Эхх, шифровальщик посетил.

Страницы: 1 2 3 4  ОТВЕТИТЬ НОВАЯ ТЕМА
Aberrant 3 мая 2022 в 13:19
На фоксе! Всегда!  •  На сайте 5 лет
0
Цитата (BattlePorQ @ 3.05.2022 - 13:00)
Цитата (Aberrant @ 3.05.2022 - 12:14)
ничего тут сложного.
где ты сложность то рассмотрел?
через && сделать chown и chmod?

Масса лишних движений.
Цитата

а это очень нужно и полезно - важно, чтобы система ругнулась, прежде чем ты сделаешь что-то необдуманное с файлами на которые сразу не хватило прав,
даже сидя под юзером с wheel

Так а зачем вообще бэкапить именно файлы?

и какие тут лишние движения?
забор файла, gzip, смена владельца и установка прав, запись о событии в лог, отправка лога на мыло - всё это в одной строке в кроне.

при этом всё это можно записать в исполняемый файл на любом удобном для тебя языке, а в кроне просто выполнять этот файл с тригером если в stderr что-то есть (тогда сообщение на мыло)


даже если ты бэкапишь не дамп БД, а виртуалку или раздел диска, у тебя всё равно на выходе файл lol.gif
Виконт 3 мая 2022 в 13:22
Ищем пуговицу  •  На сайте 14 лет
0
и за что этому пидору жене люди платят?
BattlePorQ 3 мая 2022 в 13:29
Парасьонах  •  На сайте 16 лет
0
Цитата (Aberrant @ 3.05.2022 - 13:19)
и какие тут лишние движения?
забор файла, gzip, смена владельца и установка прав, запись о событии в лог, отправка лога на мыло - всё это в одной строке в кроне.

'zfs snapshot' в том же кроне - и всё.

Это сообщение отредактировал BattlePorQ - 3 мая 2022 в 13:29
Aberrant 3 мая 2022 в 13:46
На фоксе! Всегда!  •  На сайте 5 лет
0
Цитата (BattlePorQ @ 3.05.2022 - 13:29)
Цитата (Aberrant @ 3.05.2022 - 13:19)
и какие тут лишние движения?
забор файла, gzip, смена владельца и установка прав, запись о событии в лог, отправка лога на мыло - всё это в одной строке в кроне.

'zfs snapshot' в том же кроне - и всё.

а ТСа система на венде, там же БД, там же и бэкапы хранил.

и такое сплошь и рядом.
спустись с небес!
далеко не у каждого есть возможность хранить большие объёмы и разносить инфраструктуру на несколько серверов.

чаще всего, сервер, это просто комп под столом.
и вот тут нужно обойтись с минимальными затратами, но с максимальной надёжность.
а потому скребём по сусекам на комп для бэкапов, накатываем *nix,
разрешаем ему заходить wget`ом на сервер для сбора файлов и отправлять почту,
и всё. готово.
дёшево, сердито, при наличии рейда, ещё и надёжно.

главное хер не забивать и следить за тем, что он тебе на почту семафорит.
Aberrant 3 мая 2022 в 13:49
На фоксе! Всегда!  •  На сайте 5 лет
0
Цитата (BattlePorQ @ 3.05.2022 - 13:29)
'zfs snapshot' в том же кроне - и всё.

и вот точно всё?

уверен? никаких проверок "а как всё прошло", никаких отправок сообщений об ошибке?

законы мерфи никто не отменял,
особенно про то, что может произойти ;)
BattlePorQ 3 мая 2022 в 13:52
Парасьонах  •  На сайте 16 лет
0
Цитата (Aberrant @ 3.05.2022 - 13:49)
и вот точно всё?

Это для краткости. Само собой, скрипт с zfs snapshot внутри. Но простенький )
evg489 3 мая 2022 в 13:52
несу хуйню в массы  •  На сайте 17 лет
0
Цитата (OperLV @ 2.05.2022 - 06:36)
Цитата (4awd @ 2.05.2022 - 00:12)
...
Посетил контору шифровальщик.
...

Интересно, сколько яповчан, прочитавших этот пост, сказали себе "завтра озабочусь созданием бэкапа" ?

И только единицы задумаются хранить бэкапы на внешнем жёстком диске.
У ТС-а тоже бэкапы были, да только хуле толку если шифровальщик добрался до них по сети и точно также их угробил.
BattlePorQ 3 мая 2022 в 13:56
Парасьонах  •  На сайте 16 лет
0
Цитата (Aberrant @ 3.05.2022 - 13:46)
чаще всего, сервер, это просто комп под столом.

Ну так раз мы уже имеем отдельное ведёрко под сервер...
Цитата
и вот тут нужно обойтись с минимальными затратами, но с максимальной надёжность.

...то что нам мешает, собственно, накатить туда какой-нибудь TrueNAS и забыть про большинство проблем, включая шифровальщики?
Цитата
а потому скребём по сусекам на комп для бэкапов

А если можем шикануть и позволить себе отдельный сервер бэкапов - что мешает поднять там репликацию этого TrueNAS'а?
Бесплатно, элементарно настраивается.
Gorac 3 мая 2022 в 13:59
Балагур  •  На сайте 12 лет
-1
поищи ключи разблокировки, я так нашол когда словил , что то подобное, эта сволочь требовала 2 биткойна за разблокировки компа стоимостью баксов 200
Aberrant 3 мая 2022 в 14:09
На фоксе! Всегда!  •  На сайте 5 лет
1
Цитата (BattlePorQ @ 3.05.2022 - 13:56)
Цитата (Aberrant @ 3.05.2022 - 13:46)
чаще всего, сервер, это просто комп под столом.

Ну так раз мы уже имеем отдельное ведёрко под сервер...
Цитата
и вот тут нужно обойтись с минимальными затратами, но с максимальной надёжность.

...то что нам мешает, собственно, накатить туда какой-нибудь TrueNAS и забыть про большинство проблем, включая шифровальщики?
Цитата
а потому скребём по сусекам на комп для бэкапов

А если можем шикануть и позволить себе отдельный сервер бэкапов - что мешает поднять там репликацию этого TrueNAS'а?
Бесплатно, элементарно настраивается.

квалификация админа нам чаще всего мешает.

мелкая конторка,
стоит там 1Ска, несколько баз,
может ещё какая-то херь,
аникейщик справляется,
но вот разворачивать что-то большее, переносить софт и при этом умудриться не замедлить и без того тормознутую 1Ску - это не про него.

слишком часто задача примерно такая: если получится, нужно ускорить работу БД,
оставить админа, который работает за шоколадку,
сделать надёжно, очень дёшево и не останавливая работу.

потому аникейщика просим настроить на сервере web/ftp сервер, с доступом только с локального IP и только по длинному паролю или ключу.
рабочий каталог, куда будут падать его бэкапы (он их уже делает и без нас, но на том же сервере с БД)...
а ты просто приносишь ту самую машинку (например с юбунтой или сентосью) и включаешь в розетку.

аникейщик при этом остаётся на своём месте,
работа не останавливалась, никаких изменений в БД и 1С,
приходящий 1Сник так же не рвёт волосы на жопе от нашей модернизации...
Aberrant 3 мая 2022 в 14:13
На фоксе! Всегда!  •  На сайте 5 лет
1
Цитата (BattlePorQ @ 3.05.2022 - 13:56)
А если можем шикануть и позволить себе отдельный сервер бэкапов - что мешает поднять там репликацию этого TrueNAS'а?
Бесплатно, элементарно настраивается.

а если не можем?
если у нас только пара 2-4 терабайтных хардов и офисный комп и ни копейки больше не дадут?

тогда у тебя только один выход - забирать дампы БД и может быть ещё архив с конфигурацией 1С и всем, что там накрутили за 15 лет - ибо разобраться в этой херне никто никогда не сможет, а делать заново слишком дорого (99% мелких конторок выглядит именно так)
ReisiLind 3 мая 2022 в 14:14
EST  •  На сайте 5 лет
0
Цитата (BattlePorQ @ 3.05.2022 - 09:53)
Цитата (ReisiLind @ 3.05.2022 - 09:49)
Где вы эти кодировщики цепляете? Как?

SMB 1.0, RDP на стандартных портах - и voila.

Это совместное использование файлов и удаленный рабочий стол?

Все это использую даже не заморачиваясь о портах. Какие ещё варианты заражения?
BattlePorQ 3 мая 2022 в 14:17
Парасьонах  •  На сайте 16 лет
0
Цитата (ReisiLind @ 3.05.2022 - 14:14)
Это совместное использование файлов и удаленный рабочий стол?

RDP торчит наружу на 3389?
Тогда это просто вопрос времени.
В среднем около сотни-полутора попыток ломиться снаружи по 3389 в сутки блокируется у меня не в самой большой сети. Это при том, что у меня отлуп при первой же попытке.

Это сообщение отредактировал BattlePorQ - 3 мая 2022 в 14:20
BattlePorQ 3 мая 2022 в 14:27
Парасьонах  •  На сайте 16 лет
0
Цитата (Aberrant @ 3.05.2022 - 14:13)
а если не можем?

Ну, если не можем выделить отдельный сервер, хотя бы файловый, под 1С - смотрим в сторону облачных сервисов. Это может оказаться дешевле условной шоколадки админу.
Цитата
если у нас только пара 2-4 терабайтных хардов и офисный комп и ни копейки больше не дадут?

В зависимости от объёма данных - пристраиваем куда-то 4-терабайтники, разменивая их на несколько пятисоток или терабайтников, и поднимаем на этой самой машинке упомянутый выше TrueNAS. Если, конечно, "офисный комп" в 2022 году - это не Core2 с гигом памяти.
А если он, и ни копейки сверху - посылаем жадных товарищей нахер, ибо себе дороже такое кроилово выйдет.
Цитата
тогда у тебя только один выход - забирать дампы БД и может быть ещё архив с конфигурацией 1С и всем, что там накрутили за 15 лет

Угу. Забирать куда-нибудь на Я.Диск тогда уж скриптом.
Phobos 3 мая 2022 в 14:34
Ярила  •  На сайте 16 лет
-1
Цитата (MPR @ 2.05.2022 - 02:32)
Цитата (4awd @ 2.05.2022 - 01:36)
Цитата (sailorx @ 2.05.2022 - 01:23)
Единственная возможная помощь - это совет. Отправьте образцы зашифрованных файлов в Лабораторию Касперского и в Dr. Web. Если зловред им известен, то могут помочь. В остальных случаях - всё безнадёжно, если нет бэкапов. Платить вымогателям точно не стоит.

отправил,
на форуме каперского посоветовали к одному гуру обратиться.
Завтра архив шифрованного сикуля скину. Посмотрим что получится.
Самое паршивое, KEY.PRIVATE нет нигде.
Вроде и дешифратор есть, но новая модификация.
Жду ответа от техподдержки Касперского. Но тут праздники. Многие отдыхают.
от Dr.Web ответ получил
"Файлы зашифрованы Trojan.Encoder.33390 Расшифровка нашими силами невозможна"

Без ключа с которым осуществлялась шифрация ты можешь хоть в спортлото отправлять. Так что либо смирись либо ищи ключ. Без ключа тебе даже нострадамусы не помогут

Видимо ты далёк от вирусов.
deg.gif

Знакомый связался с поддержкой Веба, скинул им файл зашифрованный и такой же файл не зашифрованный (был в бэкапе), через день скинули дешифратор за мааленькую копеечку. Попросили купить пару лицензий, баксов 40 вышла ему расшифровка.
vanonik 3 мая 2022 в 14:34
Ярила  •  На сайте 14 лет
0
Теневые копии делал?
Оттуда вытащи свои файлики.
Если не делал - ты не админ
BattlePorQ 3 мая 2022 в 14:38
Парасьонах  •  На сайте 16 лет
0
Цитата (vanonik @ 3.05.2022 - 14:34)
Теневые копии делал?

Это первое, что отрубают и херят шифровальщики ))

Хотя, конечно, сама по себе концепция хранить снэпшоты ФС в общедоступном каталоге на этой же самой ФС - это идея запредельной гениальности ))

Это сообщение отредактировал BattlePorQ - 3 мая 2022 в 14:38
MPR 3 мая 2022 в 15:33
Ярила  •  На сайте 10 лет
0
Цитата (BattlePorQ @ 3.05.2022 - 09:24)
Цитата (4awd @ 2.05.2022 - 02:25)
Лег и сервак с бекапами.

Это, гхм, КАК? )

Да очень просто, смотрел сервак в сеть беспарольной шарой, шифровальщик же не дурак и ищет открытые шары в сети. Все что находит, шифрует. Кстати один из признаков того что в сети кто то поймал шифру наличие активного траффика во внутренней сети забивающего маршрутизаторы на 100% пропускной способности.
Aberrant 3 мая 2022 в 15:45
На фоксе! Всегда!  •  На сайте 5 лет
0
Цитата (MPR @ 3.05.2022 - 15:33)
Цитата (BattlePorQ @ 3.05.2022 - 09:24)
Цитата (4awd @ 2.05.2022 - 02:25)
Лег и сервак с бекапами.

Это, гхм, КАК? )

Да очень просто, смотрел сервак в сеть беспарольной шарой, шифровальщик же не дурак и ищет открытые шары в сети. Все что находит, шифрует. Кстати один из признаков того что в сети кто то поймал шифру наличие активного траффика во внутренней сети забивающего маршрутизаторы на 100% пропускной способности.

я выше писал про смену прав на файлы.

даже если это просто открытая шара куда скидываются бэкапы - этот же сценарий (скрипт, строка в кроне, что там ещё у вас) после записи бэкапа должен менять права на файл и владельца, который не доступен извне.
т.е. даже если у шифровальщика права админа или system,
то на шаре: права на запись для того, кто делает бэкап,
и сразу после такой записи владелец меняется на локального и убираются все права.
всё.
но всё это будет работать, если комп, который управляет шарой сам не может заразиться той же заразой.

ну, это всё лирика.
тут "шара"(smb/nfs), http, ftp, это уже кому что ближе и проще настраивать.


вообще, все эти обсуждения сходятся в одно утверждение: нельзя хранить все яйцы в одной корзине.
ReisiLind 3 мая 2022 в 16:00
EST  •  На сайте 5 лет
0
Цитата (BattlePorQ @ 3.05.2022 - 14:17)
Цитата (ReisiLind @ 3.05.2022 - 14:14)
Это совместное использование файлов и удаленный рабочий стол?

RDP торчит наружу на 3389?
Тогда это просто вопрос времени.
В среднем около сотни-полутора попыток ломиться снаружи по 3389 в сутки блокируется у меня не в самой большой сети. Это при том, что у меня отлуп при первой же попытке.

Как посмотреть порт? Торчит наверное, захожу без паролей отовсюду.
Aberrant 3 мая 2022 в 16:15
На фоксе! Всегда!  •  На сайте 5 лет
0
Цитата (ReisiLind @ 3.05.2022 - 16:00)
Как посмотреть порт? Торчит наверное, захожу без паролей отовсюду.

постучаться на внешний IP:port

во первых на роутере должен быть отключен upnp

во вторых порты стандартных служб должны быть изменены на какие-то рандомные значения, на которые просто не будут стучаться по списку (только если найдут сканированием всего диапазона)

третье: всё критичное, вроде rdp, если оно нужно снаружи,
должно надёжно прикрываться и шифроваться,
т.е. vpn-туннель (ssh-туннель достаточно надёжно шифруется) - ну а внутрь уже заворачивается весь трафик.

четвёртое: если снаружи есть доступ и он необходим,
то этот доступ должен быть в dmz, а не во всю сеть.
т.е. только туда, куда тебе действительно нужно,
и конечно с контролем софта, чтобы с "этой" машинки внутри нельзя было пробиться к остальной сети

пятое: очень желательно не светить файервол и echo наружу.
т.е. если пакеты дропаются, то это верный признак того, что что-то там есть и нужно просто продолжать искать открытую дверку.
внешний IP должен молчать, от предыдущего узла должен приходить отказ по таймауту, а не дроп
и уж тем более никаких ping снаружи - для мониторинга есть другие средства.
GRadFar 3 мая 2022 в 16:19
Ярила  •  На сайте 15 лет
4
Цитата (ReisiLind @ 3.05.2022 - 17:14)
Цитата (BattlePorQ @ 3.05.2022 - 09:53)
Цитата (ReisiLind @ 3.05.2022 - 09:49)
Где вы эти кодировщики цепляете? Как?

SMB 1.0, RDP на стандартных портах - и voila.

Это совместное использование файлов и удаленный рабочий стол?

Все это использую даже не заморачиваясь о портах. Какие ещё варианты заражения?

Юзверь. Лет пять назад паника в конторе - словили шифровальщик. В результате "расследования" выяснилось: манагер получает письмо, в нем "акт сверки" в формате exe (!!!). При попытке "открыть акт" ругается антивирь. И знаете, что он сделал? Он открыл управление антивиря и ОСТАНОВИЛ его.
Aberrant 3 мая 2022 в 16:30
На фоксе! Всегда!  •  На сайте 5 лет
3
Цитата (GRadFar @ 3.05.2022 - 16:19)
Цитата (ReisiLind @ 3.05.2022 - 17:14)
Цитата (BattlePorQ @ 3.05.2022 - 09:53)
Цитата (ReisiLind @ 3.05.2022 - 09:49)
Где вы эти кодировщики цепляете? Как?

SMB 1.0, RDP на стандартных портах - и voila.

Это совместное использование файлов и удаленный рабочий стол?

Все это использую даже не заморачиваясь о портах. Какие ещё варианты заражения?

Юзверь. Лет пять назад паника в конторе - словили шифровальщик. В результате "расследования" выяснилось: манагер получает письмо, в нем "акт сверки" в формате exe (!!!). При попытке "открыть акт" ругается антивирь. И знаете, что он сделал? Он открыл управление антивиря и ОСТАНОВИЛ его.

это не юзверь,
это тоже админ,
который должен был настроить почтовик на безусловное удаление писем в которых есть ссылка на исполняемый файл
или во вложении всё, что можно "исполнить"

Это сообщение отредактировал Aberrant - 3 мая 2022 в 16:31
Тротил 3 мая 2022 в 16:57
Весь мир в труху!  •  На сайте 15 лет
-1
Году в 2014-м открыл на домашнем компе рабочую почту и "псевдосчет" с незнакомого адреса (а народа всякого писало тьма по работе, и знакомого и незнакомого).
Тогда вирусы-шифровальщики были не особо распространены, куда сунулся, никто не помог.
Систему снёс, переустановил. Жаль только сотни семейных фоток, многие были только у меня, восстановить не получилось.
Гореть вам в аду, пидарасы шифровальные, ебучие шантажисты.
AloneSl 3 мая 2022 в 17:10
Гарри, все это не очень нормально...  •  На сайте 12 лет
0
Блин, сочувствую я.
Понятно, что "задним умом и кобыла сильна" - но вот у меняна последнем месте проблема с бекапами была из-за огромных баз на 400 гиг, МССкюЭль. Баз таких - десяток. В архиве средствами мсскюэль получались файлек с полным режимом восстановления - около 100 гиг. Каждый. Работали все круглые сутки. Пипец как я там изъёбывался чтоб и сеть не просадить, и копии переложить...

Сочувствую, бро! Все люди делятся на 2 типа: те, кто делает бэкапы, и еще нет.

Эхх, шифровальщик посетил.

Это сообщение отредактировал AloneSl - 3 мая 2022 в 17:11
Понравился пост? Ещё больше интересного в ЯП-Телеграм и ЯП-Max!
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 7 124
0 Пользователей:
Страницы: 1 2 3 4  ОТВЕТИТЬ НОВАЯ ТЕМА

 
 

Активные темы



Наверх