amarao (amarao_san) wrote,
amarao
amarao_san

вирус - итоги

Я опять, как Хаус, занимался дифференциальной диагностикой. Пока меня не увезли в одну палату к почтенному доктору.

Итак, дано: Вирус (см ниже по постам). Звонок: блокирована учётка пользователя. Лог - долбёжка с машины №1. Машина №1 сниматеся. Аналогично - с машины №2. Снимается. Машина №3 - аналогично. К этому моменту на флешке воткнутой в машину №2 находится авторанистый вирус. К этому моменту в логах ещё две долбящиеся машины. Состояние близкое почти к панике (спасибо, что 2/3 машин в конторе - либо тонкие клиенты, либо десктопы под линухом, переделанные в тонкие клиенты). На ходу находится, собственно, виновник проблемы (shadowbase). Отработанная процедура. В ходе общей проверки вирус в режиме долбёжки находится на второстепенном сервере. Сервер срочно чинится - тут же на втором второстепенном сервере. Одновременно находятся машины с вирусом, которые не занимаются долбёжкой.

Вирус находится на компьютере помощника. Вирус у меня на машине. На всех машинах вычищается, на моей нет.

Вирус в московском офисе - удалённый офис рубится на канале, почту они читают через веб-морду, сидят пока без нашей базы (только со своей).

Постепенно чистятся все машины. Внезапно вирус находится на одном из контроллеров домена. Шок, антивирус, ребут. (Вирус в пассивном состоянии).

Итог к концу дня (когда он вычищен ото всюду):

все сервера, кроме юниксов и (внимание!) двух (1 - 64бита, DC, 2 - обычный сервер) серверов - были заражены. Контроллер домена в Москве не заражён, рабочие станции заражены ВСЕ. Машины вне домена не заражены. Большинство машин в домене - заражено, но есть и исключения. На серверах стоят все апдейты - каким образом? Что? Как?


Критическая деталь, переворачивающая картину (понятна к концу дня): у меня очень кривая винда на машине (апдейты не ставятся, болтается gina от цитрикса при логоне, тысяча и одна китайская софтовая поделка в режиме тестов).

Моя версия произошедшего: где-то, от кого-то сетевая атака. В числе атакованных мой компьютер. Заражён. Дальше никакой сетевой атаки - банальное заражение через админские шары. Поражаются только машины, видные в сетевом окружении (отсюда рандом).

Итог - две мои ошибки - работа под админом домена на рабочей станции и винда, которую я хотел сменить уж 3 недели как (но всё руки не доходили, хотя свежеотставленная стояла готовой).

Детектив, блин.
Subscribe

  • Книга высшей ксенофобии

    В рамках литературной фантазии: В книге все возможные формы фобий и наговоров оказываются правдой. Начиная с ведьм, которые наводят порчу, портят…

  • Бизнес-модель: можно грабить корованы

    Вот все смеются, а я предложу такую модель бизнеса: Команда из художника(-ов), сценариста, копирайтера, программистов и т.д. делает игру по вкусу…

  • Концепция пазла

    Представим себе простенький радиотрейсер. То есть штуку, которая может предсказать сигнал на входе, по сигналу на выходе и принципиальной…

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 16 comments

  • Книга высшей ксенофобии

    В рамках литературной фантазии: В книге все возможные формы фобий и наговоров оказываются правдой. Начиная с ведьм, которые наводят порчу, портят…

  • Бизнес-модель: можно грабить корованы

    Вот все смеются, а я предложу такую модель бизнеса: Команда из художника(-ов), сценариста, копирайтера, программистов и т.д. делает игру по вкусу…

  • Концепция пазла

    Представим себе простенький радиотрейсер. То есть штуку, которая может предсказать сигнал на входе, по сигналу на выходе и принципиальной…