Столкнулся с очередным вирусом на веб сервере. Вирус необычный для меня и новый. Поделился некоторой информацией о нем.
https://serveradmin.ru/zarazhenie-web-servera-kriptomaynerom/
#статья #вирус
https://serveradmin.ru/zarazhenie-web-servera-kriptomaynerom/
#статья #вирус
Server Admin
Как очистить сайт или веб сервер от вируса-криптомайнера
На днях мне довелось впервые познакомиться с вирусом, который пытался майнить криптовалюту на одном из серверов, за которым я приглядывал. Сама история обнаружения и лечения веб сервера от этого...
Статья по горячим следам. Мой опыт встречи с очередным вирусом шифровальщиком. На этот раз с Crusis (Dharma). Пострадал один из файловых серверов под моим управлением. Зашифрованные файлы получили расширение .combo. В статье описание моего случая и общие мысли, рекомендации по поводу шифровальщиков.
https://serveradmin.ru/virus-crusis-dharma-kak-rasshifrovat-faylyi-i-udalit-vyimogatelya/
#статья #вирус
https://serveradmin.ru/virus-crusis-dharma-kak-rasshifrovat-faylyi-i-udalit-vyimogatelya/
#статья #вирус
Server Admin
Crusis (Dharma) - вирус троян-шифровальщик
Продолжаю печально известную рубрику на своем сайте очередной историей, в которой я сам оказался пострадавшим. Я расскажу о вирусе-вымогателе шифровальщике Crusis (Dharma), который зашифровал все...
Если кто еще не слышал, предупреждаю на всякий случай. Инфу видел давно, в момент публикации на opennet, но в тот момент не было информации, что ее активно эксплуатируют. Но теперь уже начали.
http://www.opennet.ru/opennews/art.shtml?num=50819
Дырка судя по всему очень серьезная и уже вовсю эксплуатируется ботами. В ссылке на хабре в конце статьи предлагают скрипт для автоматического лечения сервера. Вроде как помогает, но я не пробовал. У меня, слава богу, нет Exim вообще нигде.
https://habr.com/ru/post/455598/
#заметка #mailserver #вирус
http://www.opennet.ru/opennews/art.shtml?num=50819
Дырка судя по всему очень серьезная и уже вовсю эксплуатируется ботами. В ссылке на хабре в конце статьи предлагают скрипт для автоматического лечения сервера. Вроде как помогает, но я не пробовал. У меня, слава богу, нет Exim вообще нигде.
https://habr.com/ru/post/455598/
#заметка #mailserver #вирус
www.opennet.ru
Критическая уязвимость в Exim, позволяющая выполнить код на сервере с правами root
В почтовом сервере Exim выявлена критическая уязвимость (CVE-2019-10149), которая может привести к удалённому выполнению кода на сервере с правами root при обработке специально оформленного запроса. Возможность эксплуатации проблемы отмечена в версиях с 4.87…
Надеюсь все обновились? Лучше не затягивать. Вчера весь вечер проверял и обновлял все, что попадает под эту уязвимость. Очередная RCE-уязвимость под номером CVE-2019-1181/1182 Позволяет выполнить произвольный код на компьютере жертвы, имея только открытый порт rdp.
То, что эти дырки постоянно находят, я уже смирился. Но вот что я не понимаю, так это почему обновления на windows ставятся так медленно. Какое-то неопределенное время поиска обновлений, потом скачивание, установка. И везде полосы прогресса не информативны, то есть не отражают реальную скорость процесса вообще никак. Невозможно предугадать, сколько будет ставиться обновление. Может 15 минут, а может 2 часа.
Почему в любом linux обновление ставится быстро и предсказуемо по времени, а Microsoft никак не может каким-то образом организовать этот процесс так, чтобы он был удобен и быстр?
https://habr.com/ru/company/solarsecurity/blog/463591/
#заметка #вирус
То, что эти дырки постоянно находят, я уже смирился. Но вот что я не понимаю, так это почему обновления на windows ставятся так медленно. Какое-то неопределенное время поиска обновлений, потом скачивание, установка. И везде полосы прогресса не информативны, то есть не отражают реальную скорость процесса вообще никак. Невозможно предугадать, сколько будет ставиться обновление. Может 15 минут, а может 2 часа.
Почему в любом linux обновление ставится быстро и предсказуемо по времени, а Microsoft никак не может каким-то образом организовать этот процесс так, чтобы он был удобен и быстр?
https://habr.com/ru/company/solarsecurity/blog/463591/
#заметка #вирус
Хабр
BlueKeep-2 — теперь уязвимы все новые версии Windows
Ещё не успела отшуметь уязвимость BlueKeep (CVE-2019-0708) для старых версий ОС Windows, нацеленная на реализацию протокола RDP, как снова пора ставить патчи. Теперь в зону поражения попали все новые...
Шифровальщики стали настоящим бедствием последних лет. Я сам с ними сталкивался, точнее инфраструктура под моим управлением. Лично в двух компаниях устранял последствия. Ничего лучше своевременных и надежных бэкапов нет, так что обходился без потерь.
Касперский выпустил утилиту, которая помогает расшифровать данные после некоторых шифровальщиков. У меня были положительные отзывы на работу этой утилиты от тех, кому она помогла вернуть файлы. Так что делюсь информацией и ссылкой - https://support.kaspersky.ru/viruses/disinfection/13059?cid=noransom
#заметка #вирус
Касперский выпустил утилиту, которая помогает расшифровать данные после некоторых шифровальщиков. У меня были положительные отзывы на работу этой утилиты от тех, кому она помогла вернуть файлы. Так что делюсь информацией и ссылкой - https://support.kaspersky.ru/viruses/disinfection/13059?cid=noransom
#заметка #вирус
support.kaspersky.ru
Утилита ShadeDecryptor для защиты от Trojan-Ransom.Win32.Shade
Расшифруйте с помощью утилиты ShadeDecryptor файлы, зараженные Trojan-Ransom.Win32.Shade.
Небольшая заметка из практики. На днях попросили разобраться с сервером, на котором возникли непонятные проблемы. По факту оказалось, что на сервак залили вирус через postgres контейнер в докере. Все в лучших традициях разгильдяйства и современного devops, когда херак-херак и в прод.
https://serveradmin.ru/kak-vzlamyvayut-veb-servera/
#статья #вирус
https://serveradmin.ru/kak-vzlamyvayut-veb-servera/
#статья #вирус
Server Admin
Как взламывают веб сервера | serveradmin.ru
/sbin/iptables -I DOCKER-USER -i eth0 -p tcp --dport 5432 -j DROP Расскажите, встречались с похожими, простыми и очевидными факапами?
Смотрите, какая наглядная новость про уязвимости. Кто-то много лет ходил на сервера, как к себе домой, пока уязвимости не вышли в открытый доступ и их не закрыли.
Почему я обратил на это внимание? Я часто слышу мнение на тему того, что если ставить обновления, то можно особо не бояться уязвимостей. Об этом заявляют в контексте того, что надо закрывать из открытого доступа по возможности все сервисы.
Так вот. Существенно обезопасить себя можно закрывая доступ на уровне фаервола ко всему, что не нуждается в этом доступе. Я последнее время стал и ssh закрывать белыми списками ip, хотя раньше делал это очень редко, так как не припоминаю серьезных уязвимостей в этом протоколе, хотя допускаю, что они есть, просто знает о них ограниченный круг лиц.
Рекомендую поступать так же. Все, что только можно, закрывайте фаерволом и не ленитесь его настраивать. Чем меньше информации о вас можно собрать, тем надежнее будет ваша защита. Это универсальный совет. Возможно со временем дойду до того, что и пинги закрою :) Пока оставляю.
https://www.opennet.ru/opennews/art.shtml?num=53535
#заметка #вирус
Почему я обратил на это внимание? Я часто слышу мнение на тему того, что если ставить обновления, то можно особо не бояться уязвимостей. Об этом заявляют в контексте того, что надо закрывать из открытого доступа по возможности все сервисы.
Так вот. Существенно обезопасить себя можно закрывая доступ на уровне фаервола ко всему, что не нуждается в этом доступе. Я последнее время стал и ssh закрывать белыми списками ip, хотя раньше делал это очень редко, так как не припоминаю серьезных уязвимостей в этом протоколе, хотя допускаю, что они есть, просто знает о них ограниченный круг лиц.
Рекомендую поступать так же. Все, что только можно, закрывайте фаерволом и не ленитесь его настраивать. Чем меньше информации о вас можно собрать, тем надежнее будет ваша защита. Это универсальный совет. Возможно со временем дойду до того, что и пинги закрою :) Пока оставляю.
https://www.opennet.ru/opennews/art.shtml?num=53535
#заметка #вирус
www.opennet.ru
Удалённая уязвимость в серверных платах Intel с BMC Emulex Pilot 3
Компания Intel сообщила об устранении 22 уязвимостей в прошивках своих серверных материнских плат, серверных систем и вычислительных модулей. Три уязвимости, одной из которых присвоен критический уровень, (CVE-2020-8708 - CVSS 9.6, CVE-2020-8707 - CVSS 8.3…
Много лет назад (8), когда я активно занимался поддержкой офисов, не раз сталкивался с вирусами-шифровальщиками. Причём с одним из них я столкнулся, когда они прям только начали появляться и были в новинку. Никто толком не понимал, что это такое и как восстанавливать данные.
Как сейчас помню, это был вирус, который ставил расширение .vault на файлы. Он зашифровал компанию, которую я только взял на обслуживание и даже не успел толком дела принять. Проводил инвентаризацию. Бэкапами ещё не занимался. Хорошо хоть права доступа на запись у человека были не ко всем общим файлам, так что пострадал в основном только он, запустивший вирус из почтового вложения и ещё пару человек, которым он его переслал, чтобы они проверили, почему файл не открывается 😁
Самое интересное, что у этих людей были зашифрованные флешки (пин код прям с устройства вводился) с секретной информацией, которая никуда не копировалась и не бэкапилась. Флешки не должны были быть воткнутыми постоянно. Понятное дело, что они были воткнуты постоянно в течении рабочего дня. Все данные там были потеряны. Директор тогда отнёсся философски ко всему этому. Ругаться не стал, сказал, что сами виноваты, пусть выкручиваются, как хотят. В принципе, сами и выкрутились.
Когда я воочию увидел, как легко безвозвратно потерять все данные, стал по-другому относиться к бэкапам. Я сам тогда ещё ни разу не сталкивался с тем, что данные могут быть вот так утеряны безвозвратно и шансов на восстановление нет. Сам за бэкапами всегда следил. Потом и тут всё настроил и забэкапил. Позже они ещё раз словили шифровальщика. Данные им из бэкапа восстановил. Причём всё это было с работающим платным антивирусом Eset. Тогда антивирусы очень слабо реагировали на шифровальщиков.
Я в то время написал подробную статью по этому вирусу, наполнив её своей информацией из первых рук. Она стала очень популярной. Долгое время эта статья приносила половину всех посетителей сайта и собрала кучу обратных ссылок. Потом я сталкивался и с другими вирусами, писал статьи на основе своих данных и просто делал обзоры на все популярные шифровальщики.
Написать на эту тему решил, чтобы рассказать про сервис https://www.nomoreransom.org/ru/index.html Зашёл его проверить и с удивлением обнаружил, что сайт всё ещё функционирует. Во время разгула шифровальщиков, не все в полной мере шифровали файлы. Были и те, кто косил под популярных шифровальщиков, и те, кто реально ничего не шифровал. Для некоторых случаев антивирусные компании создавали дешифраторы и они реально помогали. Я знал такие случаи.
Так что если вас вдруг зашифровали, попробуйте посмотреть дешифратор на этом сайте. Возможно, вам он как-то поможет. Ну и не забывайте про бэкапы.
#вирус #сервис
Как сейчас помню, это был вирус, который ставил расширение .vault на файлы. Он зашифровал компанию, которую я только взял на обслуживание и даже не успел толком дела принять. Проводил инвентаризацию. Бэкапами ещё не занимался. Хорошо хоть права доступа на запись у человека были не ко всем общим файлам, так что пострадал в основном только он, запустивший вирус из почтового вложения и ещё пару человек, которым он его переслал, чтобы они проверили, почему файл не открывается 😁
Самое интересное, что у этих людей были зашифрованные флешки (пин код прям с устройства вводился) с секретной информацией, которая никуда не копировалась и не бэкапилась. Флешки не должны были быть воткнутыми постоянно. Понятное дело, что они были воткнуты постоянно в течении рабочего дня. Все данные там были потеряны. Директор тогда отнёсся философски ко всему этому. Ругаться не стал, сказал, что сами виноваты, пусть выкручиваются, как хотят. В принципе, сами и выкрутились.
Когда я воочию увидел, как легко безвозвратно потерять все данные, стал по-другому относиться к бэкапам. Я сам тогда ещё ни разу не сталкивался с тем, что данные могут быть вот так утеряны безвозвратно и шансов на восстановление нет. Сам за бэкапами всегда следил. Потом и тут всё настроил и забэкапил. Позже они ещё раз словили шифровальщика. Данные им из бэкапа восстановил. Причём всё это было с работающим платным антивирусом Eset. Тогда антивирусы очень слабо реагировали на шифровальщиков.
Я в то время написал подробную статью по этому вирусу, наполнив её своей информацией из первых рук. Она стала очень популярной. Долгое время эта статья приносила половину всех посетителей сайта и собрала кучу обратных ссылок. Потом я сталкивался и с другими вирусами, писал статьи на основе своих данных и просто делал обзоры на все популярные шифровальщики.
Написать на эту тему решил, чтобы рассказать про сервис https://www.nomoreransom.org/ru/index.html Зашёл его проверить и с удивлением обнаружил, что сайт всё ещё функционирует. Во время разгула шифровальщиков, не все в полной мере шифровали файлы. Были и те, кто косил под популярных шифровальщиков, и те, кто реально ничего не шифровал. Для некоторых случаев антивирусные компании создавали дешифраторы и они реально помогали. Я знал такие случаи.
Так что если вас вдруг зашифровали, попробуйте посмотреть дешифратор на этом сайте. Возможно, вам он как-то поможет. Ну и не забывайте про бэкапы.
#вирус #сервис