|
white
|
 |
« Ответ #525 : 04 Июня 2019, 19:47:09 » |
|
у нас сегодня на одном из конторских компов поймали шифровальщика "Поймали" - это как? И да, той, которая на этом компе сидит, надо по башке клавой настучать. |
|
|
|
|
Записан
|
|
|
|
Serg_ch
Ветеран форума
Карма +800/-0
 Offline
Пол: 
Сообщений: 2708
Оренбург
 Европа-Азия (Оренбург) Lada Granta Liftback 219170
|
|
« Ответ #526 : 04 Июня 2019, 20:06:19 » |
|
у нас с полгода назад тоже пытались поймать в бухгалтерии. Каспер про него не знал, но по поведению прибил процесс и сделал откат изменений. Объяснить тетушке, которая сидит на почте и ведет переписку с кучей клиентов, что открывать файл с именем "акт сверки" надо с умом - почти не реально, потому что с таким именем куча файлов приходит, которые нужны и в работе. Права, конечно, отобрал по возможности, но все не закроешь, а ей надо и 1С, и общую папку на сервере.
Считаю, повезло. А в другом месте, не в моей зоне ответственности, шифровальщик пролез и весь комп зашифровал и всю серверную папку
|
|
|
|
|
Записан
|
Был 2126-030, МПСЗ-Ж (ДПКВ), ГТЦ и вакуумник 2108, сцепление Valeo, перемычка гена (КЗАТЭ, 73 А) - аккумулятор, 3-уровневый РР, бортовой "компьютер" Орион БК-06, ДХО с автовключением, примитивная музыка. Перевернутый, битый, крашеный  . Продан с пробегом 129000. Теперь Гранта Лифтбэк, бЭлий, Люкс Навигация. |
|
|
|
mike
Гость
|
|
« Ответ #527 : 04 Июня 2019, 20:45:03 » |
|
касперский про него не знал Он своих не выдаёт! |
|
|
|
|
Записан
|
|
|
|
|
Ахинеич
|
|
« Ответ #528 : 04 Июня 2019, 20:54:33 » |
|
Ну да, евреев от собственного клона.
COMODO, повторяет его алгоритмы. Благо для меня бесплатный пока что (вовремя лицензию стырил). Но однако эвристику они свою неплохо прокачали. За столько лет пользования не было случая, что бы не предупредили об открытии опасного файлика. Да и не гнобят их так, как Касперыча. В Общем вполне себе антивирусник..
|
|
|
|
|
Записан
|
С точки зрения теории Банальных Эрудиций возможности далеко не каждого индивидуума способны игнорировать тенденции парадоксальных эмоций. Резюмируя вышесказанное, нивелируйте свои аппроксимации на ассоциации с ником!
|
|
|
|
white
|
|
« Ответ #529 : 04 Июня 2019, 21:07:46 » |
|
Объяснить тетушке, которая сидит на почте и ведет переписку с кучей клиентов, что открывать файл с именем "акт сверки" надо с умом - почти не реально, потому что с таким именем куча файлов приходит, которые нужны и в работе. Я на свое предыдущей работе под расписку всем пользователям довел. В том числе указал, что в случае установления вины, все расходы по восстановлению сервера лягут на виновного. Ни одного случая не было, хотя письма такие приходили. В результате эту хрень подцепил себе мой шеф. Благо, его комп был не в сети. |
|
|
|
|
Записан
|
|
|
|
B.Mike
Администратор
Карма +1234/-14
Offline
Пол:
Сообщений: 14383
Санкт-Петербург
Chery Amulet
|
|
« Ответ #530 : 05 Июня 2019, 03:37:10 » |
|
А чо не 127.0.0.1 ??? Может это локальный DNS в их сети, и настроен таким образом, чтобы локальный трафик не шастал через внешние интерфейсы шлюзов, ибо это и быстрее и безопаснее - в чём юмор? |
|
|
|
|
Записан
|
Говорю что думаю, но думаю что говорю.  Во всяком случае стараюсь.  моя галерея  |
|
|
B.Mike
Администратор
Карма +1234/-14
Offline
Пол:
Сообщений: 14383
Санкт-Петербург
Chery Amulet
|
|
« Ответ #531 : 05 Июня 2019, 03:37:53 » |
|
эту хрень подцепил себе мой шеф. Как, если его комп был не в сети.  |
|
|
|
|
Записан
|
Говорю что думаю, но думаю что говорю. Во всяком случае стараюсь. моя галерея |
|
|
|
white
|
|
« Ответ #532 : 05 Июня 2019, 06:40:22 » |
|
Как, если Я сделал для безопасности, чтобы сервак не имел доступ к интернету. Интернет раздавался отдельной сеткой в каждый комп юзера. |
|
|
|
|
Записан
|
|
|
|
|
mike
Гость
|
|
« Ответ #533 : 05 Июня 2019, 10:38:04 » |
|
Может это локальный DNS в их сети, и настроен таким образом Окей, уговорил. Размусоливаю тонкости сего маразма. В миру публичные сервера (хосты, сайты, и прочее) имеют IP-адрес. Этот адрес выдаётся из определённых и разных диапазонов. Диапазоны адресов назначены провайдерам, они же делают записи в DNS, чтобы всякие разные клиенты могли понять куда точно обратится. Но помимо публичных служб, сервисов и хостов есть такие же, но используемые во внутренних сетях. Для внутренних сетей тоже существуют диапазоны адресов, которые свободно могут использовать и организации и частные лица. Логично, что диапазоны адресов для публичных нужд и для внутренних не должны пересекаться, иначе будет конфликт. Поэтому для последних специально выделено три подсети, одна из которых 10.0.0.0/8. Эту подсеть могут использовать все кому не лень, если им это надо. Но (!) только во внутренней сети. Вспомните, у вас домашний роутер внутри домашней сети иимеет адрес 192.168.0.1, например. И у соседа вашего на роутере тот же адрес. Они ведь не конфликтуют, правильно? Правильно. Не конфликтуют потому, что они для внутреннего использования. Вот тоже самое касаемо и сети 10.0.0.0/8, только лишь с той разницей, что в ней может быть много больше адресов. Надеюсь с этой частью понятно. Теперь к сути IT-шшита челябинских суровых прокураторских админов... Т.к диапазон 10.0.0.0/8 можно использовать свободно и за это денег не платить, то суровые одмины, построив сеть для прокуратуры, указали в DNS адрес их сайта из неё же. При этом находясь внутри сети у них усё работает как надо. Но когда чел откуда-нибудь из мира попытается к челябинцам достучаться, DNS отправит его по адресу, который скрыт и недоступен по определению. Это равносильно тому, как если бы весь интернет для него был всегда и везде доступен исключительно по адресу 127.0.0.1 ("локальная петля", используемая для собственных нужд любого компа). Это ещё не всё. Регистрантом домена прокуратуры выступает наш российский Ру-центр, который обязан делать проверку DNS записей для домена. Посему загадка века, как прокуратура прошла эту проверку!!! Выходит что челябинские админы настолько суровы, что Ру-центр спорить с ними не стал?  |
|
|
|
« Последнее редактирование: 05 Июня 2019, 10:44:00 от mike »
|
Записан
|
|
|
|
Варвар
Карма +1975/-20
Offline
Пол:
Сообщений: 30436
Пермь->Москва->Пермь
ИЖ412ИЭ, ВАЗ1118, KIA RIO NEW, Vesta SW Cross
Пермь Vesta SW Cross
|
|
« Ответ #534 : 05 Июня 2019, 11:00:42 » |
|
"Поймали" - это как?
И да, той, которая на этом компе сидит, надо по башке клавой настучать.
клуша, которая села на комп коллеги заметила нездоровую движуху (то ли подтормаживания, то ли лишние окошки), позвала админа, тот от сети провод вытащил ну и.. на сервере нашел несколько неважных зашифрованных файлов. хорошо, что не на сервере 1с, он у нас отдельно, даже физически. отправили вирусняк касперскому. тот вроде выпустил обновление. все прочесали - чисто. клуша из новеньких. пришла после последнего нашего падения, когда шифровальщик попортил нервы серьезно., но не катастрофично. вывод - кроме ежедневных, ежечасных, ежеминутных бэкапов нас ничто не спасет. |
|
|
|
« Последнее редактирование: 05 Июня 2019, 11:04:30 от Варвар »
|
Записан
|
Патриот должен быть всегда готов защищать свою страну от ее правительства
|
|
|
B.Mike
Администратор
Карма +1234/-14
Offline
Пол:
Сообщений: 14383
Санкт-Петербург
Chery Amulet
|
|
« Ответ #535 : 05 Июня 2019, 14:58:38 » |
|
При этом находясь внутри сети у них усё работает как надо. Я об этом и говорю. На твоём скрине не видно адрес DNS-а, что это публичный DNS (ру-центр или другой) - это как-бы твой домысел. Если скрин с их внутреннего DNS-а (за эту версию так-же говорит наличие IPv6) - никакого шшита нет, прикол фейковый. Я сделал для безопасности, чтобы сервак не имел доступ к интернету. Интернет раздавался отдельной сеткой в каждый комп юзера. Две разные сетки, две отдельные сетевухи в каждом комп-е..? Или две логические сети в рамках одной физической? Просто интересно...  |
|
|
|
« Последнее редактирование: 05 Июня 2019, 15:01:43 от B.Mike »
|
Записан
|
Говорю что думаю, но думаю что говорю. Во всяком случае стараюсь. моя галерея |
|
|
|
white
|
|
« Ответ #536 : 05 Июня 2019, 15:49:08 » |
|
Две разные сетки, две отдельные сетевухи в каждом комп-е..? Или две логические сети в рамках одной физической? Просто интересно... Поскольку я в этом деле не спец, то я принял купить на все компы (у меня их всего было шесть, включая шефа, и не считая сервера 1С, он же файлопомойка) по второй сетевой карте. Причем на одном уже до меня кто-то поставил вторую сетевуху два компа. Если честно, то я когда все это налаживал, так напарился, что пожалел, что ввязался в это. Но тем не менее, это все работало. В сервере (или правильно будет сказать, компе, который исполнял роль сервера 1С) стояла одна сетевуха. Когда надо было обновиться, я тупо вытаскивал один сетевой кабель, и вставлял второй. Бэкап 1С делался ежедневно. Специально обученная дама за 15 минут до окончания рабочего дня прекращала работу, все пользователи выходили, она через кофигуратор выгружала базу, скидывала ее на внешний НЖМД, копию в облако. Собственно, я прекрасно понимал, что моя сложная схема не была целиком и полностью безопасной. Но я пытался... |
|
|
|
|
Записан
|
|
|
|
|
mike
Гость
|
|
« Ответ #537 : 05 Июня 2019, 16:06:49 » |
|
На твоём скрине не видно адрес DNS-а, что это публичный DNS (ру-центр или другой) - это как-бы твой домысел. Если скрин с их внутреннего DNS-а (за эту версию так-же говорит наличие IPv6) - никакого шшита нет, прикол фейковый. На...  первая команда спрашивает о IP домена chelpro.ru у гугловского днс. Вторая выводит данные о DNS-серверах обслуживающих домен и кто его регистрировал. nic.ru - это и есть Ру-центр. ЗЫ И да, твой аргУмент, что "Если скрин с их внутреннего DNS-а (за эту версию так-же говорит наличие IPv6)" - такой бред, что словами не описать. Не вздумай ещё где-нить такое ляпнуть, засмеют. ЗЫ ЗЫ .... и ващще давай сюда зачётку! Садись, два. |
|
|
|
|
Записан
|
|
|
|
OVA
Moдератор
Карма +1543/-118
Offline
Пол:
Сообщений: 14690
Тула + д. Ревякино
Нормозавр 21261-070 (был). Нынче Фабула.
Тула + д. Ревякино ИЖ 21261-030
|
|
« Ответ #538 : 05 Июня 2019, 17:07:12 » |
|
Третий день пытаюсь вытащить инфу с развалившегося RAID1 на интегрированном в серверную мать контроллере Intel. На всех дисках "зеркала", разумеется синхронно, прошёл сбой, приведший к удалению таблицы разделов. Сбой по причине несправившегося UPSа. Linux, ext4 testdisk глубоким поиском нашёл границы разделов, но таблицу разделов пришлось таки прописывать вручную, выбирая из кучи предложенных вариантов правильное. Таблицу разделов восстановили. Далее e2fsck по разделам. Два нормальные, третий (как раз самый нужный) в труху. Надо как раз данные с третьего. Оченньна некоторым хочется актуальные скрипты вынуть некоторые. Бэкапов нужных этого самого как раз и нету. Суперблоков раздела целых осталось только три из более, чем десятка потенциально существующих в разделе. Короче, куда в какой раздел активно писалось на момент сбоя, то и помЭрло. Новый сервак на новых дисках собран, бэкапы выкачены. Ну и под шумок подогнали новый стоечный UPS с допбатарейками. Жду окончания тестов, раздел 500 Гб, комп, на котором шуршит восстановление - обычный десктопчик 10 лет давности. Оставлю ещё на одну на ночь, чую, этот этап проверки. Если не восстановится структура каталогов в разделе, то будем запускать на том, что есть. Кто не делал бэкапы, тот будет писать потерянное заново |
|
|
|
|
Записан
|
P.S. Василий. Еще один из беглых ижевчан. --- (ОКПП, ГБО, ЭСП), поборол электричество, "бустера" дворников нет  |
|
|
|
white
|
|
« Ответ #539 : 05 Июня 2019, 17:17:56 » |
|
Третий день пытаюсь вытащить инфу с развалившегося RAID1 на интегрированном в серверную мать контроллере Intel. Я, может, чего-то не понимаю, на как так происходит, что приходится вытаскивать данные и RAID? Ведь он, собственно, для этого и придуман, чтобы такой фигни не было. Один винт (ведь RAID1 подразумевает два винта?) отвалился, на втором должно зеркало остаться? Заменил слетевший винт, массив восстановился, все дальше работает. Или я все таки не прав? |
|
|
|
|
Записан
|
|
|
|
|
