Авто
Рейтинг основных форумов
Городские форумы
Городской форум
Городской форум для новичков
Нижегородская политика
Жалобная книга
Бабский форум
Мужской
Анонимный медицинский форум
Дурацкие вопросы
Автофорумы
Автофорум главный
Девушка за рулем
ВАЗ форум
4х4 форум
Жалобный
Шевроле Форум
Такси
Автозапчасти
Гаражный форум
KIA-форум
Рено форум
Hyundai Форум
VAG Форум
Форумы покупок
Центр раздач: информационный форум
Глав-Пристрой (со всех форумов, взрослый)
Совместная покупка
Совместная покупка: центральный
Совместная покупка: взрослый
Совместная покупка: вкусный
Совместная покупка: мама и малыш
Совместная покупка: уютный
Совместная покупка: сбор предоплаты, раздачи
Совместная покупка: услуги
Совместная покупка: область
Совместная покупка: Дзержинск
Совместная покупка: Саров
Зарубежные интернет-покупки
Покупаем вместе
Покупаем Вместе: Основной
Покупаем вместе: БОЛЬШОЙ ШОПИНГ (взрослый)
Покупаем вместе: БЕБИ-ШОП (детский)
Покупаем вместе: ДОМОВОЙ
Покупаем вместе: ГАСТРОНОМ
Покупаем вместе: Сбор предоплаты, раздачи
Покупаем Вместе: пристрой
Покупаем Вместе: услуги
Выгодная покупка
Выгодная покупка - общие вопросы
Выгодная покупка - взрослый
Выгодная покупка - детский
Выгодная покупка - сбор предоплаты, раздачи
Выгодная покупка - объявления
Форум закупок
Мой малыш
Мой малыш - Основной
Мой малыш - Объявления. Общий
Мой малыш - Объявления: детская одежда
Мой малыш - Объявления: детская обувь
Мой малыш - Объявления: детский транспорт, игрушки, мебель
Халявный
Халявный (основной)
Котята и др. животные
Элитный (продажа неликвидных товаров)
Услуги
Домоводство
Полезный форум
Бытовые проблемы
Деревенский форум
Домоводство
Цветочный форум
Форум владельцев кошек
Дачный. Основной.
Бытовая Техника
Творческий
Рукоделие основной
Форумы по интересам
Фиолетовый форум
Сделаны в СССР
Музыкальный
Кино форум
Кладоискатели и коллекционеры
Рыболовный
Охотничий
Стильный форум
Флирт, Любовь, Знакомства
Фотофорум
Здоровье
Развитие Человека
Пивной форум
Кулинарный
Парфюмерный
Парфюмерная Лавка
Собачий форум
Собачий форум: Основной
Собачий форум: пристрой животных
Наши Дети
Наши дети
Школьный форум
Особые дети
Технофорумы
Интернет-НН
GPS форум
Мобильный форум
Техно-форум
Технотуса
Проф. и бизнес форумы
Бизнес форум
Фотография
Недвижимость
Банковский форум
Медицина
Форум трейдеров
Бухучет и аудит
Юридический
Подбор персонала
Разработчики ПО
Строительные форумы
Строительный форум (основной)
Окна
Форум электриков
Мебель
Кондиционирования и вентиляция
Форум строительных объявлений
Форум проектировщиков
Все строительные форумы
Туризм, отдых, экстрим
Туризм, отдых, экстрим
Спортивные форумы
Клуб болельщиков
Спортплощадка
Боевые искусства
Велофорумы Нижнего Новгорода
Велофорум Нижнего Новгорода
Путешествия
Нижегородская область
Недвижимость
Недвижимость
Ипотека
Земельный форум
ТСЖ
Садоводческое товарищество
Жилые районы
Автозаводский район
Сормовский район
Мещерское озеро
Все форумы районов
Форумы домов
Корабли
Новая Кузнечиха
Октава ЖК (ул. Глеба Успенского)
Мончегория ЖК
Аквамарин ЖК (Комсомольская пл.)
Сормовская Сторона ЖК
КМ Анкудиновский парк ЖК
Красная Поляна ЖК (Казанское шоссе)
Времена Года ЖК (Кстовский р-он)
Стрижи ЖК (Богородский р-он)
На Победной ЖК (Победная ул., у дома 18)
Окский берег ЖК (п. Новинки)
Цветы ЖК (ул. Академика Сахарова)
Деревня Крутая кп (Кстовский р-он)
Опалиха кп (Кстовский р-он)
Юг мкр. (Южный бульвар)
Гагаринские высоты мкр.
Бурнаковский мкр.
Белый город мкр. (60-лет Октября ул.)
Зенит ЖК (Гагарина пр.)
Седьмое небо ЖК
Все форумы домов
Частные форумы
Свадебный форум
Саровский Клуб Покупателей
Июньские мамочки
Форум безумных идей
Ночной форум
Королевство кривых зеркал
Ищу вторую половинку!
Лютики-цветочки КУПЛЯ-ПРОДАЖА
Отряд стройности
Пчеловодство
Форум ленивых
Волейбольный клуб туристов
Встречи для секса
Буду мамой!
Алкогольный форум
Лютики-цветочки
Котоводство
Форум сексуального опыта
Свободка
Форум модераторов
Форум забаненных
Новый форум модераторов
Отзывы и предложения (техподдержка)
WNCRYем никого не зацепило?
Сисадминское
77
246
Поделиться
А то что то уже сцыкотно на работу в понедельник идти (
а чё там?
очередной шифровальщик.
Очередная жёппа. Особенно если обновления не ставятся. forum.kasperskyclub.ru/index.php?showtopic=55543
читаю я ту тему и все больше убеждаюсь, что на мой век работы хватит и еще останется...
Рецепт от 99% подобной заразы давно известен: запрет на выполнение неподписанных скриптов + запрет на выполнение из папок %TEMP%.
PS. Мне пофиг, я под линуксами и про шифровальщики давно забыл.
PS. Мне пофиг, я под линуксами и про шифровальщики давно забыл.
Явлинский писал(а)
запрет на выполнение из папок %TEMP%
запрет на выполнение из папок %TEMP%
а подписанные где будут выполняться?
подписанный скрипт выполняется ровно в той папке, в которой он лежит. Например, в D:\work\scripts. Темп к этой теме не имеет никакого отношения, разве что только при попытке выполнить скрипт, лежащий в архиве.
скрипт, загружаемый с сайта где исполняется?
в ОЗУ.
PS. Какое отношение имеет js в составе веб-страницы к подписанному скрипту? это две разные сущности.
PS. Какое отношение имеет js в составе веб-страницы к подписанному скрипту? это две разные сущности.
Явлинский писал(а)
в ОЗУ
в ОЗУ
тогда какой смысл от запрета исполнения скриптов папке?
открываем мейл.ру, видим письмо из налоговой, тычем, получаем скрипт.
Deathmaker писал(а)
открываем мейл.ру, видим письмо из налоговой, тычем, получаем скрипт.
открываем мейл.ру, видим письмо из налоговой, тычем, получаем скрипт.
Ндя.
Разжевываю подробно: если в письме аттачем идет малварь в виде скрипта, то когда мы на ней кликнем
а) она скачается в %temporary downloads%
б) запустится виндовый сервер сценариев (не браузер!), в котором и будет выполнено тело скрипта из п. а).
оно давно уже в теле письма делается.
Пруф е?
Ни разу не видел, обычно аттач запускают.
Ни разу не видел, обычно аттач запускают.
че, своих пользователей до сих пор не научили не тыкать на аттачи?
мда, плохи дела.
мда, плохи дела.
Я-то тут причем?
rrChip писал(а)
обычно аттач запускают.
может просто не тыкать куда ни попадя? :) хотя, почитал, и за натом прекрасно всё шифруется, если 445 порт открыт. притом, даже без каких либо действий пользователя. так что просто на линукс. всех на линукс. МВД, которое заразилось, разогнать к херам, раз не могут обеспечить безопасность своей компьютерной сети.
обычно аттач запускают.
СокровищаАтлантиды писал(а)
МВД, которое заразилось, разогнать к херам
===
А кто тогда жуликов от народа будет охранять? )))
МВД, которое заразилось, разогнать к херам
===
А кто тогда жуликов от народа будет охранять? )))
Что не так?
Жертвы вымогателей обычно запускают аттач в письме. (если абстрагироваться от этой эпидемии)
Причем тут я и "мои" пользователи?
Жертвы вымогателей обычно запускают аттач в письме. (если абстрагироваться от этой эпидемии)
Причем тут я и "мои" пользователи?
rrChip писал(а)
Причем тут я и "мои" пользователи?
Причем тут я и "мои" пользователи?
Чел не разобрался, кому отвечает )
Ну вы людям когда Винду переустанавливаете, рассказываете, куда можно тыкать мышкой, а куда нельзя? :D
Ты пьян чтоль?
оно давно уже в теле письма делается.
Это что за почтовый клиент такой, исполняющий скрипты в письмах, да ещё и с возможностью выхода за пределы документа? Такое даже браузеры не позволяют.
Забей. Дефьмейкер явно слышал где звон, да не поймет, где он.
ЗЫ. аутлук десятилетней давности мог такое отчеблучить, но это уже неактуально
ЗЫ. аутлук десятилетней давности мог такое отчеблучить, но это уже неактуально
аутглюк, похоже.. я видел несколько раз в почте js вложения (в спамных письмах), не понял что делать с ними, но если использовать именно винду, то аутглюк считает своим долгом открывать вложенные файлы в себе, например офисные, соответственно и выполнит автоматом всякую дрянь
Это в актуальных версиях? А в случае скрипта в атачменте он их тоже сразу запускает при клике по атачменту без какого либо диалога сохранения?
я вот не тестирую все версии, на моем компе и винды то нет, но при нажатии на вложения, он их открывает в той половине, где текст письма. если ворд или эксель-будет там отображаться с помощью установленного на компе офиса, очевидно, что для этого файл отдельно никуда не сохраняется и диалога нет. если там на js ткнуть.. а хз, что будет. скорее всего так же откроет. как-то же он ищет даже по вложениям?
если там на js ткнуть.. а хз, что будет. скорее всего так же откроет.
Ну с документами-то ещё понятно, а вот скрипты это другой случай. Вот и интересно как конкретно с ними себя ведёт. Покажет содержимое js файла? Ну это пофиг, чтение исходного кода не вредно. Запустит на исполнение? Если запустит, то где, в среде ОС (это жопа) или в изолированной среде почтового клиента как исполняются скрипты в браузере?
насколько я посмотрел в такой js'ник и ничего не понял, могу судить, что это не сайтовый js, а на какой-то неизвестный хостскрипт вполне может тянуть. в таком случае он в винде и открывается не блокнотом (для меня реально было открытием), а аутлук использует стандартные ассоцииации. можно виртуалку с виндой накатить и затестить, но лень..
Ну те js скрипты шифровальщиков что я видел, там да, были инструкции для wsh очевидно, браузерный js таких инструкций не имеет. Код внутри JS обычно был предварительно закодирован в base64, к тому же в тех экземплярах что я смотрел, js скрипт гененировал bat скрипт, который основную работу и делал.
Попробовал погуглить, по запросу "outlook launching attached js" ничего по теме не нашёл.
Попробовал погуглить, по запросу "outlook launching attached js" ничего по теме не нашёл.
BrainFucker писал(а)
Попробовал погуглить, по запросу "outlook launching attached js"
Попробовал погуглить, по запросу "outlook launching attached js"
обычно IE его выполнял :) .
FreeCat писал(а)
обычно IE его выполнял :)
обычно IE его выполнял :)
Да ладно. Браузеры не выполняют js файлы, если их просто открыть в браузере, они просто отображают содержимое, вот так: static.nn2.ru/jquery/fc110517/common.js
даже не буду нажимать :-D ... я не ИЕ ннру смотрю :-D ...
Лол, чего боишься? Неужели ты не знаешь как это работает? А этот скрипт и так выполняется когда ты смотришь nn.ru .
Открытие ссылки отображает содержимое файла, естественно. i.imgur.com/qG3BVGX.png
В таком случае скрипт не выполняется. Браузеры принципиально не выполняют скрипт если его открыть. Скрипты выполняются только когда подключены к странице тегом <script>.
Открытие ссылки отображает содержимое файла, естественно. i.imgur.com/qG3BVGX.png
В таком случае скрипт не выполняется. Браузеры принципиально не выполняют скрипт если его открыть. Скрипты выполняются только когда подключены к странице тегом <script>.
Anselm писал(а)
в таком случае он в винде и открывается не блокнотом (для меня реально было открытием)
в таком случае он в винде и открывается не блокнотом (для меня реально было открытием)
угу. по умолчанию WSH - если не переназначено :) . Но как раз WSH можно и отключить :) .
даже я не знал о такой штуке и, тем более, об отключении, так что среднестатистический хомячок не имеет шансов
ну это да :) ... хотя если задать тому же Яндексу вопрос - то там ответ сразу найдётся :) .
в правильно заданном вопросе-половина ответа, но проблема в том, что для этого нужно знать про наличие этой штуки
ну да :) .
Deathmaker писал(а)
оно давно уже в теле письма делается. ...
оно давно уже в теле письма делается. ...
Что делается в теле письма?
скрипты уже давно в теле письма, а не аттачем.
Что значит "в теле"? В самом письме между "Привет, Вася!" и "Всего доброго!" идет код скрипта? А юзер должен его скопипастить, отформатировать, сохранить и запустить?
пляяя... и вот это вот ... учит нас жизни.
Глядя на тебя все больше убеждаюсь: дурака учить - только время терять.
Аттач можно сохранить и на рабочий стол и оттуда запустить. Запрещать запуск исполнимых файлов следует из любых мест, куда у не администратора есть права записи.
BrainFucker писал(а)
Запрещать запуск исполнимых файлов следует из любых мест, куда у не администратора есть права записи.
Запрещать запуск исполнимых файлов следует из любых мест, куда у не администратора есть права записи.
Тоже справедливо.
Deathmaker писал(а)
тычем, получаем скрипт
тычем, получаем скрипт
Не тычем а жмякаем
в ОЗУ.
Ты не так объясняешь. В ОЗУ выполняется любая программа. Разница в том что интерпретатор скриптов в браузере имеет ограниченный набор инструкций, там нет функций доступа к файлам на диске, например (просто не реализовано). Всё что там доступно это только доступ. к текущему документу и чтение удаленных ресурсов по протоколу http, и то не любых, многие типы данных позволяется грузить только с текущего домена.
Скрипты, запускаемые с диска, если выполняются интерпретатором системы, так же как и любая программа выполняется в ОЗУ, но не имеет ограничения.
Надеюсь Дезмейкеру так будет понятней.
BrainFucker писал(а)
Надеюсь Дезмейкеру так будет понятней
Надеюсь Дезмейкеру так будет понятней
Бесполезно. Там только эхо.
Дефьмейкер думает, что срипт из тела веб-страницы обязательно сохраняется на диск во временную папку, откуда запускается. Ему невдомек, что браузер может хранить весь код страницы в памяти. А еще он непонимает, чем js в теле страницы отличается от js в виде скачиваемого по протоколу http файла, на который есть ссылка в теле страницы.
Явлинский писал(а)
Дефьмейкер думает, что срипт из тела веб-страницы обязательно сохраняется на диск во временную папку
Дефьмейкер думает, что срипт из тела веб-страницы обязательно сохраняется на диск во временную папку
Где я это утверждал, покажи плз.? Это такая заразная болезнь что ли, придумывать что-то за собеседника и начинать его лечить по придуманному?
Тут и придумывать ничего не надо - характер твоих вопросов уже показывает, что ты не понимаешь, как обрабатывается код страницы.
Что показывает? непонимание твоих "советов"?
Ты сперва называешь панацеей запрет на исполнение во временной папке, потом пишешь, что скрипт грузится в ОЗУ.
Ты определись сперва, чего тебе, труселя или крестик.
А потом уже пытайся понтоваться.
Ты сперва называешь панацеей запрет на исполнение во временной папке, потом пишешь, что скрипт грузится в ОЗУ.
Ты определись сперва, чего тебе, труселя или крестик.
А потом уже пытайся понтоваться.
Deathmaker писал(а)
Ты сперва называешь панацеей запрет на исполнение во временной папке, потом пишешь, что скрипт грузится в ОЗУ.
Ты сперва называешь панацеей запрет на исполнение во временной папке, потом пишешь, что скрипт грузится в ОЗУ.
Ну я же не виноват, что ты вопросы по идиотски формулируешь: спрашиваешь про один скрипт, а по факту речь про другой. Ты определись, что ты хочешь узнать ,а то у тебя дикий форшмак в голове: то ты про подписанные скрипт спрашиваешь, то про скрипт в теле страницы, хотя ни тот, ни другой к способу заражения вообще отношения не имеют.
Явлинский писал(а)
Ну я же не виноват, что ты вопросы по идиотски формулируешь: спрашиваешь про один скрипт, а по факту речь про другой.
Ну я же не виноват, что ты вопросы по идиотски формулируешь: спрашиваешь про один скрипт, а по факту речь про другой.
ну-ка покажи мне, где я так спрашивал?
малыш, бросай курить эту травку, не разговаривай сам с собой.
ты сам себе придумал загружаемый файл-скрипт, сам себе придумал средство борьбы с ним и сам себе придумал, что я спрашиваю про него.
Deathmaker писал(а)
ну-ка покажи мне, где я так спрашивал?
ну-ка покажи мне, где я так спрашивал?
Раз:
Deathmaker писал(а)
а подписанные где будут выполняться?
а подписанные где будут выполняться?
Два:
Deathmaker писал(а)
скрипт, загружаемый с сайта где исполняется?
скрипт, загружаемый с сайта где исполняется?
Три:
Deathmaker писал(а)
открываем мейл.ру, видим письмо из налоговой, тычем, получаем скрипт.
открываем мейл.ру, видим письмо из налоговой, тычем, получаем скрипт.
У тебя в голове жидкая кашица:
1) подписанный скрипт - это отдельный файл с цифровой подписью в теле, в коде веб-страницы никаких "подписанных скриптов" нету.
2) скрипт, загружаемый с сайта, это может быть:
2а) скрипт в теле веб-страницы
2б) файл скрипта, определенный ссылкой c тэгом href и скачиваемый по клику.
3) "В теле письма" скрипт может идти либо исходным кодом в тексте письма, либо заенкоженый (UUE, Base64) опять-таки в виде текста и никаких шансов на запуск у него нет (подобные уязвимости были у аутлука, но это миллион лет как не актуально).
Понятно теперь?
Deathmaker писал(а)
Ты сперва называешь панацеей запрет на исполнение во временной папке, потом пишешь, что скрипт грузится в ОЗУ.
Ты сперва называешь панацеей запрет на исполнение во временной папке, потом пишешь, что скрипт грузится в ОЗУ.
Ну он правильно говорит. Процесс запуска любой программы выглядит упрощённо так: ОС читает код программы с диска в ОЗУ и там его исполняет. Скрипты работают так: при запуске скриптов ОС как в предыдущем предложении запускает интерпретатор (читает его код в память и запускает его), интерпретатор читает код скрипта с диска опять же в память и выполняет инструкции из этого скрипта. Запрет средствами ОС запускать исполнимые файлы из определённых директорий (в идеале из любых мест, куда есть у пользователя права записи) защитит от случаев когда пользователь запускает атачменты из писем или скачивает что-то из сети и запускает.
"Скрипты в теле письма" это что? Нормальные почтовые клиенты не выполняют скриптов в теле писем, там даже поддержка html сильно урезана по возможностям, по сравнению с браузерами. Мало того, даже скрипты в теле html страницы в браузере не могут причинить вреда, т.к. интерпретатор скриптов в браузере сильно ограничен по возможностям. Там тупо нет таких функций, позволяющих прочитать в фоне файл без ведома пользователя, а тем более записать.
BrainFucker писал(а)
ОС читает код программы с диска в ОЗУ
ОС читает код программы с диска в ОЗУ
с какого в дуду диска, если речь про скрипт в странице?
вы там на пару дуете что ли?
ребята, вы реально следите за тенденциями или так, попиздеть с тэгом "а мне похуй, я на линуксе"?
Про "скрипт в странице" я написал во втором абзаце.
Я ж говорю: бесполезно. Чел буквы видит, слов не понимает.
Крупнейшего провайдера Ижевска зацепило, сейчас дам рецепт от их инженера:
"да просто все - вирь походу прилетет с почты, но работает в локалке - сканит и заражает. лет 10 назад был msblast - с такими же симптомами.
как лечить:
вирь садится в c:\ProgramData\fshdfhslpdf889 - папка может быть любой, но буквы и 3 цифры - там вся его потрошня
запуск виря идет двумя путями - через HKLM\....\Run - там прямой запуск файла taskche.exe и через сервис - там он запускается посредством cmd.exe
лечение не поможет, если хоть одна тачка в локалке продолжает срать вирусней - надо отключать и фиксить уязвимость (фикса пока нет) или уводить ВЫЛЕЧЕННУЮ тачку в другой вилан (или за роутер)
лечить так:
1. выключить процессы taskche.exe (их может быть несколько, но гасятся на раз), погасить процесс @WanaDecript - все убить короче
2. через AVZ - сделать прогон памяти с максимальными эвристиками и блокировкой всех руткитов (и исправлением ошибок) - после этого в системе даже тараканы не пёрнут )
3. проверить в таскмэнеджере, что ни один taskche.exe и @wanadecriptor не взлетел по новой - если взлетел - гасить, они после траха АВЗой больше не должны вылезти
4. в том же АВЗ - грохнуть загрузчик в Run и сервис - больше эта тварь не взлетит
5. удалить папку в C:\ProgramData\sldhfl899 - ну или как она там назвалась - папка скрытая, так что включить показывать скрытые файлы.
6. перегрузить тачку и проверить, что больше вирусня не ожила
7. после этого влючать в сетку (главное что бы сетка уже была пролечена)"
"да просто все - вирь походу прилетет с почты, но работает в локалке - сканит и заражает. лет 10 назад был msblast - с такими же симптомами.
как лечить:
вирь садится в c:\ProgramData\fshdfhslpdf889 - папка может быть любой, но буквы и 3 цифры - там вся его потрошня
запуск виря идет двумя путями - через HKLM\....\Run - там прямой запуск файла taskche.exe и через сервис - там он запускается посредством cmd.exe
лечение не поможет, если хоть одна тачка в локалке продолжает срать вирусней - надо отключать и фиксить уязвимость (фикса пока нет) или уводить ВЫЛЕЧЕННУЮ тачку в другой вилан (или за роутер)
лечить так:
1. выключить процессы taskche.exe (их может быть несколько, но гасятся на раз), погасить процесс @WanaDecript - все убить короче
2. через AVZ - сделать прогон памяти с максимальными эвристиками и блокировкой всех руткитов (и исправлением ошибок) - после этого в системе даже тараканы не пёрнут )
3. проверить в таскмэнеджере, что ни один taskche.exe и @wanadecriptor не взлетел по новой - если взлетел - гасить, они после траха АВЗой больше не должны вылезти
4. в том же АВЗ - грохнуть загрузчик в Run и сервис - больше эта тварь не взлетит
5. удалить папку в C:\ProgramData\sldhfl899 - ну или как она там назвалась - папка скрытая, так что включить показывать скрытые файлы.
6. перегрузить тачку и проверить, что больше вирусня не ожила
7. после этого влючать в сетку (главное что бы сетка уже была пролечена)"
не через почту, а через дыру в SMB
Не готов комментировать, поскольку вообще не моя тема, но замечу, что этот провайдер работает с начала 90-х, и всегда они с атаками вирусов справлялись.
Так что предположу, что дыр в SMB у них нет, а, как они утверждали в закрытом чате (пруфов не будет), кто-то из техподдержки открыл заражённое письмо.
Так что предположу, что дыр в SMB у них нет, а, как они утверждали в закрытом чате (пруфов не будет), кто-то из техподдержки открыл заражённое письмо.
Спасибо.
Изначальное заражение через почту или съемный носитель, а вот распространение уже через smb
Ровно все на оборот, сначала дыра SMB. Россылка на случайный IP, если есть отклик команда активации, если нет патча и порты открыты писец, а потом уже по сети всеми известными способами:(.
Доставку круто сделали, говорят у АМБ доставщик спи....
А так обычный шифровальщик, жопа получившиму, верить в самостоятельную расшифровку без закрытого ключа:)
Доставку круто сделали, говорят у АМБ доставщик спи....
А так обычный шифровальщик, жопа получившиму, верить в самостоятельную расшифровку без закрытого ключа:)
кторая легко правильно настроенным фаером закрывается :) .
нет
глупый вопрос - почему нет? - (139 порт заглушен или сервис SMBv1 вырублен) - нет заразы.
Если в локалке нужен работающий файл-сервер, то закрывать порт 445 (и 139) нельзя.
а также если нужен расшареный принтер, dfs ....
не у всех в сети xp и висты...
Явлинский писал(а)
Если в локалке нужен работающий файл-сервер, то закрывать порт 445 (и 139) нельзя.
А файл-серверу обязательно под виндой работать? Если в локалке нужен работающий файл-сервер, то закрывать порт 445 (и 139) нельзя.
OpenBSD с установленной Samba4 в домене не подойдёт?
(хотя лучше Debian - у него для файловой системы поддержка ACL есть).
Samba4 научилась работать через закрытый файрволом порт? Я смотрю, тему атакуют клоны дефмейкера: буквы видят, но смысл слов у них в голове не образуется.
Явлинский писал(а)
Если в локалке нужен работающий файл-сервер, то закрывать порт 445 (и 139) нельзя.
А я это опровергал? Если в локалке нужен работающий файл-сервер, то закрывать порт 445 (и 139) нельзя.
Явлинский писал(а)
Samba4 научилась работать через закрытый файрволом порт? Я смотрю, тему атакуют клоны дефмейкера: буквы видят, но смысл слов у них в голове не образуется.
Я смотрю, Вы явно что-то курите. Буквы видите, но забываете собственные слова. Я просто предложил обходной путь. Samba4 научилась работать через закрытый файрволом порт? Я смотрю, тему атакуют клоны дефмейкера: буквы видят, но смысл слов у них в голове не образуется.
Вы уже определитесь: таки закрыт порт файрволлом или нет?
Афраний писал(а)
А я это опровергал?
А я это опровергал?
Строго говоря, нет. Но поскольку вы отвечаете на конкретную мою цитату, то с точки зрения логики и здравого смысла ваш ответ должен иметь прямое отношение к тому тезису, который вы процитировали. Он же к ней отношения не имеет.
С таким же успехом вы могли в ответ на мою цитату привести прогноз погоды или результат последнего розыгрыша "Спортлото": по сути все правильно, только не в тему. Вам совет на будущее: сначала внимательно читайте пост, потом думайте, потом пишите. Вы же торопитесь выплюнуть истину в духе КО, а в результате только выставляете себя на посмещище.
ЗЫ. И - да - о том, что файл-сервер может быть на линуксе кроме вас никто не знает, вы просто открыли Америку.
Вообще-то в Вашей цитате строго говоря речь шла о файл-сервере.
И самба спасает хотя бы потому, что в отличие от Windows другие системы не подвержены этому заражению.
Вы сами за меня додумали и стали опровергать то, о чём я вообще не говорил.
И самба спасает хотя бы потому, что в отличие от Windows другие системы не подвержены этому заражению.
Вы сами за меня додумали и стали опровергать то, о чём я вообще не говорил.
Афраний писал(а)
Вообще-то в Вашей цитате строго говоря речь шла о файл-сервере
Вообще-то в Вашей цитате строго говоря речь шла о файл-сервере
В моей цитате шла речь не о файл-сервере, а об условиях, необходимых для его эксплуатации. Вы первую половину предложения прочитали, вторую половину пропустили мимо ушей, в результате ответили не в тему и невпопад.
Афраний писал(а)
И самба спасает хотя бы потому, что в отличие от Windows другие системы не подвержены этому заражению.
И самба спасает хотя бы потому, что в отличие от Windows другие системы не подвержены этому заражению.
Это все давно прекрасно и без вас знают. Примите уже новопассит, успокойтесь, и перестаньте аки блажной в десятый раз повторять все известную очевидность.
Точно напились, если хамите.
Если Вас бесит то, что другие говорят очевидные для Вас вещи, так может быть Вам самому новопассит принять следует?
Впрочем, он с алкоголем не сочетается - примите, когда протрезвеете.
Если Вас бесит то, что другие говорят очевидные для Вас вещи, так может быть Вам самому новопассит принять следует?
Впрочем, он с алкоголем не сочетается - примите, когда протрезвеете.
Ты ляпнул невпопад, тебя ткнули носом, ты теперь в бессильной злобе решил налепить на оппонента ярлык пьяницы? Ну-ну...
Я не "ляпнул невпопад", а предложил обходной путь.
Если Вы на самом деле трезвы, но любите других "тыкать носом" - это только Ваши комплексы, в которых никто кроме Вас не виноват.
(это к вопросу о злобе - добрые люди других носом не тыкают).
И я, кстати, с Вами на брудершафт не пил.
Если Вы на самом деле трезвы, но любите других "тыкать носом" - это только Ваши комплексы, в которых никто кроме Вас не виноват.
(это к вопросу о злобе - добрые люди других носом не тыкают).
И я, кстати, с Вами на брудершафт не пил.
Вы уже определитесь: таки закрыт порт файрволлом или нет?
А каким образом линукс версия samba спасает от закрытого порта файрволом?
Походу, у народа от холода страдает мозговое кровообращение и пипл начинает нести дичь.
Ещё один.... Вы напились и троллите что ли?
Где я хоть слово сказал про порт, закрытый файрволлом?
Мой посыл - если нельзя закрыть файрволлом порт, то по крайней мере для файлопомойки можно использовать системы, устойчивые к этому заражению.
Где я хоть слово сказал про порт, закрытый файрволлом?
Мой посыл - если нельзя закрыть файрволлом порт, то по крайней мере для файлопомойки можно использовать системы, устойчивые к этому заражению.
Где я хоть слово сказал про порт, закрытый файрволлом?
Здесь: www.nn.ru/popup.php?c=classF...pic_id=176784718
Вы уже определитесь: таки закрыт порт файрволлом или нет?
Мой посыл - если нельзя закрыть файрволлом порт, то по крайней мере для файлопомойки можно использовать системы, устойчивые к этому заражению.
Так понятней, ОК. Но посыл вредный, выставлять даже линуксовую самбу жопой наружу за пределы локальной сети потенциально опасно. Отсутствие уязвимостей в опенсорсном коде никто не гарантирует, там тоже бывают баги. И от ошибок конфигурирования администратором никто не застрахован.
BrainFucker писал(а)
Но посыл вредный, выставлять даже линуксовую самбу жопой наружу за пределы локальной сети потенциально опасно.
Кто говорил о выставлении самбы за пределы сети? Но посыл вредный, выставлять даже линуксовую самбу жопой наружу за пределы локальной сети потенциально опасно.
В сети виндовые компьютеры с отключенными шарами и закрытым в брандмауэре 445-м портом.
И одна общая для всех файлопомойка с открытым 445-м портом на системе, которая априори не может быть заражена.
Всё, пользователи внутри сети могут безопасно обмениваться файлами через общую шару.
Если кто-то внутри сети хватает этот вирус (например, через почту), то на другие компьютеры вирус уже точно не перелезет.
(по крайней мере, используя именно этот механизм заражения)
На хрена этот порт вообще наружу открывать?
На хрена этот порт вообще наружу открывать?
У некоторых открыт по каким-то причинам, у кого-то по недосмотру. Немало таких на самом деле.
В сети виндовые компьютеры с отключенными шарами и закрытым в брандмауэре 445-м портом.
И одна общая для всех файлопомойка с открытым 445-м портом на системе, которая априори не может быть заражена.
Всё, пользователи внутри сети могут безопасно обмениваться файлами через общую шару.
И одна общая для всех файлопомойка с открытым 445-м портом на системе, которая априори не может быть заражена.
Всё, пользователи внутри сети могут безопасно обмениваться файлами через общую шару.
Не всем подходит, рядовым пользователям лазить в комп друг друга может и на надо, а вот кому-то постарше может требоваться доступ к рабочим станциям подчинённых.
Выносить такой хост в DMZ уже не принято?
Не у всех, видимо. Неоднократно попадались шары, доступные извне.
Ну, дурость человеческая безгранична. Кто-то шару наружу выпускает, кто-то дизайн сети через .опу делает, кто-то аттачи бездумно открывает.
Афраний писал(а)
А файл-серверу обязательно под виндой работать?
Samba4 в домене не подойдёт?
А файл-серверу обязательно под виндой работать?
Samba4 в домене не подойдёт?
Бугага www.opennet.ru/opennews/art.shtml?num=46591#r_title
Пофиг, у меня на файлопомойке samba 3.0.28
Кодировщику пофиг на версию самбы. Вопрос в том, кто и как его запустит и где лежат теневые копии.
Nas в конторе дал сбой теневой копии именно за этот день после работы вируса, хотя объем iscsi был смешным.
Nas в конторе дал сбой теневой копии именно за этот день после работы вируса, хотя объем iscsi был смешным.
> Кодировщику пофиг на версию самбы.
По ссылке выше:
> Уязвимости подвержены все версии Samba, начиная с 3.5.0,
По ссылке выше:
> Уязвимости подвержены все версии Samba, начиная с 3.5.0,
Но ты предложил samba 4. И вообще, какое имеет значение какая версия установлена у тебя лично?
Это вечный бой. Одни дырки закрывают, другие находят.
И самбу можно пропатчить.
К слову, вангую, что кодировщик не кроссплатформенный.
То есть не всегда уязвимая система способна выполнить отправляемый ей вредоносный код.
>И вообще, какое имеет значение какая версия установлена у тебя лично?
Для кого? Для меня? Для меня важен тот факт, что этой дырки у меня нет.
(что ещё не означает отсутствия других дырок).
И самбу можно пропатчить.
К слову, вангую, что кодировщик не кроссплатформенный.
То есть не всегда уязвимая система способна выполнить отправляемый ей вредоносный код.
>И вообще, какое имеет значение какая версия установлена у тебя лично?
Для кого? Для меня? Для меня важен тот факт, что этой дырки у меня нет.
(что ещё не означает отсутствия других дырок).
Афраний писал(а)
Это вечный бой.
Это вечный бой.
всё, проиграли его уже ... как только "индусский код" появился *crazy* *wall* ...
Ну в опенсорсе всё не так плохо. От ошибок программистов никуда не деться, но там хотя бы в большинстве случаев успевают исправить до того как уязвимость заметят злоумышленники и начнут массово использовать. К примеру как было с упомянутой выше уязвимостью в samba. Да и такие случаи чтобы лазейки оставили специально для АНБ, маловероятны, как в случае с дырой через которую WNCRY пролез.
к сожалению опенсорс для массового пользователя "погоды не делает" *pardon* ... а те, кто использует - как правило знают и как "предохраняться" *yes* .
HumptyDumpty писал(а)
лет 10 назад был msblast - с такими же симптомами.
лет 10 назад был msblast - с такими же симптомами.
о, да... это было нечто, антивируса не было и до сих пор в той конторе нет - лечили сеть выдергивая кабели из коммутаторов, отключая территории\здания\этажи\кабинеты...
Кто еще не успел хапнуть WNCRY - шифровальщика обновляйте винду патчем
64 бит download.windowsupdate.com/d/msdownload/update..
32 бита - download.windowsupdate.com/d/msdownload/update..
Кто не в курсе читаем новости - www.vesti.ru/doc.html?id=2887397&cid=780
64 бит download.windowsupdate.com/d/msdownload/update..
32 бита - download.windowsupdate.com/d/msdownload/update..
Кто не в курсе читаем новости - www.vesti.ru/doc.html?id=2887397&cid=780
ссылки то рабочие?
в письмо теже встявлял - рабочие были, гребаный ннру....
у меня нет проблем с ссылками на ннру )))
на вин 10 64 не подходит
в ссылке четко указана версия ос.
ругнулся при установке, что не подходит для моей ОС
вроде пишут , что 10ку не трогает эта зараза
вроде бы да как бы... после не одного апдейта, которые затыкали дыры в продуктах МС от 2003\xp до 2008r2\7 утверждать, что это не трогает 10-ку или 2012 не возьмусь... мне больше интересно затронет ли это ХР - у меня их под сотню наберется...
Квартет9 писал(а)
интересно затронет ли это ХР
интересно затронет ли это ХР
Скорее всего затронет. Но мелкософт выпустил заплатку для них. Ищите в каталоге обновлений на их сайте по kb4012598
ручками импортируй на всус, ручками...
raman писал(а)
вроде пишут , что 10ку не трогает эта зараза
Зависит от версии. 1703 не трогает. вроде пишут , что 10ку не трогает эта зараза
А 1609, 1511 и ранние - очень даже.
так это для вынь 7, про 10 не вкурсе
OnGame:
_http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
===
А ничего, что в адресе и дата другая - 2017/02 и номер kb другой?
Хотя нет, номер kb как раз для семёрки... а чёж тогда 2017/02...
_http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
===
А ничего, что в адресе и дата другая - 2017/02 и номер kb другой?
Хотя нет, номер kb как раз для семёрки... а чёж тогда 2017/02...
а чёж тогда 2017/02...
===
А вот чёж:
theins.ru/news/55936
13.05.2017
...
Владимир Иванов, технический директор компании Leakreporter, специализирующейся на контроле утечек данных, рассказал The Insider о том, как связан этот вирус со сливом архива АНБ, какие компьютеры пострадали от него и как этого можно было избежать.
Примерно полтора месяца назад в интернете опубликовали программы, предположительно являющиеся архивом кибероружия АНБ. АНБ -- это американская спецслужба, занимающаяся прослушкой, атаками через интернет, связью и т.п. Это там Сноуден был контрактором. В этом архиве, среди прочего, была программа под кодовым названием EternalBlue, которая могла взломать любой компьютер с Windows.
По необъяснимому стечению обстоятельств Microsoft выпустила исправление уязвимости, которая использовалась в этой программе, за две недели до этого релиза. Это исправление и уязвимость в терминологии Microsoft называются MS17-010.
Теперь появилась зловредная программа, которая использует эту уязвимость, чтобы распространяться автоматически. Ее назвали Wcrypt или Wcry. Когда она запускается на компьютере пользователя, Wcry шифрует его файлы, а потом показывает сообщение, вымогающее деньги за расшифровку.
В британском NHS, в РЖД, "Мегафоне" и прочих оказалась IT-служба, не способная установить исправление ms17-010 за два месяца. Поэтому их успешно атаковали. ...
===
===
А вот чёж:
theins.ru/news/55936
13.05.2017
...
Владимир Иванов, технический директор компании Leakreporter, специализирующейся на контроле утечек данных, рассказал The Insider о том, как связан этот вирус со сливом архива АНБ, какие компьютеры пострадали от него и как этого можно было избежать.
Примерно полтора месяца назад в интернете опубликовали программы, предположительно являющиеся архивом кибероружия АНБ. АНБ -- это американская спецслужба, занимающаяся прослушкой, атаками через интернет, связью и т.п. Это там Сноуден был контрактором. В этом архиве, среди прочего, была программа под кодовым названием EternalBlue, которая могла взломать любой компьютер с Windows.
По необъяснимому стечению обстоятельств Microsoft выпустила исправление уязвимости, которая использовалась в этой программе, за две недели до этого релиза. Это исправление и уязвимость в терминологии Microsoft называются MS17-010.
Теперь появилась зловредная программа, которая использует эту уязвимость, чтобы распространяться автоматически. Ее назвали Wcrypt или Wcry. Когда она запускается на компьютере пользователя, Wcry шифрует его файлы, а потом показывает сообщение, вымогающее деньги за расшифровку.
В британском NHS, в РЖД, "Мегафоне" и прочих оказалась IT-служба, не способная установить исправление ms17-010 за два месяца. Поэтому их успешно атаковали. ...
===
это не майское обновление, это мартовское вроде, оттуда и дата
Да, я потом публикации почитал.
Если винда левая, это не проблема?
на 2х левых с отключеным обновлением винда упала в синьку, на тех что обновы приходили - пока норм
дело не в "левизне" винды :) .
Не важно, левая винда или не левая. Важно, отключены у неё обновления или нет.
Мелкомягкие так расстарались, что выпустили обновление даже для давно уже не поддерживаемой ХРюши.
Мелкомягкие так расстарались, что выпустили обновление даже для давно уже не поддерживаемой ХРюши.
Афраний писал(а)
Мелкомягкие так расстарались, что выпустили обновление даже для давно уже не поддерживаемой ХРюши.
Мелкомягкие так расстарались, что выпустили обновление даже для давно уже не поддерживаемой ХРюши.
потому что ХР Эмбеддед ещё поддерживают .. до 19-го ... а это то же самое :) .
Правильнее так, мне кажется, - support.microsoft.com/ru-ru/help/4012212
А вообще прямые ссылки на форуме касперского, на который выше ссылались.
А вообще прямые ссылки на форуме касперского, на который выше ссылались.
МВД зацепило походу тоже.
pikabu.ru/story/kriptoshifrovalshchik_porazil_set_mvd_5044435
Сегодня был на стрелке, машину хотел с учета снял, так у них база со вчерашнего дня не
работает.
pikabu.ru/story/kriptoshifrovalshchik_porazil_set_mvd_5044435
Сегодня был на стрелке, машину хотел с учета снял, так у них база со вчерашнего дня не
работает.
экономят, придурки.
какое там... в сбере жопа полная всегда была, да и не в сбере тоже. было дело - из своей дмз давали доступ для банкомата (зарплатный проект), так задолбались говорить, чтоб прикрыли нахрен в этом банкомате нетбиос - винда+дефолтно сконфигурированный интерфейс = постоянные отлупы пачками на нашем шлюзе...
да и сейчас я могу назвать как минимум один банкомат сбера, в котором постоянно видна панель задач и запущенные проги...
да и сейчас я могу назвать как минимум один банкомат сбера, в котором постоянно видна панель задач и запущенные проги...
Квартет9 писал(а)
чтоб прикрыли нахрен в этом банкомате нетбиос
чтоб прикрыли нахрен в этом банкомате нетбиос
так он даже в ХР уже по умолчанию выключен :) .
*rofl*
ну этож не банкомат.
я так понял что это "инфокиоск" :) .
Поиск в гуглах позволяет найти много интересного
www.google.ru/search?q=%22WNCRY%22%20intitle%3A%22index%20of%22
www.google.ru/search?q=%22WNCRY%22%20intitle%3A%22index%20of%22
Никто не наваял случаем logon-скрипта на vbs-е для установки нужных патчей?
www.atraining.ru/virus-wannacrypt-measures/
Протокол SMBv1 может быть выключен полностью во всех сетях, где нет ОС младше Windows Vista и устаревших принтеров.
Как минимум, возможен переход на Direct SMB даже в случае Windows 2000 / XP / 2003, что уже упростит работу и снизит потенциальный attack surface.
Выключить SMBv1 можно и через PowerShell:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
И через реестр:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, параметр SMB1 типа DWORD = 0
Можно также удалить сам сервис, отвечающий за SMBv1 (да, за него лично отвечает отдельный от SMBv2 сервис):
sc.exe config lanmanworkstation depend=browser/mrxsmb20/nsi
sc.exe config mrxsmb10 start=disabled
Все указанные методы не приведут к потере функционала передачи файлов поверх сети - они лишь отключат супер-древний (34 года ему) вариант протокола SMB.
Протокол SMBv1 может быть выключен полностью во всех сетях, где нет ОС младше Windows Vista и устаревших принтеров.
Как минимум, возможен переход на Direct SMB даже в случае Windows 2000 / XP / 2003, что уже упростит работу и снизит потенциальный attack surface.
Выключить SMBv1 можно и через PowerShell:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
И через реестр:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, параметр SMB1 типа DWORD = 0
Можно также удалить сам сервис, отвечающий за SMBv1 (да, за него лично отвечает отдельный от SMBv2 сервис):
sc.exe config lanmanworkstation depend=browser/mrxsmb20/nsi
sc.exe config mrxsmb10 start=disabled
Все указанные методы не приведут к потере функционала передачи файлов поверх сети - они лишь отключат супер-древний (34 года ему) вариант протокола SMB.
Кошернее было бы скриптом с патчами всё пролечить. Я всегда застряю в написании скрипта с выбором из множества пунктов, в данном случае возможные варианты ОС.
мне как-то очень срочно приперло, наваял вот это, до сих пор работает
Set objWMI = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\.\root\cimv2")
Set Items = objWMI.ExecQuery("Select Version from Win32_OperatingSystem")
For Each Item In Items
verOs = Trim(Mid(Item.Version,1,1))
Next
If verOS = "5" Then
End If
If verOS = "6" Then
End If
Set objWMI = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\.\root\cimv2")
Set Items = objWMI.ExecQuery("Select Version from Win32_OperatingSystem")
For Each Item In Items
verOs = Trim(Mid(Item.Version,1,1))
Next
If verOS = "5" Then
End If
If verOS = "6" Then
End If
там жеж висты, 7-ки, 8-ки и иже с ними все на 6.х, а как поправить - я тож хз
ну, выдергивать не версию, а полное именование ОС, суть-то та же...
или прочитав msdn.microsoft.com/en-us/library/windows/desktop/ms724832(v=vs.85).aspx
вытаскивать больше символов
мне было критично пути к профилям, поэтому и вытаскивал только 5 или 6
или прочитав msdn.microsoft.com/en-us/library/windows/desktop/ms724832(v=vs.85).aspx
вытаскивать больше символов
мне было критично пути к профилям, поэтому и вытаскивал только 5 или 6
Во я угарнул. На весь домен (кроме серваков, которые патчатся отдельно) политику написал по отключению SMB1 на случай, если WSUS-ы не отработали или локальные траблы с обновлениями. Теперь ХРени на местечковые шары зайти не могут))
Подкинул работёнки локальным админам.
Подкинул работёнки локальным админам.
Как говорится, хороший тамада, и конкурсы интересные.
У нас тоже есть такие апологеты)
Не знаю насчёт XP-шек, у нас зато есть старые центосы с 3-й самбой, причём выступающие как в роли smb server, так и smb client. Тоже в конторе нынче шутки, смех, веселье.
У нас тоже есть такие апологеты)
Не знаю насчёт XP-шек, у нас зато есть старые центосы с 3-й самбой, причём выступающие как в роли smb server, так и smb client. Тоже в конторе нынче шутки, смех, веселье.
Ну на работоспособность клиентов smb1 политика не влияет (отключается протокол только для сервера, то есть источника общего ресурса). Центоси политика тоже тронуть не должна была, ну кроме участи smb client, обращающихся к виндовым сервакам. С другой стороны, пропатчить серверную сторону (если там винда) и включить обратно smb1 на конкретных серваках, вряд ли ж серваки на центося рандомят и лезут по шарам наугад. Я так и сделал. Принт-сервера у меня так пропатчены и возвёрнуты в_зад.
Да и так оно, согласитесь, спокойнее, чем потом выгребать эту шлыгу локально с каждого компа.
Да и так оно, согласитесь, спокойнее, чем потом выгребать эту шлыгу локально с каждого компа.
видимо, наши админы заодно оторвали SMBv1 ещё и от LanmanWorkstation (или это Microsoft своим патчем сделали?)
потому что вот подключение с Windows 7 prof на Centos5 smbd share:
Primary group is 0 and contains 0 supplementary groups
change_to_root_user: now uid=(0,0) gid=(0,0)
Requested protocol [NotSmb]
Requested protocol [NotSmb]
Requested protocol [NotSmb]
Requested protocol [NotSmb]
Requested protocol [NotSmb]
Requested protocol [NotSmb]
Requested protocol [SMB 2.002]
Requested protocol [SMB 2.???]
lp_file_list_changed()
file /etc/samba/smb.conf -> /etc/samba/smb.conf last mod_time: Tue May 16 07:09:06 2017
claiming 0
No protocol supported !
negprot index=-1
(до обновы работало)
К счастью, мне хватило поставить 4 samba сервер тупо из исходников (не потребовалось вообще ни одного удара в бубен, всё штатно поставилось), а вот тот отдел, что выгребает логи тестирования с фермы виндовых машин, я ещё не интересовался, как они обошлись)))
потому что вот подключение с Windows 7 prof на Centos5 smbd share:
Primary group is 0 and contains 0 supplementary groups
change_to_root_user: now uid=(0,0) gid=(0,0)
Requested protocol [NotSmb]
Requested protocol [NotSmb]
Requested protocol [NotSmb]
Requested protocol [NotSmb]
Requested protocol [NotSmb]
Requested protocol [NotSmb]
Requested protocol [SMB 2.002]
Requested protocol [SMB 2.???]
lp_file_list_changed()
file /etc/samba/smb.conf -> /etc/samba/smb.conf last mod_time: Tue May 16 07:09:06 2017
claiming 0
No protocol supported !
negprot index=-1
(до обновы работало)
К счастью, мне хватило поставить 4 samba сервер тупо из исходников (не потребовалось вообще ни одного удара в бубен, всё штатно поставилось), а вот тот отдел, что выгребает логи тестирования с фермы виндовых машин, я ещё не интересовался, как они обошлись)))
А это листинг чего? Лог запросов к самбе на центосе? К
Конфиг самбы менялся 16 мая в 7 утра? Может они просто нарочно отключили её?
Кстати, а зачем мы с вами это обсуждаем? Судя по всему, у Вас это вопросов не вызывает. а у меня подавно))
Конфиг самбы менялся 16 мая в 7 утра? Может они просто нарочно отключили её?
Кстати, а зачем мы с вами это обсуждаем? Судя по всему, у Вас это вопросов не вызывает. а у меня подавно))
Вы правы, логи самбины, конф не менялся.
Ну, я-то кое-что интересное от вас узнал) я не админ, я админку на стройке нашёл))
Ну, я-то кое-что интересное от вас узнал) я не админ, я админку на стройке нашёл))
Если это логи самбы, значит я был, видимо, не прав. Если 7-ка патченная не может получить доступ к шаре на центосе, при этом раньше могла, значит патч таки изменяет что-то и на клиентах.
Я просто, когда говорил, что на клиентов оно не влияет, я наверняка знал только про WindowsXP, у которого как была 1.0, так и осталась. С вистами и выше, видать таки попатчили. Надо покопать подробнее.
З.Ы.: если не менялся, то что значит строка
file /etc/samba/smb.conf -> /etc/samba/smb.conf last mod_time: Tue May 16 07:09:06 2017
З.Ы.: мне бы таких неадминов да в эникеи
Я просто, когда говорил, что на клиентов оно не влияет, я наверняка знал только про WindowsXP, у которого как была 1.0, так и осталась. С вистами и выше, видать таки попатчили. Надо покопать подробнее.
З.Ы.: если не менялся, то что значит строка
file /etc/samba/smb.conf -> /etc/samba/smb.conf last mod_time: Tue May 16 07:09:06 2017
З.Ы.: мне бы таких неадминов да в эникеи
Это уже я экспериментировал, пытался написать туда max protocol и min protocol, уже потом нагуглил, что она его тупо не знает.
+ для меня было непривычным куском знания, что политиками это тоже можно сделать. Я попробую спросить наших админов, какой вариант имел место, когда они посвободнее станут)
+ для меня было непривычным куском знания, что политиками это тоже можно сделать. Я попробую спросить наших админов, какой вариант имел место, когда они посвободнее станут)
кстати, никто не нашел патч для русской Win XP SP3?
c микрософта по этой ссылке - blogs.technet.microsoft.com/...nacrypt-attacks/ - выдает для скачивания только патч для XP Embedded
c микрософта по этой ссылке - blogs.technet.microsoft.com/...nacrypt-attacks/ - выдает для скачивания только патч для XP Embedded
не... там есть даже локализованные для обычных XP-SP3
в самом начале поста ссылка - forum.kasperskyclub.ru/index.php?showtopic=55543 , там прямые ссылки на патчи
Или по номеру kb в каталоге апдейтов:
www.catalog.update.microsoft.com/search.aspx?q=4012598
www.catalog.update.microsoft.com/search.aspx?q=4012598
Ничего не понимаю. Ведь на каждом углу было написано, что для Win XP и Win2003 эти патчи будут доступны только ПЛАТНЫМ подписчикам, а остальные получают по бороде. А тут прямые ссылки и совершенно бесплатно. Как так?
Ну вот так. МС в очередной были скомпрометированы, популярность софта падает (это у нас пиратчина процветает, а цивилизованный мир давно кто побогаче на маки съехал, а кто победнее вполне себе с комфортом юзает линуха), отчего потеря прибыли. Не к лицу в такой ситуации выёбливаться.
Тут просто уязвимость слишком критическая. Доля XP-то уже несущественная в коммерческом плане, хоть их и немало. Дело в том что наличие систем с такими дырами подвергают опасности других пользователей. IMHO этим они руководствовались когда выложили апдейт в паблик.
оно?
К сообщению прикреплен файл:
176758948-windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe (673 Kb) Скачать файл
176758948-windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe (673 Kb) Скачать файл
оно, спасибо!
у меня реально только embedded скачивался, хотя выбирал xp sp3 rus
у меня реально только embedded скачивался, хотя выбирал xp sp3 rus
Ты просто скачал с форума аттачмент и запустил его? :-D
Jonny801 станет Jonny802 ?
сперва на подопытном кролике
Авторы вируса лохи. Его распространение вчера один программист случайно остановил. Он в теле вируса обнаружил упоминание несуществующего домена и зарегистрировал его. Оказалось что вирус был так запрограммирован что если этот сайт отвечает то ничего не делать.
погоди, ща будет WNCRYv2 :)
Это и был v2.0 :) Боюсь что и третий будет (
пруф есть?
вот тут немного:
lenta.ru/news/2017/05/13/stop/
habrahabr.ru/post/328548/
lenta.ru/news/2017/05/13/stop/
habrahabr.ru/post/328548/
Угу, что за понятия...случайно остановил. С каких пор у нас можно случайно зарегать домен? Или забраться случайно в тело PE?
ХЗ, в прессе такие формулировки были. Я так понял что зачем там упомянут этот домен он не был в курсе, но решил попробовать его зарегистрировать, после чего обнаружилось к чему это привело.
www.theguardian.com/technolo...are-cyber-attack
tvrain.ru/news/priostanovka-434529/
www.theguardian.com/technolo...are-cyber-attack
tvrain.ru/news/priostanovka-434529/
т.е. всё, вирус теперь обезвержен и больше никому не навредит? :о)
Нет гарантий, может там возможность обновления предусмотрена :D Надо смотреть результаты анализа кода, если кто делал. По факту да, распространение этого экземпляра прекратилось.
мне пофиг, я на завтра в ГП апдейт вписал, на серверах и роутере 445 закрыл
а как на роутере он оказался открыт, кем и главное, с какой целью?
сколько ты видел роутеров, в которых по умолчанию закрыты все порты?
почти все домашние роутеры "из коробки" не открывают порты наружу. домрушные сотые дырлинки торчат админкой наружу, admin/admin можно заходить. но остальные порты закрыты
ребята исправились и зараза продолжает свой путь )
а на 2012й чота ничего не предлагается.
А не фиг искать поштучно все объявления. Даже пикабушники уже прониклись:
pikabu.ru/story/ssyilki_na_o...ecrypt0r_5046074
P.S. Кстати, Вам эту ссылку уже давали выше - и там есть, как на 2012, так и на 2012r2
pikabu.ru/story/ssyilki_na_o...ecrypt0r_5046074
P.S. Кстати, Вам эту ссылку уже давали выше - и там есть, как на 2012, так и на 2012r2
где бы найти такое письмо.. Хочется проверить как оно работает то..
эх удалил сегодня.
ваще ни гиктаймс есть инфа
ваще ни гиктаймс есть инфа
Привет "умникам", отключающим автообновление.
а когда после обновления сервер не грузится - это лучше?
Лучше, правда, встречаются реже, потому что на обновления серверов имеется регламент, по которому они обновляются в полуавтоматическом режиме, и сис.администратор в последующем перезагружает вручную и контролирует его работоспособность. А ещё есть такие штуки, называются системы мониторинга - забикс, нагиос, кактус и иже с ними, которые должны иметь при себе систему экстренного оповещения отвественных лиц. Ну это если как у людей.
Ну а можно просто автоапдейт в параметр 4 (автозагрузка, автоустановка и авторестарт) поставить на серваках и в отпуск укатить. Встречал я подобные поделки ответственных лиц, да.
Ну а можно просто автоапдейт в параметр 4 (автозагрузка, автоустановка и авторестарт) поставить на серваках и в отпуск укатить. Встречал я подобные поделки ответственных лиц, да.
ну у меня до определенного времени так было.... У меня не центр управления полетами, про который вы рассказываете...
все проще - если виртуалки тестовые апнулись нормально после апедйта, то можно и на боевые сервера ставить. городить "центр управления полетами" ресурсов нема(
Иногда упдаты с левым софтом конфликтуют, который установлен не на всех серваках. Помню, со ScrewDriver на 2008-м (без R2) были траблы.
screwdrivers - наше все... терминалки 2008r2 без проблем живут.
если комп домашний - совершенно правильно делают что отключают :) .
это было рекомендуемое обновление - не обязательное к установке
У меня включены автообновы. На 10ке оно прилетело, а на 8 и 7 нет, так шта отставить флуд!
На 8 и 7 прилетала 10ка, так шта отставить флуд!
Не надо по себе судить о других ) Не все слезли с нормальной 7ки на глючную 10ку. 3 наряда вне очереди за приперательство!
Анекдот в тему:
Прапорщик останавливает солдата: - Са-алдат, па-ачему сапоги не чищены?!
Содлат: - Товарищ прапорщик, это Вас не е...!
Прапорщик: - Что, ..ля?! Ты как со мной разговариваешь?!
Солдат, вздохнув, загибает пальцы: - Сапожного крема у нас нет, щетки
лысые, кругом грязь...
Прапорщик: - А меня е...?
Солдат: - Так я Вам сразу сказал, что Вас не е...
Анекдот в тему:
Прапорщик останавливает солдата: - Са-алдат, па-ачему сапоги не чищены?!
Содлат: - Товарищ прапорщик, это Вас не е...!
Прапорщик: - Что, ..ля?! Ты как со мной разговариваешь?!
Солдат, вздохнув, загибает пальцы: - Сапожного крема у нас нет, щетки
лысые, кругом грязь...
Прапорщик: - А меня е...?
Солдат: - Так я Вам сразу сказал, что Вас не е...
Я написал факт, какое еще "суждение по себе о других"? Если у вас свои заебы по операционкам, то вот их точно не нужно проецировать на других.
Я вам тоже написал про автообновы. Так ваш пост про "умников" неверен. А за мат вам предупреждение. Ещё раз и в глаз бан.
Что "тоже"? Факт в том, что 7 и 8 были обновлены до 10, в актуальной на данный момент версии Windows фикс прилетел с автообновлением, и есть умники, отключающие это самое автообновление. Что из этого "неверно"?
За мат спасибо конечно, но он из-за вашего анекдота, точки не помогли совсем :-D
За мат спасибо конечно, но он из-за вашего анекдота, точки не помогли совсем :-D
А-ха-х! Виндузятники в опасносте!!! )))
на данный момент 3 БСОДа после заплатки:
Вин7 х64 Про неизвестного мне происхождения
Вин7 х64 Про имеющая странные дефекты (например на неё не ставится симантековский Лайтаут)
Вин7 х64 из какой-то адской пионерской сборки на английском ядре с левой ГУИ.
Вин7 х64 Про неизвестного мне происхождения
Вин7 х64 Про имеющая странные дефекты (например на неё не ставится симантековский Лайтаут)
Вин7 х64 из какой-то адской пионерской сборки на английском ядре с левой ГУИ.
есть такое н а левых виндах, мои доменные - норм всё
у меня на всех лицензиях норм и доменных и обычных.
8 компов руками обновлял сегодня - все норм ставится
Судя по SCCM+WSUS 46 WinXP и 59 Windows 7 сегодня обновились и никаких проблем и тем более БСОДов.
у меня на моих тоже всё ОК. 2 из 3х "неудачников" чужие, один мой и давно стоит в очереди на переустановку. там были какие-то проблемы с обновлениями в самом начале, но, как обычно, "надо очень срочно", пришлось бросить "как есть".
на некоторых 7ках не проходит дальше режима "поиск обновлений на компьютере", оставил на ночь.
на некоторых 7ках не проходит дальше режима "поиск обновлений на компьютере", оставил на ночь.
Микрософт, по сути, признались в наличии закладок во всей продуктовой линейке. Медийный вирус.
Под десятку ставил кто заплатку? Что-то размер заплатки наводит на нехорошие мысли.
Под десятку ставил кто заплатку? Что-то размер заплатки наводит на нехорошие мысли.
+1
А я ещё задался вопросом, почему под разные билды разные заплаты и каждые по 500 с лишним метров.
А я ещё задался вопросом, почему под разные билды разные заплаты и каждые по 500 с лишним метров.
Произошла глобальная утечка информации, а значит инструментарий хулиганов не ограничится 445портом.
это не объясняет почему на каждый билд 10-ки отдельная заплатка.
7aladin писал(а)
Под десятку ставил кто заплатку? Что-то размер заплатки наводит на нехорошие мысли.
Под десятку ставил кто заплатку? Что-то размер заплатки наводит на нехорошие мысли.
под 10 прилетела сама. Но размер под гиг тоже как-то удивил...
ну наверное не тока эту проблему исправляли.
Фиг знает. Но 10 мне не нра, хотя бы потому что меню кривое из коробки, которое отваливает очень часто даже на 1607 билде. Про кучи заплаток и говорить не приходится.
Кто-нибудь понимает, что значит эта уязвимость?
Секретарь или уборщица запускает у себя вирус, а данные на ноуте директора и на сервере шифруются. Офигеть ситуация.
Всё это заставляет задуматься о новой жизни.
Секретарь или уборщица запускает у себя вирус, а данные на ноуте директора и на сервере шифруются. Офигеть ситуация.
Всё это заставляет задуматься о новой жизни.
это сознательно оставленная дыра. апдейт вышел, когда "правильные пацаны" либо прощелкали этот инструмент и он утек в массы, либо наигрались и все заинтересованные лица заимели противоядие.
утёк :) .
про какое противоядие может идти речь для скомпрометированного разработчика? "ошибка" закралась в все линейки продуктов за последние 20 лет...Какой порт или сервис на очереди? RDP?
слишком большие деньги тут замешаны. это все разговоры "в пользу бедных". любой порт любого сервиса любой ос... пока не всплывет массовое вымогательство денег - все будет шито-крыто...
очередь в облака приуменьшится в разы.
вряд ли. ежики будут кушать этот кактус. а серьезные компании будут иметь свои дата-центры.
Квартет9 писал(а)
это сознательно оставленная дыра
это сознательно оставленная дыра
чушь, извините
хорошо, изменим формулировку.
изначально это была просто ошибка разработчиков. но потом (реальные сроки большой секрет "большого брата" и мс) это стало сознательно оставленной дырой.
изначально это была просто ошибка разработчиков. но потом (реальные сроки большой секрет "большого брата" и мс) это стало сознательно оставленной дырой.
Квартет9 писал(а)
это стало сознательно оставленной дырой.
это стало сознательно оставленной дырой.
нет. ибо смысла в этом никакого
7aladin писал(а)
Кто-нибудь понимает, что значит эта уязвимость?
Кто-нибудь понимает, что значит эта уязвимость?
я понимаю
Не знаю, будет кому интересно или нет.
У меня в одном из подразделений, была локальная вспышка. 1 заражённый комп, smb-ресурс на насе был подключен как сетевой диск, был частично зашифрован.
Проблему локализовали, устранили. Потерь особых нет.
У меня в одном из подразделений, была локальная вспышка. 1 заражённый комп, smb-ресурс на насе был подключен как сетевой диск, был частично зашифрован.
Проблему локализовали, устранили. Потерь особых нет.
RealVaVa писал(а)
подключен как сетевой диск
подключен как сетевой диск
по рукам тому кто это сделал.
у меня в предыдущую эпидемию одна клуша словила. и именно она же, по кой-то хер, подцепила файлопомойку нетмапом. спасло наличие месячной давности бэкапа + то, что данных там овердохуя и процесс шифрования отловили прямо в реальном времени. успело зашифроваться ~30%
Что-то не так уж много они зарабатывают при такой глобальности эпидемии. meduza.io/news/2017/05/12/na...tysyach-dollarov
так "глобальной" её тока СМИ называют :-D ...
зашифровалась пиратка 7-ка, наружу был открыт только РДП на нестандартном порту.
и никаких писем\флэшек\пиратских апдейтов?
На момент начала шифрования вообще никто не работал более 2 часов. Винда обновлялась как путная, отсутствие активации не особо напрягал, изредка патчилось последние 5 лет. DRweb Sec space. Сомнений откуда прилетело нет. Подключение через роутер без upnp
аналогичная хрень
зашифровалась семерка с рдп наружу на нестандартном порту.
рядом светилась 2003 тоже с нестандартным портом рдп - всё ок.
Зашифровалась в выходные, когда никого не было.
зашифровалась семерка с рдп наружу на нестандартном порту.
рядом светилась 2003 тоже с нестандартным портом рдп - всё ок.
Зашифровалась в выходные, когда никого не было.
И шифрует все подряд. И продолжают долбиться, судя по логам. И совсем не из Украины, а совсем рядом боты.
верно
у меня 2 ip продолжает долбиться
185.44.68.131
212.248.126.18
москва и самара
у меня 2 ip продолжает долбиться
185.44.68.131
212.248.126.18
москва и самара
а зашифрованная 7ка с админскими правами?
Да. Зашифровал весь компьютер и сетевые диски.
а пароль был?
Конечно был. Я так подозреваю, им логин и пароль не нужен, достаточно открытого порта. Было такое давно под sql порт.
интересно, это только у 7ки такой баг?
как будто можно попробовать вытащить ключи для дешифрации на вин7\винхп если комп не перезагружался:
blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d
blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d
Похоже в госконторах хорошо накрыло, нам министерство аж телегу прислало с запоздалыми рекомендациями:
Пропустил бы список в файнридер и удалил бы дубли. :-)
лень. смысла банить адреса не вижу - их завтра новых будет 100500
нет, лучше пере-ть. Тем более, директивы не обсуждаются, даже самые тупые.
Запретил любой трафик в любую сторону.
Набирал с телефона, может что пропустил.
Запретил любой трафик в любую сторону.
Набирал с телефона, может что пропустил.
у меня один хрен роутер тупой, там каждую строчку вбить, нажать Эпплай, ждать применения. ну их в дуду. порты закрыл и пропатчил всё.
Торовские *.onion домены ни к чему, на роутере их не забанить.
ни разу не было и вот опять ...
Ещё одна волна ?
да, и на этот раз, как пишут, более успешная в РФ и на Украине
По радио пишут, что изначально приходит зловредное письмо, далее распространяется по rpc.
Не Петя, пишут Касперские.
Рейтинг основных форумов
Городские форумы
Городской форум
Городской форум для новичков
Нижегородская политика
Жалобная книга
Бабский форум
Мужской
Анонимный медицинский форум
Дурацкие вопросы
Автофорумы
Автофорум главный
Девушка за рулем
ВАЗ форум
4х4 форум
Жалобный
Шевроле Форум
Такси
Автозапчасти
Гаражный форум
KIA-форум
Рено форум
Hyundai Форум
VAG Форум
Форумы покупок
Центр раздач: информационный форум
Глав-Пристрой (со всех форумов, взрослый)
Совместная покупка
Совместная покупка: центральный
Совместная покупка: взрослый
Совместная покупка: вкусный
Совместная покупка: мама и малыш
Совместная покупка: уютный
Совместная покупка: сбор предоплаты, раздачи
Совместная покупка: услуги
Совместная покупка: область
Совместная покупка: Дзержинск
Совместная покупка: Саров
Зарубежные интернет-покупки
Покупаем вместе
Покупаем Вместе: Основной
Покупаем вместе: БОЛЬШОЙ ШОПИНГ (взрослый)
Покупаем вместе: БЕБИ-ШОП (детский)
Покупаем вместе: ДОМОВОЙ
Покупаем вместе: ГАСТРОНОМ
Покупаем вместе: Сбор предоплаты, раздачи
Покупаем Вместе: пристрой
Покупаем Вместе: услуги
Выгодная покупка
Выгодная покупка - общие вопросы
Выгодная покупка - взрослый
Выгодная покупка - детский
Выгодная покупка - сбор предоплаты, раздачи
Выгодная покупка - объявления
Форум закупок
Мой малыш
Мой малыш - Основной
Мой малыш - Объявления. Общий
Мой малыш - Объявления: детская одежда
Мой малыш - Объявления: детская обувь
Мой малыш - Объявления: детский транспорт, игрушки, мебель
Халявный
Халявный (основной)
Котята и др. животные
Элитный (продажа неликвидных товаров)
Услуги
Домоводство
Полезный форум
Бытовые проблемы
Деревенский форум
Домоводство
Цветочный форум
Форум владельцев кошек
Дачный. Основной.
Бытовая Техника
Творческий
Рукоделие основной
Форумы по интересам
Фиолетовый форум
Сделаны в СССР
Музыкальный
Кино форум
Кладоискатели и коллекционеры
Рыболовный
Охотничий
Стильный форум
Флирт, Любовь, Знакомства
Фотофорум
Здоровье
Развитие Человека
Пивной форум
Кулинарный
Парфюмерный
Парфюмерная Лавка
Собачий форум
Собачий форум: Основной
Собачий форум: пристрой животных
Наши Дети
Наши дети
Школьный форум
Особые дети
Технофорумы
Интернет-НН
GPS форум
Мобильный форум
Техно-форум
Технотуса
Проф. и бизнес форумы
Бизнес форум
Фотография
Недвижимость
Банковский форум
Медицина
Форум трейдеров
Бухучет и аудит
Юридический
Подбор персонала
Разработчики ПО
Строительные форумы
Строительный форум (основной)
Окна
Форум электриков
Мебель
Кондиционирования и вентиляция
Форум строительных объявлений
Форум проектировщиков
Все строительные форумы
Туризм, отдых, экстрим
Туризм, отдых, экстрим
Спортивные форумы
Клуб болельщиков
Спортплощадка
Боевые искусства
Велофорумы Нижнего Новгорода
Велофорум Нижнего Новгорода
Путешествия
Нижегородская область
Недвижимость
Недвижимость
Ипотека
Земельный форум
ТСЖ
Садоводческое товарищество
Жилые районы
Автозаводский район
Сормовский район
Мещерское озеро
Все форумы районов
Форумы домов
Корабли
Новая Кузнечиха
Октава ЖК (ул. Глеба Успенского)
Мончегория ЖК
Аквамарин ЖК (Комсомольская пл.)
Сормовская Сторона ЖК
КМ Анкудиновский парк ЖК
Красная Поляна ЖК (Казанское шоссе)
Времена Года ЖК (Кстовский р-он)
Стрижи ЖК (Богородский р-он)
На Победной ЖК (Победная ул., у дома 18)
Окский берег ЖК (п. Новинки)
Цветы ЖК (ул. Академика Сахарова)
Деревня Крутая кп (Кстовский р-он)
Опалиха кп (Кстовский р-он)
Юг мкр. (Южный бульвар)
Гагаринские высоты мкр.
Бурнаковский мкр.
Белый город мкр. (60-лет Октября ул.)
Зенит ЖК (Гагарина пр.)
Седьмое небо ЖК
Все форумы домов
Частные форумы
Свадебный форум
Саровский Клуб Покупателей
Июньские мамочки
Форум безумных идей
Ночной форум
Королевство кривых зеркал
Ищу вторую половинку!
Лютики-цветочки КУПЛЯ-ПРОДАЖА
Отряд стройности
Пчеловодство
Форум ленивых
Волейбольный клуб туристов
Встречи для секса
Буду мамой!
Алкогольный форум
Лютики-цветочки
Котоводство
Форум сексуального опыта
Свободка
Форум модераторов
Форум забаненных
Новый форум модераторов
Отзывы и предложения (техподдержка)
Последние темы форумов
Форум
Тема (Автор)
Ответов
Карта сайта | 18+
ООО «Сеть городских порталов»
© 1999 - 2024
Реклама на NN.RU +7 (831) 261-37-60, reklama52@iportal.ru
Раздел технической поддержки | Для Роскомнадзора и госорганов: juristnn@iportal.ru
Реклама на NN.RU +7 (831) 261-37-60, reklama52@iportal.ru
Раздел технической поддержки | Для Роскомнадзора и госорганов: juristnn@iportal.ru
Т.к. вы неавторизованы на сайте. Войти.
Т.к. тема является архивной.