Остановили вирус, ага!

Цитата (CrazyDoppel @ 14.05.2017 - 14:16)

Какой же КАЕФ от этой темы. Я как админ не могу нарадоваться этим графикам по зараженным компам. Такая дичайшая перепись конченых даунов, которые после лавсана и кидо - все-равно не обновляются. Как я хочу чтобы всех даунов-эникеев и "типа админов" уволили, особенно если нет бекапов. А еще афигенно что недавно кричащие линксоиды, что им ваще фсио пофигу - массово выводят в оффлайн свои сервера.

Вы же не будете отрицать принципиальную разницу между закрыть порт сервиса на маршрутизаторе и восстановить кучку поврежденных операционок из бэкапа, который как бы часто не делался все равно имеет временной лаг. Так что у линуксоидов все весьма не плохо в этом плане.

Цитата (arhmage @ 14.05.2017 - 14:11)

Цитата (disel22 @ 14.05.2017 - 14:06) банкоматы сбера стоят, черными экранами с белыми буквами, светятся пиздешь, в МО никаких проблем с банкоматами нет. Специально в техподдержке сейчас поинтересовался

ты думаешь, что техподдержка тебе сольет инфу, что у них не все в порядке?
серьезно?

Цитата (svaarg @ 14.05.2017 - 14:24)

Цитата (arhmage @ 14.05.2017 - 14:11) Цитата (disel22 @ 14.05.2017 - 14:06) банкоматы сбера стоят, черными экранами с белыми буквами, светятся пиздешь, в МО никаких проблем с банкоматами нет. Специально в техподдержке сейчас поинтересовался ты думаешь, что техподдержка тебе сольет инфу, что у них не все в порядке? серьезно?

чувак, я и есть техподдержка, но я не дежурный

Цитата (arhmage @ 14.05.2017 - 14:20)

Цитата (brync @ 14.05.2017 - 14:18) Дождемся завтра? Может быть, завтра у многих из вас будет незапланированный выходной?! А то уже из пустого переливаем несколько страниц. выходной будет у менагеров, а у админов будет секс))

По большей части: сами виноваты!

ГИБДД информирует о временном прекращении приема граждан в областных РЭО

14.05.2017 13:47САМАРА. 14 МАЯ. ВОЛГА НЬЮС. Читали: 142
В связи с проблемами технического характера прием граждан в регистрационно-экзаменационных подразделениях Самарской области с субботы, 13 мая, не производится, сообщает пресс-служба ГИБДД по Самарской области.

"О начале приема граждан будет сообщено дополнительно", - говорится в релизе.

Госавтоинспекция приносить извинения в связи с доставленными гражданам неудобствами.

Цитата (arhmage @ 14.05.2017 - 14:26)

чувак, я и есть техподдержка, но я не дежурный

ну вот так сразу и пояснил бы )

у меня хр,плевать на вирусы)

14.00 по Мск.
Беру чистую виртуалку на вин 7 хом премиум, открываю ей белый айпи.
в 14.15 началась непонятная хуйня
на момент написания - диск зашифрован.

Что там "остановили"???
Если самба открыта наружу - пизда приходит автоматом.

Это сообщение отредактировал KoFFkin - 14 мая 2017 г. в 14:30

Цитата (strel6120 @ 14.05.2017 - 14:27)

у меня хр,плевать на вирусы)

вы намекаете на быструю переустановку?

Цитата (FREEMAN @ 14.05.2017 - 17:05)

Цитата (KotoSobak @ 14.05.2017 - 12:39) PS А есть у кого на роутере лог атак ? За выходные много левых входящих на 445 порт ? Утром, часов в 10, счетчики обнулял. Боты щемятся ))

Какой у вас регион? У меня что на работе, что дома микротик не фиксирует попыток, с пятницы мониторю.

А на сетевом хранилище он может файлы зашифровать? Ну допустим включен ПК с доступом к сетевому хранилищу, подключен сетевой диск на зараженном ПК с адресом к папке этого диска?

Цитата (zxr @ 13.05.2017 - 23:28)

а вот в Северной Корее все спокойно. рисовое поле таким вирусом не сломать.

На карте Северная Корея усеяна синими точками. Зато в Гренландии - ни одной. Это эскимосы оттакуэ.

Цитата (CrazyDoppel @ 14.05.2017 - 14:16)

Какой же КАЕФ от этой темы. Я как админ не могу нарадоваться этим графикам по зараженным компам. Такая дичайшая перепись конченых даунов, которые после лавсана и кидо - все-равно не обновляются. Как я хочу чтобы всех даунов-эникеев и "типа админов" уволили, особенно если нет бекапов. А еще афигенно что недавно кричащие линксоиды, что им ваще фсио пофигу - массово выводят в оффлайн свои сервера.

Согласен на все 100%
И еще к ним жадных владельцев бизнеса, которым говорилось, да бля купите хоть один винт для бэкапов, а им было пох... Экономили

Цитата (strel6120 @ 14.05.2017 - 14:27)

у меня хр,плевать на вирусы)

Ну-да, ну-да...
Если патч не стоит и открыт 445 порт, то - не стоит радоваться

Цитата (strel6120 @ 14.05.2017 - 15:27)

у меня хр,плевать на вирусы)

Рано радуешься, он так же с легкостью поражает и хрюшу.
Мелкомяхкие даже спохватились и заплатку на нее выпустили, хотя хрюше лет 15 точно есть и в хуй она им не впилась. А это надо же команду собрать, что бы на хп написать заплатку, а это затраты, так что все серьезней, чем думаешь.

вот ссылки на заплатки если кому надо, прямые.

MS17-010
Windows XP SP3
http://download.windowsupdate.com/d/csa/cs...e2312f50077.exe

Windows XP SP2 for x64
http://download.windowsupdate.com/d/csa/cs...96430981211.exe

Windows Server 2003 for x86
http://download.windowsupdate.com/c/csa/cs...6fdb68ec294.exe

Windows Server 2003 for x64
http://download.windowsupdate.com/c/csa/cs...8517cee4c5e.exe

Windows Vista x86 Service Pack 2
http://download.windowsupdate.com/d/msdown...c16a85c745c.msu

Windows Vista x64 Edition Service Pack 2
http://download.windowsupdate.com/d/msdown...a5fa53b5d76.msu

Windows Server 2008 for x86
http://download.windowsupdate.com/d/msdown...c16a85c745c.msu

Windows Server 2008 for x64
http://download.windowsupdate.com/d/msdown...a5fa53b5d76.msu

Windows Server 2008 R2 for x64
http://download.windowsupdate.com/d/msdown...92d8c4e92b3.msu

Windows Server 2008 R2 for Itanium
http://download.windowsupdate.com/c/msdown...99f9fbba554.msu

Windows 7 for 32-bit Service Pack 1
http://download.windowsupdate.com/d/msdown...9812914df3f.msu

Windows 7 for x64 Service Pack 1
http://download.windowsupdate.com/d/msdown...92d8c4e92b3.msu

Windows 8.1 for 32-bit
http://download.windowsupdate.com/c/msdown...8cbec471b05.msu

Windows 8.1 for x64
http://download.windowsupdate.com/c/msdown...74148520349.msu

Windows 10 for 32-bit
http://download.windowsupdate.com/c/msdown...4a8e8d3492e.msu

Windows 10 for x64
http://download.windowsupdate.com/c/msdown...b35127f8773.msu

Windows 10 Version 1511 for 32-bit
http://download.windowsupdate.com/c/msdown...2c3b97329d5.msu

Windows 10 Version 1511 for x64
http://download.windowsupdate.com/c/msdown...0592ab02f08.msu

Windows 10 Version 1607 for 32-bit
http://download.windowsupdate.com/c/msdown...1587afbf065.msu

Windows 10 Version 1607 for x64
http://download.windowsupdate.com/d/msdown...6a74598e710.msu

Цитата (Бойцоваямышь @ 14.05.2017 - 14:33)

На карте Северная Корея усеяна синими точками. Зато в Гренландии - ни одной. Это эскимосы оттакуэ.

Не там антивирус Дед Мороз его захуячил.

Наружу Чанга и Шарик за плоским фаером. Оба живы. Что я делаю не так, подскажите? Сейчас пишу с ноута с 8 виндой, который с пятницы не выключал.

Цитата (BiOKaKa @ 14.05.2017 - 11:11)

Цитата (BlacktopLoop @ 14.05.2017 - 10:06) Ну, я в принципе не против, если мой старый длинк кому-то удастся взломать. А за NAT он не проходит? Вроде по информации на час ночи сегодня, ещё не уверены были.. на гиктаймс по крайней мере

За нат проходит только то, на что проброшен порт. Если не один не проброшен, то все упирается в роутер, который моментально выпишет бороду .
На гиктаймс куча оленеводов. Никто и никогда не взламывал NAT и не взломает, таков алгоритм его работы. Если конечно у тебя не открыт доступ к управлению на внешку или не изменить настройки сети со стороны провайдера.

Это сообщение отредактировал BlacktopLoop - 14 мая 2017 г. в 14:42

Цитата (scrudge @ 13.05.2017 - 23:21)

Сегодня в обед, все стали говорить, что компьютерный вирус уже остановили. Но вот статистика на 23:00 по Московскому времени... 186,813 дата центра заражено. В мире прямо сейчас происходит пиздец! Понедельник будет ахтунгом для многих сисадминов. Особенно тем кто давно не обновлялся Но еще не все знают, что linux тоже был атакован и статус онлайн-серверов на Линуксе - тоже переходит в оффлан по всему миру. И если в винде шифруется файлы, то у линя просто сбрасывается доступ. Пока, чтобы не было паники всех просто просят поменять пароли. Сообщение от сообщества opensuse тут . Так что, зараза коснулась абсолютно всех. А после 18:00 стали поступать сообщения, что уже и сетевое оборудование принимает участие в атаке и отключатеся от управления. В том числе микротики, зуксели, длинки, циски и джуниперы. Это аминь господа! В российских госучреждениях, в том числе в МВД, Минздраве и МЧС, заверяют, что сумели "блокировать" и "локализовать" проблему, несмотря на то, что специалисты по всему миру утверждают, что как раз этого-то сделать пока и не удается. А вот тут следственный комитет заявил, что атаки вообще не было, а сайты лежат просто так, точнее ведутся "технические работы".

Извините... апароль какой посоветуете, ну чтоб надежный был..

Цитата (KoFFkin @ 14.05.2017 - 14:30)

14.00 по Мск. Беру чистую виртуалку на вин 7 хом премиум, открываю ей белый айпи. в 14.15 началась непонятная хуйня на момент написания - диск зашифрован. Что там "остановили"??? Если самба открыта наружу - пизда приходит автоматом.

Круть ! Воскресенье перестало быть томным.
Понесся VitrualBOX ставить...

На Mac есть опасность?

А в понедельник вполне возможно будет ппц. Щас большинство криворуких админов в пьяном угаре проводят выходные, а в понедельник выйдя на работу с будуна будут охуевать от происходящего.
Сам живу в небольшом поселке, так вот тут есть некоторые организации, которые без админа работают уже года 2, они даже на свои софтины обновления не ставят не говоря уже о винде. А кто пойдет работать к ним за 6 тыщ то?

во, только написал, что глобальные сми замалчивают, как бибиси разродились:

Ransomware: Cyber-attack threat escalating - Europol

Кто не умеет в базовый английский - прямо пишут, что угроза нарастает и даже "может быть непреодолимой"


Это сообщение отредактировал zogdog - 14 мая 2017 г. в 14:44

Цитата (FunnyBanana @ 14.05.2017 - 13:29)

продублирую ссылку на онлайн карту: https://intel.malwaretech.com/WannaCrypt.html P.S в канаде один компьютер и тот заражен

не совсем понятно как это карта определяет зараженных,может кто внести ясность?)) Так для внутреннего спокойствия и понимания.

Это сообщение отредактировал мишлечк - 14 мая 2017 г. в 14:44

Возвращаясь к вчерашнему моему посту
Вот лог с удаленного роутера на который ломились пока не отрубил порт наружу

00:01:43 14-05-2017 (warning|authpriv|dropbear) dropbear[1144]: Bad password attempt for \'root\' from 94.248.7.206:41568
00:01:43 14-05-2017 (warning|authpriv|dropbear) dropbear[1144]: Bad password attempt for \'root\' from 94.248.7.206:41568

Вот лог с домашнего роутера

May 14 14:34:27 atom sshd[16110]: pam_winbind(sshd:auth): pam_get_item returned a password
May 14 14:34:27 atom sshd[16110]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user
May 14 14:34:30 atom sshd[16110]: Failed password for root from 61.177.172.60 port 10443 ssh2
May 14 14:34:30 atom sshd[16110]: Received disconnect from 61.177.172.60: 11: [preauth]
May 14 14:34:30 atom sshd[16110]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.177.172.60 user=root
May 14 14:34:51 atom sshd[16125]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.177.172.60 user=root
May 14 14:34:51 atom sshd[16125]: pam_winbind(sshd:auth): getting password (0x00000388)
May 14 14:34:51 atom sshd[16125]: pam_winbind(sshd:auth): pam_get_item returned a password
May 14 14:34:51 atom sshd[16125]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user
May 14 14:34:53 atom sshd[16125]: Failed password for root from 61.177.172.60 port 33498 ssh2
May 14 14:34:54 atom sshd[16125]: pam_winbind(sshd:auth): getting password (0x00000388)
May 14 14:34:54 atom sshd[16125]: pam_winbind(sshd:auth): pam_get_item returned a password
May 14 14:34:54 atom sshd[16125]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user
May 14 14:34:55 atom sshd[16125]: Failed password for root from 61.177.172.60 port 33498 ssh2
May 14 14:34:56 atom sshd[16125]: pam_winbind(sshd:auth): getting password (0x00000388)
May 14 14:34:56 atom sshd[16125]: pam_winbind(sshd:auth): pam_get_item returned a password
May 14 14:34:56 atom sshd[16125]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user
May 14 14:34:58 atom sshd[16125]: Failed password for root from 61.177.172.60 port 33498 ssh2
May 14 14:34:59 atom sshd[16125]: Received disconnect from 61.177.172.60: 11: [preauth]

Айпишники аццкие, напоминают сборник левых проксей по всему миру.
Долбят прямо сейчас, благо там антибрут везде и перебирать будут до седьмого пришествия. Чисто интересно активность пошла синхронно с распространением заразы. Может шифровальщик это лишь верхушка айсберга.