Имя: Пароль:
IT
Как страшно жить
Вот и нас хакнули.
🠗 (длинная ветка 24.01.2014 00:00)
, , ,
0 Godofsin
 
13.01.14
06:58
Поздравляйте. В 4 утра ломанули админку на Сервере 2003, спокойно установили программу шифрования и зашифровали все диски, кроме системного. Под админом в автозагрузке текстовичок с указанием киви-кошелька, куда платить за дешифровку. Приехали, млять. Пошли башлять.
Кто сталкивался? Бабло уйдет в никуда или таки пришлют ключ дешифрования?
411 Jump
 
14.01.14
11:54
(0)А подскажи, чисто для общего образования - какой пароль(длина, спецсимволы) и какой протокол RDP? И почему думаете что именно  по RDP ломанули?
412 Godofsin
 
14.01.14
11:58
(411) я хз, не сисадмин. То, что по РДП - говорит, по логам вычислил.
413 Принт
 
14.01.14
12:37
(407) >гыгы, опять XP/2003
поди и не обновлённые
414 Дтл
 
14.01.14
12:40
(0)зарплату задерживают?
415 Explorer1c
 
14.01.14
12:43
(412) по логам ахахах, что за бред!
416 Jump
 
14.01.14
12:46
Ну почему сразу бред? Можно и по логам, правда это будет скорее предположение, нежели точный факт.
417 Принт
 
14.01.14
12:46
Тем временем Cisco удалит бэкдоры из своих маршрутизаторов
http://www.securitylab.ru/news/448883.php
418 Midaw
 
14.01.14
12:51
(417) вот это уже даже не смешно :)
419 Midaw
 
14.01.14
12:51
но без XP никуда! )
420 zak555
 
14.01.14
12:52
(419) даже в поликлиниках столицы у врачей стоят компы с ебунтой
421 Принт
 
14.01.14
12:53
(420) ростелекому об этом кто-нибудь рассказал бы
422 zak555
 
14.01.14
12:53
(421) про этого "урода" даже говорить не хочу
423 Godofsin
 
14.01.14
12:57
(417) Прикольно
424 Принт
 
14.01.14
13:09
Cisco хоть удаляют, тогда как D-Link про некоторые знают, но заниматься ими не собираются.
425 Midaw
 
14.01.14
13:13
(424) также как Asus и многие другие.
426 Cerera
 
14.01.14
13:14
А разве в таких случаях отдел К не подключают?
427 zak555
 
14.01.14
13:19
(426) он только по тебе специализируется
428 fmrlex
 
14.01.14
13:23
(424) dd-wrt ставь на длинк и спи спокойно.
429 Torquader
 
14.01.14
14:24
Ломанули - понятно,
а вот такой вопрос - если сервак остановить - загрузиться с другой системы и "собрать" RAID в работу, а потом посмотреть недавно удалённые файлы - есть вероятность, что и зловред найдётся, а, может быть, даже и ключ.
430 Voronve
 
14.01.14
14:27
(429) Blowfish + XOR - вряд ли ключ найдется
431 vlandev
 
14.01.14
14:30
(429) Ага , только надо успеть вытащить диск из рейда именно в тот момент , пока зловред еще не удалил себя с ключами и еще не зашифровал файлы :)
432 SherifSP
 
14.01.14
14:44
Так есть же программы по восстановлению удаленных данных, даже если диск был отформатирован или я ошибаюсь?
433 ЧеловекДуши
 
14.01.14
15:00
(432) Ты о чем? :)
434 ЧеловекДуши
 
14.01.14
15:01
+(432) Можно к примеру не удалять Зловредный файл, а попросту его очистить :)
А потом еще и удалить.
435 Принт
 
14.01.14
15:52
(428) уже стоит, расслабься
436 Glenas
 
15.01.14
11:05
437 zak555
 
15.01.14
11:14
(436) так у тебя же на киви-кошелёк захотели

а ты идею подкинул про крипто-валюту ))
438 Midaw
 
15.01.14
11:20
(436) хорошая статья, имхо.
439 zak555
 
15.01.14
11:26
(436) > Говорят, новое — хорошо забытое старое, и CryptoLocker не исключение.


сейчас авнтивири не распознают вири, которые были в 2000х годах

=> не удивительно
440 zak555
 
15.01.14
11:28
надо создать профсоюз, в который будут жаловаться кинутые работники

далее профсоюз шифрует всё у нерадивого работодателя и расшифровывает за биткоин

полученный доход идёт на компенсацию обратившегося и на уставные цели

по-моему, отлично придумал
441 Принт
 
15.01.14
11:28
>сейчас авнтивири не распознают вири, которые были в 2000х годах
а я всё думал, как они будут бороть падеж производительности при распухании базы?
442 adelaide
 
15.01.14
11:36
(45) закатай губу, никто ничего не починит и не обязан... да и не смогут они расшифровать там нормальный алгоритм шифрования используется причем для каждого отдельного случая свой ключ шифрования, заплатить по любому дешевле чем пытаться расшифровать.
443 zak555
 
15.01.14
11:37
(441) в инете как раз читал статью в октябре того года про это

т.е. все старые методы сейчас актуальны и антивири их не видят
444 Glenas
 
15.01.14
11:39
(437) Почему я? Соседка подхватила такую же заразу, обратилась ко мне. Чем я могу помочь.. Пожал плечами, на предыдущие версии локера есть дешифраторы, а сейчас они на каждое заражении порядковый номер придумали в названии файла
445 Glenas
 
15.01.14
11:41
(443) Особенно Eset подвержен с их урезанными базами старых детектов
446 Glenas
 
15.01.14
11:42
(444) + там была просьба помось африканским детям в виде 0,4 Биткоина
447 zak555
 
15.01.14
12:14
(445) там на 10 авнтирей проверяли
каспер, авасты, вэбы, нортом и т.д.
448 adelaide
 
15.01.14
16:34
(294) за нефиг делать, это намного проще чем перехватить смс, практически все смс-провайдеры дают возможность указать любые символы в поле отправитель, а операторы пропускают...
449 Принт
 
15.01.14
16:41
смс-провайдеры - кто такие?
450 Dmitry1c
 
22.01.14
17:13
Позвонил друг и описал подобную ситуацию.

Походу, кто-то неплохо поднял бабла на своем вирусе.
451 Сержант 1С
 
22.01.14
23:42
(450) этих кто-то тыщи, принцип описан подробно, бери да пиши. Пока есть ларьки с дырищами в безопасности и паролем "1" - эти шифровальщики будут неплохо кормиться.
452 zak555
 
23.01.14
22:57
(451) интересно, что будет после этого шифрования =)
453 Diter
 
23.01.14
23:10
простоте что влазию но у меня вот какой вопрос - чтобы подключиться по РДП даже с пробросом портов нужно как минимум :

1. знать ip роутера на входе
2. отсканировать порты
3. попробовать подключиться по рдп
4. подобрать логин и пароль

меня смущает пункт № 1. Ну не долбит же их робот все ip по очереди
454 Diter
 
23.01.14
23:10
простоте=простите
455 zak555
 
23.01.14
23:12
> знать ip роутера на входе

перведи
456 Diter
 
23.01.14
23:13
(455) белый ip надо знать чтобы порты сканить
457 Diter
 
23.01.14
23:13
я к чему. вот например есть у меня клиент. у него белый статичный ip. стоит задача - ломануть его по рдп. вопрос - как узнать его ip? имхо без внутреннего крысятничества не обошлось
458 zak555
 
23.01.14
23:14
(457) отсылает письмо твой клиент мне -- я знаю его IP

далее дело техники
459 Diter
 
23.01.14
23:16
(458) стоп. что значит "отсылает письмо твой клиент мне -- я знаю его IP"? т.е. если он отправляет письмо с сервера через бат - там фиксируется белый ip WANa?
460 zak555
 
23.01.14
23:17
(459) он даже, если напишет письмо из яндекса -- ip мне будет известен )))
461 Diter
 
23.01.14
23:17
(460) поясни
462 Diter
 
23.01.14
23:18
а если из локалки письмо будет? все одно видно?
463 zak555
 
23.01.14
23:22
посмотри заголовок письма -- всё станет на свои места
464 Diter
 
23.01.14
23:23
хм... щас
465 Diter
 
23.01.14
23:26
нифига не вижу кроме чисто почтовых реквизитов

Date: Thu, 23 Jan 2014 09:10:11 +0300
From: =?windows-1251?B?wO3k8OXpIMrz9+Xw5e3q7g==?= <мой алрес>
X-Priority: 3 (Normal)
Message-ID: <[email protected]>
To: =?windows-1251?B?0PPx6+DtINfz6eru?= <адрес получателя>
Subject: Fwd:
In-Reply-To: <[email protected]>
References: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------04F0FF1EF27CD0BD7"
466 zak555
 
23.01.14
23:27
Received: from
467 Diter
 
23.01.14
23:28
(466) да где это увидить?
468 Diter
 
23.01.14
23:34
светани мыло я тебе кину письмо пустышку. а ты скажешь мне мой ip
469 zak555
 
23.01.14
23:34
(468) в личке
470 Diter
 
23.01.14
23:36
лови. надеюсь ума хватит сказать тут не весь ip а последние две секции? ;)
471 zak555
 
23.01.14
23:36
Received: from [91.203.167.94] (port=35053 helo=[192.168.2.22])
472 zak555
 
23.01.14
23:37
(470) не хватило
473 Diter
 
23.01.14
23:37
бл....
474 zak555
 
23.01.14
23:37
IP     91.203.167.94
Хост:     94-167-203-91.zeus.poltava.ua
Город:     Кременчуг
Страна:     Ukraine
IP диапазон:     91.203.164.0 - 91.203.167.255
Название провайдера:     FOP Koval Dmitro Orestovich
475 Diter
 
23.01.14
23:38
все верно. но хоть убей где это увидеть я так и не понял
476 zak555
 
23.01.14
23:38
(473) ну форматнём один разок, потому научишься использовать iptables
477 zak555
 
23.01.14
23:38
(475) в письме
478 Diter
 
23.01.14
23:39
все увидел. в исходящих нет (я там смотрел). во входящих - видно
479 Bigcalm
 
23.01.14
23:40
(476) Чего ты там форматировать собрался? Устройства маршрутизации провайдера?
480 Diter
 
23.01.14
23:40
да уж...
481 zak555
 
23.01.14
23:40
(479_ т-с-с
482 Питерский_
Никола
 
23.01.14
23:42
(480) Вырубай комп быстрее )))) а то zak555 уже пароль подобрал )))
483 Bigcalm
 
23.01.14
23:42
(481) Не ну расскажи как ты достучишься до 192.168.2.22? :)
484 Diter
 
23.01.14
23:42
так удалите художества этого неадеквата....
485 zak555
 
23.01.14
23:43
(483) перебором портов, которые прокинуты на шлюзе
486 Питерский_
Никола
 
23.01.14
23:44
(484) Поздно миста индексируется через 20 сек. после появления сообщения, все ты под колпаком ))) и в записной книжке у мизантропа ))
487 Diter
 
23.01.14
23:45
(485) ни одного порта не прокинуто ;)~
488 Diter
 
23.01.14
23:45
(486) провайдер мой друг. позвонил щас ip белый будет изменён ;)
489 Diter
 
23.01.14
23:46
щас только порнуху с шары уберу на всяк случай ;)
490 Bigcalm
 
23.01.14
23:48
Хотя да, если он он узнал IP машины, которая за натом прова, то тогда да, любым сканером портов можно промониторить порт на которые можно подключится, далее какой-нить троян, или что-то в этом духе... И привет)))
491 Diter
 
23.01.14
23:48
(490) например? через какой порт можно подключиться если ни один проброс не настроен?
492 Diter
 
23.01.14
23:49
теперь представь что ip внутренний я поменял сразу как только увидел пост 471
493 Diter
 
23.01.14
23:49
как и подсеть
494 Diter
 
23.01.14
23:49
дело 10 секунд
495 Bigcalm
 
23.01.14
23:49
Проброс уже не нужен, он имеет доступ к 192.168.2.22
496 Diter
 
23.01.14
23:49
и теперь у меня 192.168.9.11
497 Diter
 
23.01.14
23:49
(495) каким образом?
498 Bigcalm
 
23.01.14
23:50
(497) Понятия не имею, вопрос к этому скрипткидди"
499 Diter
 
23.01.14
23:53
только если настроен проброс порта. иначе никак имхо
500 Bigcalm
 
23.01.14
23:56
(499) Ты бы комп выключил на всякий пожарный, мало ли там чем зак орудует сейчас :)))
501 Diter
 
24.01.14
00:00
(500) ip сменён уже говорю же. директор провайдера мой друг. я звонок сделал и белый ip теперь уже другой
502 Diter
 
24.01.14
00:00
и внутренний тоже, и подсеть тоже
503 Diter
 
24.01.14
00:00
сказать?
504 Принт
 
24.01.14
00:01
(499) смотря насколько шлюз не дубовый
505 Diter
 
24.01.14
00:02
(504) т.е. "не дубовый"? самый обычный шлюз. тп-линк
506 Bigcalm
 
24.01.14
00:05
(503) Мне то зачем? В следующий раз просто не надо людям самостоятельно отдавать доступ до своего информационного пространства.
Тебя развели на wiki:Социальная_инженерия
Просто будь внимательнее.
507 Принт
 
24.01.14
00:06
(505) без багов в прошивке
508 Diter
 
24.01.14
00:07
(506) да нет. тут все ровно. получается все кому я отправляю письма видят ip моего роутера и компа. а это означает что правильно я сделал что настроил сервак так, что с него ничего не отправишь. и порты нестандартные и диапазон допустимых ip на вход.... молодец я ;)
509 Сержант 1С
 
24.01.14
00:52
на каждый роутер есть список дыр к каждой прошивке
510 Diter
 
24.01.14
00:56
(509) возможно но надо знать и прошивку к тому же - версию