habrahabr.ru — Вирус зашифровывает все файлы на компьютере и требует выкуп — 300 долларов США в биткоинах. На выплату дается три дня, потом сумма увеличивается вдвое.

Новости, Компьютеры | Jonny 01:35 13.05.2017

9 комментариев | 137 за, 2 против |

Antic »

#1 | 10:36 13.05.2017 | Кому: vak

> не думаете же вы, что сегодня найдется много идиотов с открытым в инет 445 и 135м портом?

Работаю в пром.провайдере (AS 43726), мы никакие порты закрывать в принципе не имеем права, это дело клиентов. Но трафик пасём (это наши денюжки). Атакуют всё подряд, до смешного. 135-й, как ни странно, открыт у подавляющего большинства. То есть, там (у клиента) нет нормального специалиста. Мне, как сотруднику провайдера, на это глубоко поуху. Трафик есть -- бабло в карман :)

Нас регулярно ДДоСят на бордере (БЗДя), на этот случай взведена отдельная защита. Ну, и Фряху (грамотно настроенную) не так-то просто заДДоСить. Я лично когда-то настраивал и даже здесь какие-то отчёты выкладывал о такой конфигурации (в Баре, скорей всего). Но тогда -- как клиент.

Если ДДоСят наших клиентов, бордер пытается отбиваться, но это не его задача, вообще-то. Хотя большинство ДДоС-атак он таки берёт на себя и мужественно их разруливает. Главная фишка отбоя ДДоСов -- отключить TCP SYN/FIN. (Это для тех, кто в теме, но вдруг не в курсе).

Antic »

#2 | 16:54 13.05.2017 | Кому: dse

> ты видел, или нет, подъём трафика в сторону клиентов на 135/tcp и 445/tcp в последние два месяца?

Я сейчас сетевой админ, Layer 2. Бордер (Layer 3) на аутсорсе. У меня там есть акк, но обычный юзерский, ну, тупо пробежаться по конфигам и увидеть, что всё в порядке.

$ netstat -A

никто не отменял. Юзеру тоже можно :)
Я просто вижу, сколько открытых 135/TCP. Это уму неприложимо. Клиентских сисадминов, если встречу, готов душить вотт этими вотт руками!!!!11

Antic »

#3 | 17:01 13.05.2017 | Кому: kirillkor

> говорят, через роутер всё прекрасно заражается

Блджад...

Ну, когда уже всем станет доступна 7-уровневая модель ЭМВОС, она же ISO OSI? При чём тут роутер? Это элемент 3-го, сетевого, уровня, не его это дело -- отбрыкиваться от вирусов.

Вирусятина -- это 6-7-й уровни.

Antic »

#4 | 17:20 13.05.2017 | Кому: Jade CAT

> В большинстве роутеров порты 135 и 445 для внешки на вход закрыты по-умолчанию.

ШТА???

Во всех роутерах все порты открыты по умолчанию. Я сисадмин со стажем, не грузи мну. Я что ли ISO OSI не знаю?

См. выше: я сейчас сетевой админ в провайдере, но я вижу клиентский трафик.

Antic »

#5 | 17:33 13.05.2017 | Кому: Jade CAT

> проХфессионалы-копмпУторщики не лезут куда не нужно в настройках роутера (например, в те же правила файрвола) или винды (например, отключают обновление, контроль учётных записей и т.д.)

Я тебя огорчу. Я -- профессиональный виндузятник. Любимейшая из ОСей этой линейки -- ХРюша (а ведь я когда-то ея ненавидел).

Первое действие после наката -- повырубать все автообновления. Потому что натащит лишнего мусора. На флешке/диске есть набор строго необходимых апдейтов, и батничек, который их аккуратно запускает в строго нужном порядке.

Из залеченных клиентов ещё никто повторно не обращался. Минус деньги, плюс репутация. Второе дороже, потому что тоже стоит денег :)

Antic »

#6 | 05:01 14.05.2017 | Кому: Jade CAT

> Сбрасываем на дефолт. Настраиваем Wan. Пробуем через него из внешки коннекнутся к порту 135, 445. Благо онлайн-сервисов выше крыши.
> Банан - запросы из внешки закрыты. Ибо запросы с внешнего интерфейса всегда по-умолчанию закрыты. Открыты request'ы изнутри и reply'и на них.

Ты о чём сейчас?

Через NAT входящие запросы и не должны проходить.

Я писал о другом, а ты невнимательно прочитал. Ещё раз: интернет-провайдер, AS, бордер на Фряхе, за ним клиенты с белыми адресами. Внешними адресами. На бордере пропускается весь трафик, никакие порты не закрыты. И по статистике видно, что у подавляющего большинства 135-й открыт. Закрывать что-либо на бордере нельзя. Давятся только Роскомнадзорные списки.

Antic »

#7 | 05:08 14.05.2017 | Кому: Jade CAT

И снова опять ты невнимательно читаешь то, что я написал.

Все необходимые (!) апдейты я уже заранее стащил и приколотил к установочному диску. После наката системы запускаю накат обновлений. Но не всех подряд, а только тех, которые реально нужны. А автообновление идёт лесом, потому что всякого мусора натаскивает.

С учётом того, что ХРень более не сопровождается, смысл в сервисе автообновлений отпадает сам собой.

Для Семёрки, Десятки -- зависит от клиента, но в основном оставляю. Лично у себя -- пристрелил. Если надо -- лазаю руками.

Antic »

#8 | 05:53 14.05.2017 | Кому: rahs

> Вся проблема в том, что нет явного разделения на категории фиксов. Нельзя включить автоматическую установку только обновлений безопасности

Именно.

Я как раз именно строго апдейты безопасности и натащил. И ставлю отдельно. А сервис пристреливаю.

Antic »

#9 | 17:00 14.05.2017 | Кому: Jade CAT

> Ты видишь порты хостов, подключенных напрямую. Но за них я не говорил

А идиотов с открытыми портами таки багато.

У нас на Астериске взведён watch-dog, роняющий сервис по превышению онлайна. Атакуют непрерывно.

Кстати, основные атаки идут с хостов Али. Присмотреться бы :)

Войдите или зарегистрируйтесь чтобы писать комментарии.

Логин
Пароль
	Запомнить

Массовое заражение Wana Decrypt0r