imvrios Δημοσ. 14 Σεπτεμβρίου 2020 Δημοσ. 14 Σεπτεμβρίου 2020 Είναι πολύ σημαντικό να προσδιορισεις την πηγή της επίθεσης. Ήταν κάτι εντός του δικτύου σου. Π.χ. ξέρεις ότι η γραμματέας έκανε click σε κάτι που δεν έπρεπε και σας μόλυνε; Οπότε αν τα καθαρίσεις, όλα μετά θα είναι οκ; Αν δε προσδιορίσεις την αιτία, υπάρχει περίπτωση το θέμα να οφείλεται σε κενό ασφαλείας του δικτύου σου και μόλις τα συνδέσεις όλα το πρόβλημα να επανέλθει. ΥΓ. Έχεις και μηχανήματα ενημερωμένα (windows updates) με δεκάρια ή οχτάρια στο δίκτυο; Αν ναι, αυτά έχουν προσβληθεί;
dhmm Δημοσ. 14 Σεπτεμβρίου 2020 Μέλος Δημοσ. 14 Σεπτεμβρίου 2020 8 λεπτά πριν, imvrios είπε Τα συγκεκριμένα βέβαια έχουν γίνει patched. Είναι standard διαδικασία να δημοσιεύονται αφού ο developer έχει αναπτύξει patch. Μικρή μειοψηφία είναι να αδιαφορεί ο developer και να τα δημσιεύουν χωρίς να έχει διαθέσει patch. Και όλα τα παραπάνω είναι σε περίοδο που τα 7άρια έπαιρναν ακόμα updates. Οπότε αν η αιτία είναι αυτή, μιλάμε και για unpatched μηχανήματα. Τα updates δυστυχώς τα κλείνουμε σε μερικά για τους λόγους που προανέφερα. Έχει λογισμικό που δεν πρέπει να αλλάζω τίποτα στο λειτουργικό...
snbblp Δημοσ. 14 Σεπτεμβρίου 2020 Δημοσ. 14 Σεπτεμβρίου 2020 2 λεπτά πριν, dhmm είπε Κάνω scan με rescue disc κάτι βρίσκει και καθαρίζει. Με το που κάνει εκκίνηση το μηχάνημα δεν ανοίγουν τα folders. Τόσο γρήγορα κολλάει αυτό ; Η λέτε να μην καθαρίζει το AV.. εχω την εντύπωση πως βρίσκεις το payload, αλλά όχι ακόμα την πηγή
imvrios Δημοσ. 14 Σεπτεμβρίου 2020 Δημοσ. 14 Σεπτεμβρίου 2020 OK, αυτό είναι ένα άλλο θέμα. Τα updates τα κλείνειτε. Τα vulnerable αυτά μηχανήματα τα κάνετε hardened με όλα τα διαθέσιμα μέσα; Ή δεν έχετε κάποιο ιδιαίτερο policy;
dhmm Δημοσ. 14 Σεπτεμβρίου 2020 Μέλος Δημοσ. 14 Σεπτεμβρίου 2020 Μόλις τώρα, imvrios είπε Είναι πολύ σημαντικό να προσδιορισεις την πηγή της επίθεσης. Ήταν κάτι εντός του δικτύου σου. Π.χ. ξέρεις ότι η γραμματέας έκανε click σε κάτι που δεν έπρεπε και σας μόλυνε; Οπότε αν τα καθαρίσεις, όλα μετά θα είναι οκ; Αν δε προσδιορίσεις την αιτία, υπάρχει περίπτωση το θέμα να οφείλεται σε κενό ασφαλείας του δικτύου σου και μόλις τα συνδέσεις όλα το πρόβλημα να επανέλθει. ΥΓ. Έχεις και μηχανήματα ενημερωμένα (windows updates) με δεκάρια ή οχτάρια στο δίκτυο; Αν ναι, αυτά έχουν προσβληθεί; Φίλε τα Windows 10 δεν έπαθαν τίποτα. Το AV δεν εμφάνισε κάτι δουλεύουν κανονικά.
snbblp Δημοσ. 14 Σεπτεμβρίου 2020 Δημοσ. 14 Σεπτεμβρίου 2020 2 λεπτά πριν, dhmm είπε Φίλε τα Windows 10 δεν έπαθαν τίποτα. Το AV δεν εμφάνισε κάτι δουλεύουν κανονικά. από 8.0 και πάνω δεν υπάρχει πλέον αυτό το πρόβλημα
imvrios Δημοσ. 14 Σεπτεμβρίου 2020 Δημοσ. 14 Σεπτεμβρίου 2020 Μόλις τώρα, dhmm είπε Φίλε τα Windows 10 δεν έπαθαν τίποτα. Το AV δεν εμφάνισε κάτι δουλεύουν κανονικά. Αυτά είναι πολύ άσχημα νέα για εσένα. 1. Πρέπει να βρείτε την πηγή. Όπωσδήποτε. 2. Πέρα από το να βρεις την πηγή θα πρέπει να βρείτε εναλλακτικές για τα προγράμματα, ίσως και σε επικοινωνία με τους κατασκευαστές. Ή να αγοράσετε ενημερωμένες εκδόσεις ή να σας πουν πως μπορείτε να ενισχύσετε την ασφάλεια των μηχανημάτων χωρίς να επηρεαστεί η λετουργικότητα των εφαρμογών τους. Να ξέρετε δηαδή τι μπορείτε και τι δε μπορείτε να κάνετε. Και το συντομότερο βρείτε εναλλακτικές. Για το καλό σας τα 7άρια πρέπει να φύγουν από το δίκτυο.
dhmm Δημοσ. 14 Σεπτεμβρίου 2020 Μέλος Δημοσ. 14 Σεπτεμβρίου 2020 6 λεπτά πριν, snbblp είπε εχω την εντύπωση πως βρίσκεις το payload, αλλά όχι ακόμα την πηγή Δεν είμαι και πολύ γνώστης σε βαθιά θέματα ασφάλεις δυστυχώς. Περισσότερο software development. Εδώ δεν κατάλαβα τι εννοείς με το payload Δεν μπορώ να βρω΄την πηγή. Ήρθα το πρωι και μου είπαν ότι ένα pc κάνει system restore και δεν ανοίγει. Το μεσημέρι άρχισαν όλα. 2 λεπτά πριν, snbblp είπε από 8.0 και πάνω δεν υπάρχει πλέον αυτό το πρόβλημα Άν βάλω δηλαδή Win. 8.1 CD και κάνω update θα λυθεί το θέμα ; 5 λεπτά πριν, imvrios είπε Αυτά είναι πολύ άσχημα νέα για εσένα. 1. Πρέπει να βρείτε την πηγή. Όπωσδήποτε. 2. Πέρα από το να βρεις την πηγή θα πρέπει να βρείτε εναλλακτικές για τα προγράμματα, ίσως και σε επικοινωνία με τους κατασκευαστές. Ή να αγοράσετε ενημερωμένες εκδόσεις ή να σας πουν πως μπορείτε να ενισχύσετε την ασφάλεια των μηχανημάτων χωρίς να επηρεαστεί η λετουργικότητα των εφαρμογών τους. Να ξέρετε δηαδή τι μπορείτε και τι δε μπορείτε να κάνετε. Και το συντομότερο βρείτε εναλλακτικές. Για το καλό σας τα 7άρια πρέπει να φύγουν από το δίκτυο. Τι εννοείς θα χάσουμε την δουλειά ... Αγχόθηκα για 20 χρόνια πιστεψε μου. Ευτυχώς δεν έπαθαν κάτι τα αρχεία που θέλουμε. Επίσης έχουμε hardware firewall
snbblp Δημοσ. 14 Σεπτεμβρίου 2020 Δημοσ. 14 Σεπτεμβρίου 2020 Μόλις τώρα, dhmm είπε Δεν είμαι και πολύ γνώστης σε βαθιά θέματα ασφάλεις δυστυχώς. Περισσότερο software development. Εδώ δεν κατάλαβα τι εννοείς με το payload Δεν μπορώ να βρω΄την πηγή. Ήρθα το πρωι και μου είπαν ότι ένα pc κάνει system restore και δεν ανοίγει. Το μεσημέρι άρχισαν όλα. Συνήθως, σε αυτή τη μόλυνση, φορέας είναι κάποιο έγγραφο του msoffice και payload ένα kernel driver με ιδιότητες rootkit. Δεν ξέρω αν υπάρχει πλέον σε trial, αλλά εγώ θα τους έβαζα ένα SEP που το firewall το οποίο έχουν επιβλέπει και την δικτυακή επικοινωνία. Τουλάχιστον έτσι θα μάθαινα την IP ή/και το mac του τερματικού που διαδίδει την επίθεση στο δίκτυο.
imvrios Δημοσ. 14 Σεπτεμβρίου 2020 Δημοσ. 14 Σεπτεμβρίου 2020 Θα σου πω: κάπου εδώ η βοήθεια μέσω firum εξαντλείται .Γιατί οι έλεγχοι που πρέπει να κάνετε θέλουν πλανάρισμα. Εδώ μόνο ιδέες μπορούμε να σου ρίχνουμε ασύνδετες όμως γιατί δε ξέρουμε λεπτομέρειες της υποδομής. Τι να σουτ πω, αν έχεις κάποιο καθαρό image ενός από αυτά τα μηχανήματα, κάντο restore, κόψε την πρόσβαση στο Internet σε αυτό το μηχάνημα και δες αν μολύνεται. Τα υπόλοιπα vulnerable μηχανήματα θα πρέπει να είναι κλειστά. Αν μολυνθεί πρέπει να ψάξεις στο τοπικό δίκτυο. Αν μολυνθεί μόλις συνδέσεις το internet, υπάρχει κάποιο κενό ασφαλείας δικτύου. Πάντως επειδή κατάλαβα ότι είσαι εξωτερικός συνεργάτης, ενημέρωσε τον προϊστάμενο σου και καλύτερα να ελέγξετε το θέμα της ασφάλειας οργανωμένα. Έχεις συναδέλφους με ειδίκευση σε θέματα ασφαλείας; ΥΓ. Payload = όχι τι σε μολύνει αλλά με τι σε μολύνει. Μπορεί να είναι ένα ή πολλά πράγματα.
dhmm Δημοσ. 14 Σεπτεμβρίου 2020 Μέλος Δημοσ. 14 Σεπτεμβρίου 2020 7 λεπτά πριν, snbblp είπε Συνήθως, σε αυτή τη μόλυνση, φορέας είναι κάποιο έγγραφο του msoffice και payload ένα kernel driver με ιδιότητες rootkit. Δεν ξέρω αν υπάρχει πλέον σε trial, αλλά εγώ θα τους έβαζα ένα SEP που το firewall το οποίο έχουν επιβλέπει και την δικτυακή επικοινωνία. Τουλάχιστον έτσι θα μάθαινα την IP ή/και το mac του τερματικού που διαδίδει την επίθεση στο δίκτυο. Υπάρχει κάποιος άλλος τρόπος ; Να παρακολουθήσω τα πακέτα στο hardware firewall που έχουμε ; Πάντως , έχω καθαρίσει το laptop ( format ) που λέει ότι είναι "first seen". Δεν υπάρχει όμως περιπτωση να μπορεί να μεταδοθεί και απο τα άλλα ξανά ; 2 λεπτά πριν, imvrios είπε Θα σου πω: κάπου εδώ η βοήθεια μέσω firum εξαντλείται .Γιατί οι έλεγχοι που πρέπει να κάνετε θέλουν πλανάρισμα. Εδώ μόνο ιδέες μπορούμε να σου ρίχνουμε ασύνδετες όμως γιατί δε ξέρουμε λεπτομέρειες της υποδομής. Τι να σουτ πω, αν έχεις κάποιο καθαρό image ενός από αυτά τα μηχανήματα, κάντο restore, κόψε την πρόσβαση στο Internet σε αυτό το μηχάνημα και δες αν μολύνεται. Τα υπόλοιπα vulnerable μηχανήματα θα πρέπει να είναι κλειστά. Αν μολυνθεί πρέπει να ψάξεις στο τοπικό δίκτυο. Αν μολυνθεί μόλις συνδέσεις το internet, υπάρχει κάποιο κενό ασφαλείας δικτύου. Πάντως επειδή κατάλαβα ότι είσαι εξωτερικός συνεργάτης, ενημέρωσε τον προϊστάμενο σου και καλύτερα να ελέγξετε το θέμα της ασφάλειας οργανωμένα. Έχεις συναδέλφους με ειδίκευση σε θέματα ασφαλείας; ΥΓ. Payload = όχι τι σε μολύνει αλλά με τι σε μολύνει. Μπορεί να είναι ένα ή πολλά πράγματα. Οχι οχι δεν είμαι εξωερικός. Απλά έχω λόγους που δεν μπόρώ να κάνω update. Το ακραίο είναι ότι θα κάνω format σε όλα. Εκτός απο κάποια που ούτε format δεν μπορώ πιστεψε με. ΣΥΓΓΝΩΜΗ ΠΟΥ ΣΑΣ ΖΑΛΗΣΑ ΑΛΛΑ ΜΕΡΕΣ ΤΟ ΨΑΧΝΩ ΑΡΚΕΤΑ ΔΟΚΙΜΑΣΑ... ΣΑΣ ΕΥΧΑΡΙΣΤΩ ΟΛΟΥΣ.
snbblp Δημοσ. 14 Σεπτεμβρίου 2020 Δημοσ. 14 Σεπτεμβρίου 2020 3 λεπτά πριν, dhmm είπε Υπάρχει κάποιος άλλος τρόπος ; Να παρακολουθήσω τα πακέτα στο hardware firewall που έχουμε ; ο σίγουρος και εύκολος τρόπος είναι αυτός, με το firewall ενεργοποιημένο και με κονσόλα σε ένα τερματικό 14 λεπτά πριν, dhmm είπε Υπάρχει κάποιος άλλος τρόπος ; Να παρακολουθήσω τα πακέτα στο hardware firewall που έχουμε ; Πάντως , έχω καθαρίσει το laptop ( format ) που λέει ότι είναι "first seen". Δεν υπάρχει όμως περιπτωση να μπορεί να μεταδοθεί και απο τα άλλα ξανά ; Οχι οχι δεν είμαι εξωερικός. Απλά έχω λόγους που δεν μπόρώ να κάνω update. Το ακραίο είναι ότι θα κάνω format σε όλα. Εκτός απο κάποια που ούτε format δεν μπορώ πιστεψε με. ΣΥΓΓΝΩΜΗ ΠΟΥ ΣΑΣ ΖΑΛΗΣΑ ΑΛΛΑ ΜΕΡΕΣ ΤΟ ΨΑΧΝΩ ΑΡΚΕΤΑ ΔΟΚΙΜΑΣΑ... ΣΑΣ ΕΥΧΑΡΙΣΤΩ ΟΛΟΥΣ. Δεν μας ζάλισες, νά'σαι καλά. Εχε πάντως υπόψη σου πως έστω κι ένα να μείνει μολυσμένο, τζάμπα κόπο θα κάνεις. Θα ξαναπεράσει ΠΑΝΤΟΥ. Πείσε τους για κάποιo σοβαρό δικτυακό antivirus, small business ή enterprise edition. Θα έχει λίγη δουλειά στο στήσιμο, αλλά μετά θα έχεις το κεφάλι σου ήσυχο. Είμαι SEP user 20+ χρόνια, κι ενώ βρήκε δεκάδες προβλήματα, δεν μου πέρασε ποτέ κουνούπι. Τίποτα. Nada. Καθόλου. Αρχίζει με το media και 5 άδειες, αλλά προσθέτεις κι άλλες με μικρή χρέωση. Εχω 25, τώρα παίζουν οι 18.
dhmm Δημοσ. 14 Σεπτεμβρίου 2020 Μέλος Δημοσ. 14 Σεπτεμβρίου 2020 Στο laptop που είχα κάνει format την Τετάρτη.... Σήμερα του έβαλα στο δίκτυο. Για να βάλω οδηγούς και ξαφνικά μου πέταξε το AV ότι μπλόκαρε κάποια αρχεία τύπου C:\Windows\Temp\O8275Y34OF8I752O.tmp Κατευθείαν έκανα check για shared folders που δεν άλλαξα τίποτα. Είδα ότι δεν μου πετάει πια το prompt για username/password. Άρα πάει ξανα, Αλλά έκανα ένα scan με Karspersky Rescue Disc 18 και μου βρήκε αυτόν τον ιο συγκεκριμένα : HEUR:Trojan.Win32.Perkiler.vho C:\Windows\System32\Ms8549B956App.dll
imvrios Δημοσ. 14 Σεπτεμβρίου 2020 Δημοσ. 14 Σεπτεμβρίου 2020 Δεν έχω χρησιμοποιήσει Karspersky αλλά σχεδόν με απόλυτη βεβαιότητα αυτό που έχεις κάνει bold σημαίνει ότι δε σου βρήκε κάποιο ιό με βάση τα virus definitions αλλά με βάση τη heuristics engine του. Οι heuristics engine κάνουν monitor τη συμπεριφορά διεργασιών προκειμένου να εντοπίσουν διεργασίες με ύποπτη συμπεριφορά που δεν έχουν καταχωρηθεί ακόμα επίσημα ως malware. Επίσης, προσπάθησε να ποστάρεις πιο συγκεκριμένες πληροφορίες. Παράγει κάποιο log το Karspersky Rescue Disk για να ποστάρεις εδώ τις σχετικές εγγραφές; Μήπως μπορέσουμε να καταλάβουμε κάποια παραπάνω πράγματα. 1
dhmm Δημοσ. 22 Σεπτεμβρίου 2020 Μέλος Δημοσ. 22 Σεπτεμβρίου 2020 (επεξεργασμένο) Αυτές τις μέρες βρίκοντας εναλλατικούς τρόπους να δουλεύουν οι χρήστες έκανα αρκετό ψάξιμο. Παρακολουθούσα και πακέτα στο δίκτυο. κ.τ.λ... Βρήκα τρόπο έτσι ώστε να μπορουν να επικοινωνούν τα μηχανήματα μέσω shared folders. Απο ότι κατάλαβα το Antivirus διέγραψε κάποια script απο το Base Filtering Engine του λειτουρικού η κάποια υπηρεσία συνδεδεμένη σε αυτό. Μόλις κάνω disable το Base Filtering Engine άρχισα να βλέπω shared folders. Αλλά μέσα σε 10-15 λέπτα ίσως και λιγότερο το antivirus άρχισε να ξαναχτυπά ότι βρέθηκε ιος. Απο ότι είδα οι malware creators χρησιμοποιούν τον φάκελο TEMP έτσι ώστε και να τραβήξει το καλώδιο ρεύματος ο χρήστης στην επανεκκίνηση να συνεχίζεται ι διαδικασία εγκατάστασης του malware. Παίζει να είναι χωμένος κάπου αλλού στο σύστημα... (rootkit ίσως) Το ESET το βρίκε τώρα με το όνομα Win32/Delf.TXX trojan μάλιστα το βρήκε στην λειτουργική μνήμη Επεξ/σία 22 Σεπτεμβρίου 2020 από dhmm
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα