Значит так, немного выдохнул и подумал. 1. Одновременно упали два сервера, 2008 R2, первый был полностью обновлен, напрочь выключены все версии SMB, второй тоже 2008, не критичен, забили обновить, сами олени. 2. По логам файрвола на фре было много попыток пробиться именно по 443,139,138, файр прибил все попытки, зоны адресов из половины мира, время от 12-30 до 16-00, дальше не смотрел. 3. Еще один 2008 выстоял, при чем я выключил его через час после падения двух первых серверов. 4. Пользователи начали выключать свои компы где то через час - полтора, последний после криков - "какого уя" просто чуть не всрався. 5. Сервер который явно занес заразу был 1С с Медком. 6. Массивы кроме системного живы. 7. Медок сцк вынести на отдельный сервер, на отдельный ИП, бухи пусть бегают пешком сдавать отчеты.. bomb.gif
Можете закидать какашками, но думаю что сеть спасло то что не было контроллера домена, вернее он есть но в нем никого нет smile.gif , только на одном серваке, кстати на том что не пострадал, хотя работал еще около часа после падения двух первых. Зы зы, самая большая моя дурь это выпускать сервера в инет, типа удобно что сами качают апдейты и маякуют когда их нужно обновить, видать хрень могла попасть чуть раньше и просто ждать команды, но опять же, почему выжили офисные тазики, во всяком случае пока выжили.
5. Сервер который явно занес заразу был 1С с Медком.
Интересно, без инсайдера внутри системы Медок такое распространение было бы возможно?
Медок просто затягивает сообщения почтой и сразу их обрабатывает. Видимо просто не предусмотрели такой ситцации. Не думаю что там какойто вселенский заговор. Миром правит не масонская ложа, а простая лажа.
ВадимМ 27.06.2017 22:10 пишет: Уж четверть века твердят сисадмины, а многие боссы отмахиваются.
Сисадмины твердят? Давеча спросил одного у тебя хоть рейд 1 стоит? Бекап хоть раз в неделю делается... ? Ответ уникальный а [*****] там железо слабое ну на корках пк ну слабое но хоть шо-то.... то шо на юзверовских компах антивирь не обновляется, тож типа по.. зато гордо я на аутсорсе
Ребята ,вы не поверите сколько гонора у 90% ИТ менеджмента в компаниях. Унас все круто, все зашибись. А про ИСО27ххх даже не читали
Вот теперь и вігребают. Народ настолько ща расслабил булки что о процедурах безопасности для КАЖДОГО сотрудника забыли и забили. Слово КСЗИ воспринимают как матюки в сторону личных амбиций. Получите и распишитесь.
Vaschek 27.06.2017 22:21 пишет: зато гордо я на аутсорсе
Тут вопрос - а выделены ли ресурсы для бекапа? Рейд-то он есть, но в пределах одной машины, даже разными массивами - это не решение. Если в этот раз вирус колбасит только системный диск/зеркало, то в следующий он может взяться за все винты.
У брательника резервный сервер с бекапами лег рядом с основным
serg-ss 27.06.2017 22:51 пишет: Судя по поднятому шухеру следующая реформа в Украине будет "реформа Админов".
Как-то тупо У нас есть киберполиция...как, зачем, когда и для чего создавалась - можешь погуглить. Вот им реформы и будут. Ну и отожмут медок заодно. опз помню...их предшественников. Их ушли. Ну потом сертификационный центр "Украина" тож подвинут. Нефик всей Украине ключи продавать за дурные деньги Много чего сдвинут. А по ходу - ног таки явно растут от программеров. Или криворукие, или таки были спец дырки.
пысы. У мамы ХР, нифига не защищенная патчами, антивирус сегодня втулил о страху, бекапы с того медка сделал (адын файл )...с обыкновенным тп-линком в селе с оптикой и серым айпи. Норм все Так что вселенной катастрофы не будет
Я так розумію атака була розрахована в першу чергу на різні комерційні контори? З різними бугалтерськими прогами і поштовими сервісами? Простим користувачам які суто новини дивляться і сайти перевірені почитують нічого не загрожує?
eugene_za 27.06.2017 23:38 пишет: Теперь надо налоговую и других, кому передавались отчёты через медок, признать террористическими организациями. Ну и сжечь ведьму на костре.
Но она же красивая ... Ладно, но потом все равно сжечь.
У мене на ВСІХ компах (крім ноуту, на який систему, до речі, один наш камрад звідси ставив ) завжди є розбиття на диски. Система - окремо, інформація - окремо. Ну мене так вчили років коло 20 тому, що це правильніше для безпеки. Читаючи сьогодні все, розумію, що цього простого правила не всі дотримуються?
Tarasoff 27.06.2017 18:55 пишет: Есть прикладной софт, который привязан к большому и дорогому железу и требует старые ОС и SMB1. И что делать "скупым и глупым админам"? Ваши варианты
Мы разносили такое оборудование по отдельным VLANам, чтобы доступ был ограничен и трафик не пересекался с офисным.