Вирусы шифровальщики.

[ Версия для печати ]
Добавить в Telegram Добавить в Twitter Добавить в Вконтакте Добавить в Одноклассники
Страницы: (3) [1] 2 3   К последнему непрочитанному [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]
Luka123
4.07.2017 - 12:02
Статус: Offline


Весельчак

Регистрация: 12.05.14
Сообщений: 178
14
Доброго времени суток комрады. Прошу совета от знающих людей. Буду краток. В общем организация, в которой работаю, в связи с последними событиями было решено отделить мух от котлет внутреннею сеть от интернета. Сделано это было следующиим образом, примерно 20 компов в локалке и 3 компа в своей сети выведены отдельно для интернета. Фишка в том, что теперь что бы отправить почту надо с флешки перекидывать доки на комп который смотрит в инет и с него отправлять. Собственно процесс получения почты такой же. Скачанные файлы через флэшку идут на компы внутренней сети. Мысль такая что шифровальщику что бы начать работать надо интернет соединение, я имею ввиду что если вирус через флэшку попадет на сетевой комп ( всякое может быть) он по идее без доступа в интернет не сработает?

Сильно не пинайте smile.gif
 
[^]
Yap
[x]



Продам слона

Регистрация: 10.12.04
Сообщений: 1488
 
[^]
GrizlyBear
4.07.2017 - 12:04
11
Статус: Offline


Приколист

Регистрация: 28.07.15
Сообщений: 243
сработает. Есл ты вложение ( вирусное ) перетащишь во внутреннюю сеть, то он также распространится по локальной сети.
 
[^]
Rukozhop
4.07.2017 - 12:05
16
Статус: Online


И так сойдет!

Регистрация: 23.12.13
Сообщений: 1089
Фаервол, прокси?
Нет не знаем.. Будем с флешками дрочиться gigi.gif
 
[^]
Luka123
4.07.2017 - 12:07
2
Статус: Offline


Весельчак

Регистрация: 12.05.14
Сообщений: 178
Цитата (GrizlyBear @ 4.07.2017 - 12:04)
сработает. Есл ты вложение ( вирусное ) перетащишь во внутреннюю сеть, то он также распространится по локальной сети.

Насколько я знаю запускается исполяняемый файл и коннектится к своим серверам, оттуда качается алгоритм и ключ шифрования. Каждый раз разный. Вроде так было.
 
[^]
Luka123
4.07.2017 - 12:08
1
Статус: Offline


Весельчак

Регистрация: 12.05.14
Сообщений: 178
Цитата (Rukozhop @ 4.07.2017 - 12:05)
Фаервол, прокси?
Нет не знаем.. Будем с флешками дрочиться gigi.gif

У нас стоит прокси, но вышестоящая организация, которая нам через этот сервер предоставляет доступ сказала что это никакой роли не играет.
Будем дрочиться так как скажет руководство. Если понадобится и флопики вернем )))

Это сообщение отредактировал Luka123 - 4.07.2017 - 12:11
 
[^]
limurchick
4.07.2017 - 12:14
14
Статус: Offline


Приколист

Регистрация: 15.01.14
Сообщений: 332
Чем больше таких "недо-админов" существуют, тем более я ценен на рынке труда.

Отвечая на вопрос - прислали експолит/вирус/шифровальщик почтой и антивирус на машине(откуда забираете почту) его не распознал. Дальше вы забрали почту на флешку и загрузили на свою машину. Открыли файл - все ваша машинка заражена. Если кто-то еще есть в той же сети с вами(20 компов) и у них не настроены правила фаервола/блокировки/изоляции - пиши пропало.

Нужно то всего для минимума:
Провести стандартную изоляцию клиентов друг от друга.
Убрать админские учетки у пользователей.
Запуск только разрешенных exe'шников/программ.
Человеческие и нормальные правила в корпоративной сети с блокировками/фаевролом/доступами.
Выключить smbv1 везде.
Убрать файлопомойку(или правильно организовать доступ к ней).

Это сообщение отредактировал limurchick - 4.07.2017 - 12:15
 
[^]
alexcap2010
4.07.2017 - 12:18
9
Статус: Offline


Ярила

Регистрация: 31.07.10
Сообщений: 1753
файлы надо переносить на перфокарте!!!
 
[^]
ktototam
4.07.2017 - 12:21
5
Статус: Offline


Ярила

Регистрация: 13.07.12
Сообщений: 1216
Абсолютно глупое решение глупого админа....
настроить права
плюс антивирь надрочить что бы не разрешал открывать не сопоставленные предложению файлы
плюс последние обновления аутглюка теперь борются с файлом если что в имени не понравилось
а так дурная голова и на флешке принесет
 
[^]
GrizlyBear
4.07.2017 - 12:22
0
Статус: Offline


Приколист

Регистрация: 28.07.15
Сообщений: 243
Цитата (Luka123 @ 4.07.2017 - 12:07)
Цитата (GrizlyBear @ 4.07.2017 - 12:04)
сработает. Есл ты вложение ( вирусное ) перетащишь во внутреннюю сеть, то он также распространится по локальной сети.

Насколько я знаю запускается исполяняемый файл и коннектится к своим серверам, оттуда качается алгоритм и ключ шифрования. Каждый раз разный. Вроде так было.

мы говорим о какой то конкретной версии вируса или в общем ?
Сам вирус самодостаточен. Он заражает локальный компьютер, сканит локальную сеть на предмет открытых ресурсов, непропатченных уязвимостей и прочей тупости админа и только потом пытается подключиться ( и то, если в него заложен такой функционал ) к внешним ресурсам ( для создания ботнета, например ).
В общем, всё зависит от того, чо вы понесёте на флешке.

Это сообщение отредактировал GrizlyBear - 4.07.2017 - 12:22
 
[^]
MECHLAB
4.07.2017 - 12:24
-1
Статус: Offline


Ярила

Регистрация: 22.08.15
Сообщений: 4701
Цитата (Rukozhop @ 4.07.2017 - 12:05)
Фаервол, прокси?
Нет не знаем.. Будем с флешками дрочиться gigi.gif

лучше на дискетах - так надежнее
 
[^]
ispcto
4.07.2017 - 12:25
0
Статус: Offline


Ярила

Регистрация: 26.04.15
Сообщений: 4162
Цитата (limurchick @ 4.07.2017 - 12:14)
Нужно то всего для минимума:
Провести стандартную изоляцию клиентов друг от друга.
Убрать админские учетки у пользователей.
Запуск только разрешенных exe'шников/программ.
Человеческие и нормальные правила в корпоративной сети с блокировками/фаевролом/доступами.
Выключить smbv1 везде.
Убрать файлопомойку(или правильно организовать доступ к ней).

Боженька, спасибо тебе, что позволил уйти из этого ада 10 лет назад...
 
[^]
Luka123
4.07.2017 - 12:29
2
Статус: Offline


Весельчак

Регистрация: 12.05.14
Сообщений: 178
Цитата (ktototam @ 4.07.2017 - 12:21)
Абсолютно глупое решение глупого админа....
настроить права
плюс антивирь надрочить что бы не разрешал открывать не сопоставленные предложению файлы
плюс последние обновления аутглюка теперь борются с файлом если что в имени не понравилось
а так дурная голова и на флешке принесет

Сегодня было вложение rezume.js ни антивир не оутлук ничего не отреагировало на него. Благо успели вовремя узреть и удалить.
 
[^]
Hanglider
4.07.2017 - 12:29
0
Статус: Offline


Ярила

Регистрация: 3.01.15
Сообщений: 2491
Демилитаризованную зону на роутерах класса SOHO и Enterprise для серверов и для страждущих рабочих станций, ИМХО, придумали напрасно?
ТС, посмотри в эту сторону - это и проще и дешевле и надежнее.
Для любого чиха: почты, http, https, банк-клиента, ftp - вообще всего! На на роутере нужно будет писать правило для открытия именно этого порта. При таком подходе нагнуть компы в DMZ будет куда труднее чем те, которые за роутером, настроенном в режиме "дыра".

Лично у меня за DMZ прячутся сервера и комп с банк-клиентами. Для серверов открыты только порты для внутренних IP+МАС-ов, для банк-клиента - только внешка и шара с бухами.
Для внутренней сети на роутере открыты 21, 25, 53, 80, 110, 443, 465, 995, 2042, 5039 порты. При чем не для всех и всем!!! Почта - да, всем, но прямой доступ к мессенджерам - только тем, кто внятно написал объяснительную для чего им это надо.

В общем, сисадмин - это не просто работа, но много знаний, умений, навыков, возможностей, делания....

Это сообщение отредактировал Hanglider - 4.07.2017 - 12:39
 
[^]
Luka123
4.07.2017 - 12:33
1
Статус: Offline


Весельчак

Регистрация: 12.05.14
Сообщений: 178
Господа, прошу принять к сведению некоторые моменты.
1. от админиских учеток не отойти. Никак. Совсем.
2. Работает через прокси
3. Антивир тоже неайс.

Просто войдите в положение админа и поймите что он не всемогущ, а выполняет поставленную задачу без вложений, затрат и всего остального. Работает с тем что имеет. Поэтому было принято такое решение! и да, есть опасения что кто-нибудь принесет вирус на флешке, но судя с саппорта касперского, шифровальщик в локалке без инета ничего не сделает.
 
[^]
Luka123
4.07.2017 - 12:35
-1
Статус: Offline


Весельчак

Регистрация: 12.05.14
Сообщений: 178
Цитата (Hanglider @ 4.07.2017 - 12:29)
Демилитаризованную зону на роутерах класса SOHO и Enterprise для серверов и для страждущих рабочих станций, ИМХО, придумали напрасно?
ТС, посмотри в эту сторону - это и проще и дешевле и надежнее.
Для любого чиха: почты, http, https, банк-клиента, ftp - вообще всего! На на роутере нужно будет писать правило для открытия именно этого порта. При таком подходе нагнуть компы в DMZ будет куда труднее чем те, которые за роутером, настроенном в режиме "дыра".

у нас один выделенный порт. и мы не имеем право его менять....
 
[^]
Ludmilka9694
4.07.2017 - 12:39
0
Статус: Offline


Ярила

Регистрация: 27.02.15
Сообщений: 1204
Цитата (Luka123 @ 4.07.2017 - 16:29)
Цитата (ktototam @ 4.07.2017 - 12:21)
Абсолютно глупое решение глупого админа....
настроить права
плюс антивирь надрочить что бы не разрешал открывать не сопоставленные предложению файлы
плюс последние обновления аутглюка теперь борются с файлом если что в имени не понравилось
а так дурная голова и на флешке принесет

Сегодня было вложение rezume.js ни антивир не оутлук ничего не отреагировало на него. Благо успели вовремя узреть и удалить.

Мы в прошлую пятницу словили шифровальщика. По почте пришло письмо, вложен архив. Типа неоплаченные счета. Секретарша открыла архив и вирус кинулся шифровать сетевой диск. Почти весь успел зашифровать. АСУшники спохватились, отключили другие диски. Короче, наш "грамотный" народ хранил на сетевом диске нужную документацию и копий на жестком диске не имел. Печалька.
Вчера пришло еще одно письмо, типа из налоговой, а адрес левый mail.ru. Во вложении файл с названием DOC и расширением scr.uuue (точно не помню). Др веб никак не среагировал ни в от раз , ни в этот. Письмо в тех поддержку отправили, а они написали, что нужно докупать еще какой-то модуль дополнительно (а мы бюджетники, и лицензию нам область покупает). Блин, раньше стоял нод 32 и он такие письма в аутлуке сразу отсортировывал в папку "зараженные". Др веб их никак не видит и при открытии не реагирует. Короче получили дурдом на свою голову и теперь сотрудникам светит учеба по информационной безопасности. Для интереса отправили письмо злоумышленникам, они готовы за 0,15 биткойнов прислать ключ.

Это сообщение отредактировал Ludmilka9694 - 4.07.2017 - 12:41
 
[^]
Hanglider
4.07.2017 - 12:41
2
Статус: Offline


Ярила

Регистрация: 3.01.15
Сообщений: 2491
Цитата (Luka123 @ 4.07.2017 - 14:35)
Цитата (Hanglider @ 4.07.2017 - 12:29)
Демилитаризованную зону на роутерах класса SOHO и Enterprise для серверов и для страждущих рабочих станций, ИМХО, придумали  напрасно?
ТС, посмотри в эту сторону - это и проще и дешевле и надежнее. 
Для любого чиха: почты, http, https, банк-клиента, ftp - вообще всего! На на роутере нужно будет писать правило для открытия именно этого порта. При таком подходе нагнуть компы в DMZ будет куда труднее чем те, которые за роутером, настроенном в режиме "дыра".

у нас один выделенный порт. и мы не имеем право его менять....

??? Один порт - это что?
Порт - для подключения своего оборудования? Или порт протокола?
Если оборудования - то я Вас умоляю! Ставишь на оконечник ЛЮБОЙ роутер и правишь свою сетку как тебе надо.
Если порт протокола... Хехехе.... Как оно у вас вообще работает?!

ЗЫ. Тебе, судя по всему, выделен порт оборудования. Т.е. к тебе приходит какой-то внешний IP-шник. Вот на этот порт ты и вешаешь роутер типа любого "микротика" или DFL>860. НУ или любого аналога, в котором есть DMZ. Поднимаешь NAT на СВОЕМ роутере/маршрутизаторе/межсетевлм экране. и настраиваешь что угодно. за тем портом, который тебе выделен кем угодно, по прежнему прячутся все твои 20+3 компа.

Это сообщение отредактировал Hanglider - 4.07.2017 - 12:45
 
[^]
ikhis
4.07.2017 - 12:43
0
Статус: Offline


Весельчак

Регистрация: 30.10.14
Сообщений: 159
Цитата (Ludmilka9694 @ 4.07.2017 - 12:39)
Цитата (Luka123 @ 4.07.2017 - 16:29)
Цитата (ktototam @ 4.07.2017 - 12:21)
Абсолютно глупое решение глупого админа....
настроить права
плюс антивирь надрочить что бы не разрешал открывать не сопоставленные предложению файлы
плюс последние обновления аутглюка теперь борются с файлом если что в имени не понравилось
а так дурная голова и на флешке принесет

Сегодня было вложение rezume.js ни антивир не оутлук ничего не отреагировало на него. Благо успели вовремя узреть и удалить.

Мы в прошлую пятницу словили шифровальщика. По почте пришло письмо, вложен архив. Типа неоплаченные счета. Секретарша открыла архив и вирус кинулся шифровать сетевой диск. Почти весь успел зашифровать. АСУшники спохватились, отключили другие диски. Короче, наш "грамотный" народ хранил на сетевом диске нужную документацию и копий на жестком диске не имел. Печалька.
Вчера пришло еще одно письмо, типа из налоговой, а адрес левый mail.ru. Во вложении файл с названием DOC и расширением scr.uuue (точно не помню). Др веб никак не среагировал ни в от раз , ни в этот. Письмо в тех поддержку отправили, а они написали, что нужно докупать еще какой-то модуль дополнительно (а мы бюджетники, и лицензию нам область покупает). Блин, раньше стоял нод 32 и он такие письма в аутлуке сразу отсортировывал в папку "зараженные". Др веб их никак не видит и при открытии не реагирует. Короче получили дурдом на свою голову и теперь сотрудникам светит учеба по информационной безопасности. Для интереса отправили письмо злоумышленникам, они готовы за 0,15 биткойнов прислать ключ.

Вот сколько таких, приходют, плачут, жалко их, а сделать уже ничего нельзя.
 
[^]
Ludmilka9694
4.07.2017 - 12:49
0
Статус: Offline


Ярила

Регистрация: 27.02.15
Сообщений: 1204
Цитата (ikhis @ 4.07.2017 - 16:43)
Цитата (Ludmilka9694 @ 4.07.2017 - 12:39)
Цитата (Luka123 @ 4.07.2017 - 16:29)
Цитата (ktototam @ 4.07.2017 - 12:21)
Абсолютно глупое решение глупого админа....
настроить права
плюс антивирь надрочить что бы не разрешал открывать не сопоставленные предложению файлы
плюс последние обновления аутглюка теперь борются с файлом если что в имени не понравилось
а так дурная голова и на флешке принесет

Сегодня было вложение rezume.js ни антивир не оутлук ничего не отреагировало на него. Благо успели вовремя узреть и удалить.

Мы в прошлую пятницу словили шифровальщика. По почте пришло письмо, вложен архив. Типа неоплаченные счета. Секретарша открыла архив и вирус кинулся шифровать сетевой диск. Почти весь успел зашифровать. АСУшники спохватились, отключили другие диски. Короче, наш "грамотный" народ хранил на сетевом диске нужную документацию и копий на жестком диске не имел. Печалька.
Вчера пришло еще одно письмо, типа из налоговой, а адрес левый mail.ru. Во вложении файл с названием DOC и расширением scr.uuue (точно не помню). Др веб никак не среагировал ни в от раз , ни в этот. Письмо в тех поддержку отправили, а они написали, что нужно докупать еще какой-то модуль дополнительно (а мы бюджетники, и лицензию нам область покупает). Блин, раньше стоял нод 32 и он такие письма в аутлуке сразу отсортировывал в папку "зараженные". Др веб их никак не видит и при открытии не реагирует. Короче получили дурдом на свою голову и теперь сотрудникам светит учеба по информационной безопасности. Для интереса отправили письмо злоумышленникам, они готовы за 0,15 биткойнов прислать ключ.

Вот сколько таких, приходют, плачут, жалко их, а сделать уже ничего нельзя.

И ведь проводили учебу и объясняли, наши юзеры отмахнулись "мы ничо в этом не понимаем" и на этом все. Вот теперь пожинают плоды.
 
[^]
Hanglider
4.07.2017 - 12:52
0
Статус: Offline


Ярила

Регистрация: 3.01.15
Сообщений: 2491
Цитата (Ludmilka9694 @ 4.07.2017 - 14:39)
Цитата (Luka123 @ 4.07.2017 - 16:29)
Цитата (ktototam @ 4.07.2017 - 12:21)
Абсолютно глупое решение глупого админа....
настроить права
плюс антивирь надрочить что бы не разрешал открывать не сопоставленные предложению файлы
плюс последние обновления аутглюка теперь борются с файлом если что в имени не понравилось
а так дурная голова и на флешке принесет

Сегодня было вложение rezume.js ни антивир не оутлук ничего не отреагировало на него. Благо успели вовремя узреть и удалить.

Мы в прошлую пятницу словили шифровальщика. По почте пришло письмо, вложен архив. Типа неоплаченные счета. Секретарша открыла архив и вирус кинулся шифровать сетевой диск. Почти весь успел зашифровать. АСУшники спохватились, отключили другие диски. Короче, наш "грамотный" народ хранил на сетевом диске нужную документацию и копий на жестком диске не имел. Печалька.
Вчера пришло еще одно письмо, типа из налоговой, а адрес левый mail.ru. Во вложении файл с названием DOC и расширением scr.uuue (точно не помню). Др веб никак не среагировал ни в от раз , ни в этот. Письмо в тех поддержку отправили, а они написали, что нужно докупать еще какой-то модуль дополнительно (а мы бюджетники, и лицензию нам область покупает). Блин, раньше стоял нод 32 и он такие письма в аутлуке сразу отсортировывал в папку "зараженные". Др веб их никак не видит и при открытии не реагирует. Короче получили дурдом на свою голову и теперь сотрудникам светит учеба по информационной безопасности. Для интереса отправили письмо злоумышленникам, они готовы за 0,15 биткойнов прислать ключ.

"Сисадмины делятся на тех, кто делает бэкапы, и тех, кто БУДЕТ делать бэкапы." ©, не мое.
Теперь есть смысл написать на имя супер-пупер начальников план развития и покупки необходимого оборудования: NAS-a на 4-6-8 дисков, самих жестких дисков в количестве 4-6-8 штук, и настройки доступа и копирования данных сервера по любому протоколу на настроенный NAS. На NASе включается сетевая корзина и вааще можно забыть про все!
К примеру - про ушлого уволенного сотрудника, который сотрет все свое на сервере - в копиях и в сетевой папке остается все.
cool.gif Рекомендую!
 
[^]
Volandk
4.07.2017 - 12:52
1
Статус: Offline


Юморист

Регистрация: 16.02.16
Сообщений: 540
Цитата (Ludmilka9694 @ 4.07.2017 - 12:49)
Цитата (ikhis @ 4.07.2017 - 16:43)
Цитата (Ludmilka9694 @ 4.07.2017 - 12:39)
Цитата (Luka123 @ 4.07.2017 - 16:29)
Цитата (ktototam @ 4.07.2017 - 12:21)
Абсолютно глупое решение глупого админа....
настроить права
плюс антивирь надрочить что бы не разрешал открывать не сопоставленные предложению файлы
плюс последние обновления аутглюка теперь борются с файлом если что в имени не понравилось
а так дурная голова и на флешке принесет

Сегодня было вложение rezume.js ни антивир не оутлук ничего не отреагировало на него. Благо успели вовремя узреть и удалить.

Мы в прошлую пятницу словили шифровальщика. По почте пришло письмо, вложен архив. Типа неоплаченные счета. Секретарша открыла архив и вирус кинулся шифровать сетевой диск. Почти весь успел зашифровать. АСУшники спохватились, отключили другие диски. Короче, наш "грамотный" народ хранил на сетевом диске нужную документацию и копий на жестком диске не имел. Печалька.
Вчера пришло еще одно письмо, типа из налоговой, а адрес левый mail.ru. Во вложении файл с названием DOC и расширением scr.uuue (точно не помню). Др веб никак не среагировал ни в от раз , ни в этот. Письмо в тех поддержку отправили, а они написали, что нужно докупать еще какой-то модуль дополнительно (а мы бюджетники, и лицензию нам область покупает). Блин, раньше стоял нод 32 и он такие письма в аутлуке сразу отсортировывал в папку "зараженные". Др веб их никак не видит и при открытии не реагирует. Короче получили дурдом на свою голову и теперь сотрудникам светит учеба по информационной безопасности. Для интереса отправили письмо злоумышленникам, они готовы за 0,15 биткойнов прислать ключ.

Вот сколько таких, приходют, плачут, жалко их, а сделать уже ничего нельзя.

И ведь проводили учебу и объясняли, наши юзеры отмахнулись "мы ничо в этом не понимаем" и на этом все. Вот теперь пожинают плоды.

Больше всего умиляет когда начальство начинает на тебя наезжать или задавать вопросы а ля "Что совсем ничего сделать нельзя" ) Была как то такая история. Бэкапы все же спасли тушку бухгалтерши. Хотя бы после этого перестали задавать дурацкие вопросы на тему а зачем нам хранилка (онаж дорогая) а зачем нам бекапы раз в неделю ...
 
[^]
Luka123
4.07.2017 - 12:54
0
Статус: Offline


Весельчак

Регистрация: 12.05.14
Сообщений: 178
Цитата (Hanglider @ 4.07.2017 - 12:41)
Цитата (Luka123 @ 4.07.2017 - 14:35)
Цитата (Hanglider @ 4.07.2017 - 12:29)
Демилитаризованную зону на роутерах класса SOHO и Enterprise для серверов и для страждущих рабочих станций, ИМХО, придумали  напрасно?
ТС, посмотри в эту сторону - это и проще и дешевле и надежнее. 
Для любого чиха: почты, http, https, банк-клиента, ftp - вообще всего! На на роутере нужно будет писать правило для открытия именно этого порта. При таком подходе нагнуть компы в DMZ будет куда труднее чем те, которые за роутером, настроенном в режиме "дыра".

у нас один выделенный порт. и мы не имеем право его менять....

??? Один порт - это что?
Порт - для подключения своего оборудования? Или порт протокола?
Если оборудования - то я Вас умоляю! Ставишь на оконечник ЛЮБОЙ роутер и правишь свою сетку как тебе надо.
Если порт протокола... Хехехе.... Как оно у вас вообще работает?!

ЗЫ. Тебе, судя по всему, выделен порт оборудования. Т.е. к тебе приходит какой-то внешний IP-шник. Вот на этот порт ты и вешаешь роутер типа любого "микротика" или DFL>860. НУ или любого аналога, в котором есть DMZ. Поднимаешь NAT на СВОЕМ роутере/маршрутизаторе/межсетевлм экране. и настраиваешь что угодно. за тем портом, который тебе выделен кем угодно, по прежнему прячутся все твои 20+3 компа.

У нас стоит один прокси сервер на линуксе с отдельным портом. он смотрит у нас в серверной в коммутатор. в этот же коммутор смотрят еще 3 компа на которых почта и никакое доп.сетевое оборудование мы вешать не имеем права. И есть второй коммутатор на 24 порта для локальной сети, туда смотрят 20 компов локалки.
P/S да, мы бюджетники и работаем с тем что есть.
 
[^]
Ondap
4.07.2017 - 12:57
1
Статус: Offline


Ярила

Регистрация: 15.09.13
Сообщений: 1715
limurchick
Цитата
Отвечая на вопрос - прислали експолит/вирус/шифровальщик почтой и антивирус на машине(откуда забираете почту)

А давай я тебе пришлю, может разберёшься. А то я в соседней теме предложил, и сразу все слились. Это просто bat, естественно в архиве и под паролем.
Как на Япе, так мы все суперадмины.biggrin.gif
 
[^]
Volandk
4.07.2017 - 12:58
1
Статус: Offline


Юморист

Регистрация: 16.02.16
Сообщений: 540
Цитата (Luka123 @ 4.07.2017 - 12:54)
Цитата (Hanglider @ 4.07.2017 - 12:41)
Цитата (Luka123 @ 4.07.2017 - 14:35)
Цитата (Hanglider @ 4.07.2017 - 12:29)
Демилитаризованную зону на роутерах класса SOHO и Enterprise для серверов и для страждущих рабочих станций, ИМХО, придумали  напрасно?
ТС, посмотри в эту сторону - это и проще и дешевле и надежнее. 
Для любого чиха: почты, http, https, банк-клиента, ftp - вообще всего! На на роутере нужно будет писать правило для открытия именно этого порта. При таком подходе нагнуть компы в DMZ будет куда труднее чем те, которые за роутером, настроенном в режиме "дыра".

у нас один выделенный порт. и мы не имеем право его менять....

??? Один порт - это что?
Порт - для подключения своего оборудования? Или порт протокола?
Если оборудования - то я Вас умоляю! Ставишь на оконечник ЛЮБОЙ роутер и правишь свою сетку как тебе надо.
Если порт протокола... Хехехе.... Как оно у вас вообще работает?!

ЗЫ. Тебе, судя по всему, выделен порт оборудования. Т.е. к тебе приходит какой-то внешний IP-шник. Вот на этот порт ты и вешаешь роутер типа любого "микротика" или DFL>860. НУ или любого аналога, в котором есть DMZ. Поднимаешь NAT на СВОЕМ роутере/маршрутизаторе/межсетевлм экране. и настраиваешь что угодно. за тем портом, который тебе выделен кем угодно, по прежнему прячутся все твои 20+3 компа.

У нас стоит один прокси сервер на линуксе с отдельным портом. он смотрит у нас в серверной в коммутатор. в этот же коммутор смотрят еще 3 компа на которых почта и никакое доп.сетевое оборудование мы вешать не имеем права. И есть второй коммутатор на 24 порта для локальной сети, туда смотрят 20 компов локалки.
P/S да, мы бюджетники и работаем с тем что есть.

Эмм а вставить в один из этих трех компов вторую сетевушку. Накатить на него вместо винды какой нить pfsense воткнуть во второй коммутатор и раздавать инет в локалку это не?
 
[^]
Ludmilka9694
4.07.2017 - 12:59
0
Статус: Offline


Ярила

Регистрация: 27.02.15
Сообщений: 1204
Цитата (Hanglider @ 4.07.2017 - 16:52)
Цитата (Ludmilka9694 @ 4.07.2017 - 14:39)
Цитата (Luka123 @ 4.07.2017 - 16:29)
Цитата (ktototam @ 4.07.2017 - 12:21)
Абсолютно глупое решение глупого админа....
настроить права
плюс антивирь надрочить что бы не разрешал открывать не сопоставленные предложению файлы
плюс последние обновления аутглюка теперь борются с файлом если что в имени не понравилось
а так дурная голова и на флешке принесет

Сегодня было вложение rezume.js ни антивир не оутлук ничего не отреагировало на него. Благо успели вовремя узреть и удалить.

Мы в прошлую пятницу словили шифровальщика. По почте пришло письмо, вложен архив. Типа неоплаченные счета. Секретарша открыла архив и вирус кинулся шифровать сетевой диск. Почти весь успел зашифровать. АСУшники спохватились, отключили другие диски. Короче, наш "грамотный" народ хранил на сетевом диске нужную документацию и копий на жестком диске не имел. Печалька.
Вчера пришло еще одно письмо, типа из налоговой, а адрес левый mail.ru. Во вложении файл с названием DOC и расширением scr.uuue (точно не помню). Др веб никак не среагировал ни в от раз , ни в этот. Письмо в тех поддержку отправили, а они написали, что нужно докупать еще какой-то модуль дополнительно (а мы бюджетники, и лицензию нам область покупает). Блин, раньше стоял нод 32 и он такие письма в аутлуке сразу отсортировывал в папку "зараженные". Др веб их никак не видит и при открытии не реагирует. Короче получили дурдом на свою голову и теперь сотрудникам светит учеба по информационной безопасности. Для интереса отправили письмо злоумышленникам, они готовы за 0,15 биткойнов прислать ключ.

"Сисадмины делятся на тех, кто делает бэкапы, и тех, кто БУДЕТ делать бэкапы." ©, не мое.
Теперь есть смысл написать на имя супер-пупер начальников план развития и покупки необходимого оборудования: NAS-a на 4-6-8 дисков, самих жестких дисков в количестве 4-6-8 штук, и настройки доступа и копирования данных сервера по любому протоколу на настроенный NAS. На NASе включается сетевая корзина и вааще можно забыть про все!
К примеру - про ушлого уволенного сотрудника, который сотрет все свое на сервере - в копиях и в сетевой папке остается все.
cool.gif Рекомендую!

Ну думаю директор теперь будет думать, как дальше быть. АСУ написало письмо в область, чтобы покупали доп. антивирусное ПО. Я то ни разу не админ, просто опытный пользователь, который читает ЯП cool.gif
 
[^]
Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 6152
0 Пользователей:
Страницы: (3) [1] 2 3  [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]


 
 



Активные темы






Наверх