Топ
Реклама
Рубрика
Архивы
Мобильная версия блога
[QR-Code]

Одно зло от WaspAce

В общем, доигрались и допрыгались все на заводе – это, возвращаясь к статье о пользователе с правами администратора на сервере, просто позор сисадмину на все его седые места.

Пятница принесла не облегчение, а смачный «подарок» впервые за два года работы на этом беспечном предприятии – взломанный сервер.

Теперь некто «crook» даже не прятался (видимо, разозлился на то, что я удалил его скрытый  WaspPacer) и нагло вывел «достижения» прямо на Рабочий стол.

Ну, что сказать – мне поделом, впредь наука не нарушать принципы, переквалифицируюсь в «эникейщики», а сам молодец, хотя и подловато поступил…

На картинке видно, что стоял чекбокс на «Автовход» и настроена программа была на максимальное число потоков (32, по-моему, «тройку» это уж я поставил). Сервер, собранный из обычных комплектующих, разве что не «дымился», работать за ним было невозможно.

И примерно через полчаса борьбы понял я, что врага не одолею – чистка всего и вся, всяческих следов решили проблему наполовину. Вредитель насоздавал пользователей «маша», «support» и ещё там кого-то и «сломал» Active Directory. Оснастка открывалась с пугающей ошибкой и сообщением, что домена больше нет. Компьютеры бухгалтерии, естественно, «не видели» ни баз 1С Бухгалтерии, ни Интернета, ни сервера, вообще.

Завод понёс убытки, ибо фуры пришлось отправлять без товара восвояси, а я даже через пару часов не смог добраться до ложных учёток и восстановить Active Directory.

Две последние резервные копии оказались битые, а нормальную в формате .bkf за 2011 год нашёл слишком поздно, хотя, честно говоря, ни разу не сталкивался с необходимостью восстанавливать Active Directory. Просил денег на утилиту создания резервных копий сервера, так не дали… Может, кто-то подскажет бесплатные, надёжные решения, кроме стандартных системных?

Windows 2003, в отчаянии, снёс. В офисе чуть больше двадцати машин, поэтому придётся, конечно, повозиться с включениями в домен, а заодно и сделать так, как полагается.

Зама главного бухгалтера «понизил», естественно. Уже представляю вой в понедельник при попытке установить какую-нибудь «зуму»… А что ещё можно сделать для безопасности сервера?

Касперский на программу от WaspAce не реагирует, писать «абузу» на crook-а, конечно, бесполезно.

С благодарностью выслушаю любые вменяемые советы, можно тут, можно в форуме.

А то очередная «печалька»

Вам понравилась статья? Не хотите пропускать новые? Тогда подпишитесь на RSS или получайте новые статьи на электронную почту

Автор: Chief | Дата: 29.09.2012 | Комментариев: 51

51 комментарий на «Одно зло от WaspAce»

  1. Master-It пишет:
    29.09.2012 в 11:16

    Да, уж, тяжелый случай, блин.
    Наш офис я постепенно перевел на linux, и интернет и файловый и терминал. С ним, как-то по спокойней что-ли.
    Хотя, конечно в этом есть свои нюансы, извилины приходиться под-напрягать. А кроме интернет шлюза, хранилища баз данных 1с и Active Directory, еще какой-то был функционал у сервера? У нас когда я пришел на работу стоял трафик инспектор на одном компе, а терминальный Windows 2008 стоял отдельно. Ну и теперь: волки спокойны и овцы сыты.

    [Ответить]

  2. Кирилл пишет:
    29.09.2012 в 11:31

    В вашей ситуации наврятли можно, что-то восстановить. А что касается безопасности сервера, я так понял, что у вас сервер на Windows. А с Linux не пытались работать. Я например устанавливаю Linux, а на Linux виртуальную машину с Windows.

    [Ответить]

  3. Сергей пишет:
    29.09.2012 в 14:26

    Прочитал, но к сожалению слабо разбираюсь в этих вопросах.

    [Ответить]

    X-only Reply:

    если сильно интересно я вам могу подробно по этой статье помочь, очень грамотно написана

    [Ответить]

    Станислав Reply:

    Ну не беда всегда можно научиться что бы разбираться в данной теме.

    [Ответить]

  4. i45 пишет:
    29.09.2012 в 16:52

    если кому-то надо админ права на его машину – то не надо давать это через AD !!!
    просто на локальной машине юзера вводишь в группу админы и всё …

    и сервер в безопасности и юзеры довольны (ставят себе что хотят)

    [Ответить]

  5. evgenij пишет:
    29.09.2012 в 21:47

    Одно зло от WaspAce и не говори одно зло=(

    [Ответить]

  6. Владимир пишет:
    29.09.2012 в 22:12

    Подлость за подлость ) а с правами надо поаккуратнее, юзеры они такие…

    [Ответить]

  7. 29.09.2012 в 23:37

    Здравствуйте, могу посоветовать acronis true image home. Я точно не помню, платная она или бесплатная. Но у них существует Live CD, который можно использовать на “крайний” случай. Если и будет какая проверка, логов и следов от нее не будет.

    [Ответить]

  8. Интересующийся пишет:
    30.09.2012 в 14:24

    А вот этот, который на скрине десктопа WaspPacer, он для чего? И как этот crook попал на сервер, из вне?

    [Ответить]

    Chief Reply:

    Извне. Думаю, вредоносный скрипт с какого-то сайта. А для чего – накрутка посещений.

    [Ответить]

  9. Alex пишет:
    01.10.2012 в 03:28

    Это мега автосерфинг, только вот не могу понять, нафига влазить в чужой комп и ставить там серф? =\ заработок нереальный

    [Ответить]

  10. Весельчак пишет:
    01.10.2012 в 09:24

    Мда. Вы зама буха понизили, а руководство ее понизить по жизни не хочет? Или все еще не поняли?

    [Ответить]

    Chief Reply:

    Поняли, но поздновато.

    [Ответить]

  11. Ника пишет:
    01.10.2012 в 11:59

    ничего себе кто-то вам “помог” в работе

    [Ответить]

  12. Павел пишет:
    01.10.2012 в 15:47

    У меня на хостинге тоже взломали 2 сайта. Точнее взломали сервер хостинг компании, а потом и сайты, которые там распологались.

    [Ответить]

  13. Master-It пишет:
    01.10.2012 в 20:54

    Если 2003 снесли то, что будете ставить? Политики безопасности в любом случае нужно будет пересмотреть. И уж точно админ правами никто не должен обладать, кроме сисадмина. Если ip выделенный то необходимо поставить сетевой экран и прописать соответствующие политики. В качестве интернет шлюза и сетевого экрана может быть попробовать Linux?

    [Ответить]

    Chief Reply:

    Ту же 2003 и буду ставить. Файервол – лицензионный Kerio.

    [Ответить]

  14. STAER пишет:
    01.10.2012 в 21:24

    Вывод один – пора ставить линуху….

    [Ответить]

  15. Master-It пишет:
    01.10.2012 в 22:16

    А, как зло-вред проник на сервер? Выяснить не удалось на-верно. Вообще конечно идеальным вариантом будет, действительно еще и монитор тогда убрать от сервака. А, что-бы зам не нервничал купите ей глицина:) Очень говорят, нервы ус-пока-ива-ет).

    [Ответить]

    Chief Reply:

    Не знаю как проник, только догадываюсь – скрипт, утечка пароля…

    [Ответить]

  16. 01.10.2012 в 22:29

    К слову об эникейщиках. Быть ими уже не зазорно, чтобы Вы знали сколько российские эникейщики платят за ссылки с сайтов подобной тематики! Я в шоке!

    [Ответить]

  17. Master-It пишет:
    02.10.2012 в 09:54

    Не-давно на одном компьютерном портале, где я являюсь модератором раздела программирование, описывал пример одной очень интересной уязвимости. Смысл ее заключается в возможности флеш роликов (ActionScript) запускать JavaScript код. Естественно конечный результат примера я опубликовал на своем сайте (что-б лишний раз не напрягать админа:) Так вот – код может выполнятся, как по нажатию на баннер, так и при загрузке, естественно баннер может быть не-видимым. Поэтому, если все-таки сервер будет стоять не в сейфе, и в качестве ПО используется Windows 2003 то отключите в браузерах java script. Это поможет обезопасить сервер от проникновения случайных троянов)

    [Ответить]

    Chief Reply:

    Спасибо, великолепный совет – о простых вещах как-то забываешь.

    [Ответить]

    Станислав Reply:

    Спасибо за реальный совет.

    [Ответить]

  18. Евгений пишет:
    02.10.2012 в 13:11

    Мда, не приятно конечно. С Windows видать еще придется помучится. Linux куда лучше был-бы в качестве сервера.

    [Ответить]

  19. Владимир пишет:
    02.10.2012 в 13:35

    и сколько они платят если не секрет?

    [Ответить]

    Chief Reply:

    Копейки…

    [Ответить]

  20. kapper пишет:
    02.10.2012 в 17:57

    чень граммотно сделано!

    [Ответить]

  21. 02.10.2012 в 22:28

    Ну и что в конечном итоге, как разрулили?

    [Ответить]

  22. alex11 пишет:
    03.10.2012 в 04:32

    Linux наше все, но буХгалтерия не оценит

    [Ответить]

  23. Анатолий пишет:
    03.10.2012 в 13:04

    Долой права у обычных чайников!

    [Ответить]

    Master-It Reply:

    И мы IT-шники и обычные чайники, являемся взаимо-зависимым звеном! И, как нет их без нас, так-же и нет нас без них) Просто от этого нужно отталкиваться и уже из-начально назначать всем соответствующие права.
    Короче говоря, простым языком:
    По горшку и крышка.
    И уж тем паче, каждая крышка должна знать, где именно находиться ее горшок. И тогда будет хо-ро-шо!

    [Ответить]

    Artur Reply:

    В смысле долой права?

    [Ответить]

    STAER Reply:

    Мастер хочет сказать:
    не будет горшков, так и крышки
    нафиг ненужны 😀

    [Ответить]

  24. Валерий пишет:
    03.10.2012 в 22:50

    У меня была подобная ситуация. Мучился несколько дней, так и не смог восстановить.

    [Ответить]

  25. Андрей пишет:
    03.10.2012 в 22:51

    Я что-то тоже не понял Анатолия, что к чему было написанно?

    [Ответить]

  26. Домашний пишет:
    05.10.2012 в 03:55

    Полностью согласен с Евгением в качестве сервера нужно использовать Linux получше чем Windows!

    [Ответить]

  27. Дмитрий пишет:
    05.10.2012 в 09:51

    А я думал что сисадмины, только по инету лазят, а оказывается вон какие проблемы бывают… И опять же из-за… женщин 🙂

    [Ответить]

  28. дмитрий26 пишет:
    05.10.2012 в 14:12

    ага,проблемы и такие бывают

    [Ответить]

  29. Артур Девянин пишет:
    05.10.2012 в 18:17

    Мда.. Видно кто-то хочет помешать заводу, или просто “балуется”.
    Мне кажется, вам (как написано в первом посте), тоже нужно постепенно переходить на Linux. Все-таки безопасней, да и не так много людей, могут ей пользоваться так же легко и быстро, как windows.
    И считаю, что нужно понизить права не только глав. буха, но и остальным. И категорически запретить скачивание с интернета, и принимать cookies только с проверенных сайтов.

    [Ответить]

  30. Мейн пишет:
    06.10.2012 в 20:37

    Рассадник хакеров, блин 🙂 Так есть шанс поймать взломщика, али нет?

    [Ответить]

  31. flaeer. пишет:
    07.10.2012 в 02:50

    С удовольствием бы помог в данной проблеме, но к сожалению не знаю, что посоветовать в этом случае. вопрос конечно сложный, ну думаю он вполне решаем. надеюсь найдутся грамотные профессионалы, которые помогут исправить Вам вашу проблему! Искренне желаю удачи !

    [Ответить]

  32. 13.10.2012 в 18:05

    На будущее, если не получится восстановиться, в первую очередь позаботиться о хорошей защите сервера, и во вторую – почаще делать бекапы. Во всяком случае, это послужит хорошим уроком. Как говорится – учимся на своих ошибках. 😉

    [Ответить]

  33. Александр пишет:
    15.10.2012 в 21:40

    Линукс решение проблемы, но действительно в бухгалтерии обычно сидят совсем далекие люди, поэтому нужно аккуратнее быть…но как говорится на ошибках учатся все нормальные люди…

    [Ответить]

  34. Дмитрий пишет:
    23.10.2012 в 12:20

    Про бухгалтерию, это точно подмечено 🙂 А чем Линукс лучше в плане защиты по сравнению с Виндовс?

    [Ответить]

  35. dLagor пишет:
    30.10.2012 в 23:02

    А вы точно только вино производите? Может есчо на оборонку что секретное разрабатываете.

    [Ответить]

  36. babyshaq пишет:
    09.11.2012 в 16:37

    Ну да, если ставить Linux, то сразу на повышение квалификации большинство бухгалтеров. Я не хочу оскорбить работников этой профессии, но человек не может во всем преуспеть, а им нужно преуспевать в цифрах)

    [Ответить]

  37. Кира Муратова пишет:
    11.11.2012 в 15:18

    Если все грамотно сделано, то компьютерная сеть и на винде нормально работает. А для резервирования данных сервера, можно просто делать полный образ HDD с помощью специализированных утилит, программ. Таких как Acronis. У вас же, я так поняла, простое железо и нет там SCASI и всего остального.

    [Ответить]

  38. Yana.design.tech пишет:
    11.12.2012 в 14:58

    Наверное лучше линукса ничего нет, но это мое мнение

    [Ответить]

  39. Xtalker пишет:
    19.12.2012 в 01:03

    Возможно, стоит уделить немного времени, на изучение настроек Windows сервера, линукс не панацея абсолютно.
    Главное помнить, что виндовый сервер, особенно домен никогда не должен быть подключен к инету напрямую, полюбому спрятать за железкой с фаирволом, потом внимательно раздать права юзверям, настроить резервное копирование, вплоть до ночного снепшота диска, ну и групповые политики как на десерт. Кстати можно попробовать поиграть с VirtualBox, пусть пользователи копошатся в виртуальных песочницах.

    [Ответить]

Добавить комментарий:

Нажимая на кнопку «Добавить комментарий» я соглашаюсь с политикой конфиденциальности Правила комментирования



Политика конфиденциальности Индекс цитирования Яндекс.Метрика Рейтинг@Mail.ru