23.01.14
✎
23:49
|
дело 10 секунд
|
|||
495
Bigcalm
23.01.14
✎
23:49
|
Проброс уже не нужен, он имеет доступ к 192.168.2.22
|
|||
496
Diter
23.01.14
✎
23:49
|
и теперь у меня 192.168.9.11
|
|||
497
Diter
23.01.14
✎
23:49
|
(495) каким образом?
|
|||
498
Bigcalm
23.01.14
✎
23:50
|
(497) Понятия не имею, вопрос к этому скрипткидди"
|
|||
499
Diter
23.01.14
✎
23:53
|
только если настроен проброс порта. иначе никак имхо
|
|||
500
Bigcalm
23.01.14
✎
23:56
|
(499) Ты бы комп выключил на всякий пожарный, мало ли там чем зак орудует сейчас :)))
|
|||
501
Diter
24.01.14
✎
00:00
|
(500) ip сменён уже говорю же. директор провайдера мой друг. я звонок сделал и белый ip теперь уже другой
|
|||
502
Diter
24.01.14
✎
00:00
|
и внутренний тоже, и подсеть тоже
|
|||
503
Diter
24.01.14
✎
00:00
|
сказать?
|
|||
504
Принт
24.01.14
✎
00:01
|
(499) смотря насколько шлюз не дубовый
|
|||
505
Diter
24.01.14
✎
00:02
|
(504) т.е. "не дубовый"? самый обычный шлюз. тп-линк
|
|||
506
Bigcalm
24.01.14
✎
00:05
|
(503) Мне то зачем? В следующий раз просто не надо людям самостоятельно отдавать доступ до своего информационного пространства.
Тебя развели на wiki:Социальная_инженерия Просто будь внимательнее. |
|||
507
Принт
24.01.14
✎
00:06
|
(505) без багов в прошивке
|
|||
508
Diter
24.01.14
✎
00:07
|
(506) да нет. тут все ровно. получается все кому я отправляю письма видят ip моего роутера и компа. а это означает что правильно я сделал что настроил сервак так, что с него ничего не отправишь. и порты нестандартные и диапазон допустимых ip на вход.... молодец я ;)
|
|||
509
Сержант 1С
24.01.14
✎
00:52
|
на каждый роутер есть список дыр к каждой прошивке
|
|||
510
Diter
24.01.14
✎
00:56
|
(509) возможно но надо знать и прошивку к тому же - версию
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |