чё-та какая-то одна из черепашек пиздит судя по каталогу /media, это какой-то Линукс видимо и каким образом шифровальщик затёр базу postgresql, если туда никто кроме пользователя postges доступ не имеет ? слишком мало информации
чел писал пару страниц назад, через рдп, видно там были управлялки все на учетке, может и файлик с паролями был))))) на рабочем столе
Не было там рдп. Пока вариант только один. Залили внешнюю обработку, с одной из рабочих станций. Далее сгенерили свой ключ для ссх. В authorized_keys был найден второй ключ. Судя по дате его модификации, это было за три дня до всего. Пароли для постгре и кластера дергаются за 2 минуты. Далее текущая база была слита, зашифрована 7z, и отправлена в созданную папку, ту которая на скрине. Далее вместо базы залили конфу, котрая и показывает что все, приехали. Пробовал testdisk-ом прогнать, хер там плавал, все затерто по кластерно. Кароче пока такие дела.
ЗЫ, что интересно, rphost 1с-овский не под рутом был запушен. Каким образом был шелл получен хз
Это сообщение отредактировал Den4ik58 - 18 фев 2022 в 17:33
чё-та какая-то одна из черепашек пиздит судя по каталогу /media, это какой-то Линукс видимо и каким образом шифровальщик затёр базу postgresql, если туда никто кроме пользователя postges доступ не имеет ? слишком мало информации
чел писал пару страниц назад, через рдп, видно там были управлялки все на учетке, может и файлик с паролями был))))) на рабочем столе
Не было там рдп. Пока вариант только один. Залили внешнюю обработку, с одной из рабочих станций. Далее сгенерили свой ключ для ссх. В authorized_keys был найден второй ключ. Судя по дате его модификации, это было за три дня до всего. Пароли для постгре и кластера дергаются за 2 минуты. Далее текущая база была слита, зашифрована 7z, и отправлена в созданную папку, ту которая на скрине. Далее вместо базы залили конфу, котрая и показывает что все, приехали. Пробовал testdisk-ом прогнать, хер там плавал, все затерто по кластерно. Кароче пока такие дела.
ЗЫ, что интересно, rphost 1с-овский не под рутом был запушен. Каким образом был шелл получен хз
ЗЫ, что интересно, rphost 1с-овский не под рутом был запушен. Каким образом был шелл получен хз
Блин, ну ты хоть /var/log/secure (auth.log) смотрел? В .bash_history посмотри еще, может на мысли натолкнет.
Это сообщение отредактировал flaitsman - 18 фев 2022 в 18:04
Любой бэкаппер решает этот вопрос Бекап по дням, неделям, месяцам и год Всего делов бухам за день перебить первичку и банк И да, rdp и правильно настроенные права и правила решают много проблем
Размещено через приложение ЯПлакалъ
в конторе почтарь откидывал все exe архивы все в чем можно было прислать дельмо с шифрованием. ну и до кучи фаер резал большинство бесплатных почтовых сайтов, маил яндекс и тд и тп. это уберегало от гемморою.
Публичка последнее, что будет резать здоровый администратор почты, там половина контрагентов сидит и даже раньше налоговая ящики имела. К тому же, вредоноска идет как правило с доменов однодневок с подменой имени отправителя. С этим можно еще бороться средствами postfix, отфильтровывая совсем индусов. Мошенники быстро научились обходить блокировку исполняемых вложений, отсылая в html-письме ссылку на js, дальше уже чистый дарвинизм. Это бесконечная война, в которой всегда будут потерпевшие. Ни один антивирус не спасет пользователя, я всерьез считаю порнуху безопаснее электронной почты. На первом месте "скачать детские книжки бесплатно".
33 т.р.по курсу на сегодня...Для фирмы чтоб спасти инфу не большая сумма.
Цитата
Даже если заплатить то шанс, что пришлют пароль очень малый.
Как говорят специалисты по кибер безопасности в этом случае по их статистике шансы примерно такие - 33% что пароль не пришлют , 33 % что даже с паролем не расшифруется и 33% что пришлют и всё расшифруется
плять, тут львиная часть в шары что ли долбится? exe-файлы, письмо, база на компьютере бухгалтера и прочий бред. черным же по-английски видно по пути размещения базы и зашифрованного файла, что база - не файловая, крутится на sql и работают с ней явно тонким клиентом через www на чем-то линухо-подобном. и таки да, на робота не похоже - тут явно прицельно "работал" человек.
в конторе почтарь откидывал все exe архивы все в чем можно было прислать дельмо с шифрованием. ну и до кучи фаер резал большинство бесплатных почтовых сайтов, маил яндекс и тд и тп. это уберегало от гемморою.
Публичка последнее, что будет резать здоровый администратор почты, там половина контрагентов сидит и даже раньше налоговая ящики имела. К тому же, вредоноска идет как правило с доменов однодневок с подменой имени отправителя. С этим можно еще бороться средствами postfix, отфильтровывая совсем индусов. Мошенники быстро научились обходить блокировку исполняемых вложений, отсылая в html-письме ссылку на js, дальше уже чистый дарвинизм. Это бесконечная война, в которой всегда будут потерпевшие. Ни один антивирус не спасет пользователя, я всерьез считаю порнуху безопаснее электронной почты. На первом месте "скачать детские книжки бесплатно".
на выход пользователей из компании из периметра компании, на вход пожалуйста, но не исполняемые файлы. я не моральный урод) да и какого хуя использовать бесплатное мыло когда есть конторское, да и тимку на наль днс посадил, эмми тоже. ибо нехуй.
Это сообщение отредактировал skripun - 19 фев 2022 в 00:30
Если грамотный админ, то лечится поднятием из бекапа базы
Если грамотный хакер то он и бекап зашифровал, или удалил.
если использовать нормальный бекапилки хуй кто до архивов дотянется. если пользоваться ублюдскими скриптами то да, велкам, типичный пример вим клиент сервер надо постараться завалить эту связку.
Особенно как раз надоела классическая ситуация - бэкап класть некуда, надо докупить - а зачем ты всё и так часто бэкапишь ? не надо так часто и всё
Как говорится "сцуко до слез"... По регламенту фулбэекап раз в неделю, хранение 3 недели. инкриментальный каждую ночь, хранение 3 недели.
Время идет, объемы инфы растут, а размеры схд под бекапы нет. Урезали политики до двух недель, а потом вообще до недели. А заявки стали чаще сыпаться - ой у меня отчет пропал. восстановите. - Когда заметили, когда изменения были - да заметила еще на той неделе, изменения не помню - Аминь, попрощайтесь с вашим отчетом. (Конечно не так, а все вежливо объяснял) - что это такое? я буду жаловаться!!!! - Пожалуйста, я буду только рад если вы официально пожалуетесь моему руководству. Убедительная просьба поставить меня в копию.
Да сколько можно уже.... Я на этих мошенников слишком часто натыкаться стала. Как же хочется сидеть в сети в полной безопасности. Или покупать номер и сразу понимать, что никакие подозрительные номера на него не позвонят!
Особенно как раз надоела классическая ситуация - бэкап класть некуда, надо докупить - а зачем ты всё и так часто бэкапишь ? не надо так часто и всё
Как говорится "сцуко до слез"... По регламенту фулбэекап раз в неделю, хранение 3 недели. инкриментальный каждую ночь, хранение 3 недели.
Время идет, объемы инфы растут, а размеры схд под бекапы нет. Урезали политики до двух недель, а потом вообще до недели. А заявки стали чаще сыпаться - ой у меня отчет пропал. восстановите. - Когда заметили, когда изменения были - да заметила еще на той неделе, изменения не помню - Аминь, попрощайтесь с вашим отчетом. (Конечно не так, а все вежливо объяснял) - что это такое? я буду жаловаться!!!! - Пожалуйста, я буду только рад если вы официально пожалуетесь моему руководству. Убедительная просьба поставить меня в копию.
Не по теме, но я тебя сейчас вобще рыдать заставлю:
- У меня почта тормозит - Ну конечно, у вас аутлук, 30 тысяч писем, объём базы - 19 гиг - Ты плохой компьютерщик. Вот до тебя был - при нём всё работало - Когда ? - Ну.. два года назад - он как нам всё это поставил - всё быстро работало
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
yaplakal.com