Атаковал российские и украинские Компании. Наша Компания тоже подверглась атаке(((( В считанные минуты легли все компы на нескольких производственных площадках (заводах) в нескольких городах. Офисы, соответственно, тоже. Хорошо, хоть, технологическое оборудование не подключено ни к какой из сетей. Собрала манатки, еду в Москву. Похоже, это надолго. Свой ноут местным сисадминам бросила, толку с него сейчас никакого. Похоже, это надолго. Работать остались только технологические линии со своими компами, которые не в сети, да токарный и слесарный цеха. Остальные все пошли домой. Мдась. Интересно, надолго ли это? Сисадмины говорят, что успели "рвануть" из сети сервер с нашей общезаводской программой, но гарантии нет никакой. Есть бэкап на ноль часов(((
Комментарии
Щас будут писать каждый про свой комп да
Меня мой ноут почти не волнует. Хотя жаль будет инфы, да. Целая Компания легла((
а что у Вас сеть вся открытой оППой в интернете? я просто умоляю... как же у Вас выполняются требования о коммерческой тайне и персоналке, т.к. ГТ однозначно выделена должна быть???
у нас упор
отный один с внутренней сети всё хочет интернетчиков подмять и включить в свою сеть, но внешняя сеть осталась только для доступа в инет, это фактически тупые терминалы, в основном с линухами и никаких критических данных на них не имеется.но присоединение технологических сетей к сетям общего доступа это за гранью зла... неужели нет хотя бы одного грамотного интегратора в предприятии?
Кто вам сказал, что технологические сети подключены к сетям общего доступа? Попробуйте еще раз топик прочесть.
в свое время, в 99 году как раз проектировал сеть доступа в нет исходя из опыта минатома (нваэс) и энергии (воронежский мехзавод), в 2005 году ничего переделывать не пришлось, когда вышел указ президента. поэтому предполагаю, как в многих компаниях где эволюционно всё со всем соединено - это де-факто, то что у Вас и бук и куча всего на других промплощадках полетело - появилось предположение что и технологические сети тоже имеют связность.
кстати - даже не имея связность, но не сильно жестко контроллировать средства выхода в нет (те же телефоны в компы) и носители информации (флешки) в технологических сетях - то вирус наверняка и там поймаете.
Сам в 2008-ом ушел немного в другую область ЗИ.
Так молиться надо было усерднее, не?
А вы молитесь? Надо же. Чего только люди не делают от усердия и безделья.
Пардонь, мой не в тему, ибо как ибыл.
Блин, каким "гениям" бабло ручейками? А "сисадминам" Ваш: " К Бененой маме" не пыталиль послать?
И очень впечтлило: "Хорошо, хоть, технологическое оборудование не подключено ни к какой из сетей." Видимо, чЁтА шьёте.
Я рада, что вы "впечатлились".
пропатчится от этого древнючего бага была не судьба, да? даже после недавней истории?
На сколько мне известно, пока нет информации что конкретно используется для заражения системы.
Но действительно велика вероятность что виновата некомпетентность и раздолбайство ИТ-отдела. Хотя посмотрим, может там и правда 0day
Вроде писали уже что smbv1 дыра с исполняйкой в е-мейл.
Да и 0day на такую лажу палить - себя не уважать. Шуму много - толку ноль.
Я вообще в этот момент сидела в екселе и ТЗ программисту рисовала. Комп погас, чёрный экран, потом требование 300 баксов переслать. Красными буквами на чёрном фоне. Блин. Будем надеяться. Вот мой коллега, что меня сейчас в Москву везёт, рекомендует дома комп не включать и в сеть не входить.
Либо это неправда, либо это не Петя. Способ заражения стандартный, рассчитан на кадровиков.
Выдернувшие что-то там - либо вруны, либо дебилы. Поскольку данный блокировшик по сети не распространяется, а открывать доступ в нет с сервера 1С и т.д. нормальные люди не будут.
Почему же компы чуть не у всех слетели. Я про программу не знаю. Пока не знаю. Все разговоры были на бегу, второпях.
случаи разные бывают. у меня попадался и нежданчик по bind-у, 4-му имхо, как раз все быстро перешли на 8-ой и позже 9-ый...
ДМЗ ВЦ ВГУ, как опорная точка RBNet с моей сетью тогда имела связность и АИгошин тогда немного у меня потоптался, чисто чтобы научить. тогда и с своей альма-матер заимел связность только через жесткий шлюз.
потом у многих виндопользователей был вирус с привязкой по winsock-у. имхо до 3sp хрюши. так что в этом сите если какая зараза и не прицепится - то будет удивительно, а то что для "удобства" менеджеров тупо дают полный доступ из локалки в внешку - это не нормально, но это реальность.
а вы уверены в этом, пока то, что пишут не похоже на распространение через мыло
кто-то один запустил и оно пошло гулять по сети через 445 порт
Известно. Пользователь используется. Который открывает всякую хрень в почте.
Я ж не сисадмин. И этой службой не заведую. Но то, что гендир хороших киздюлей отвести службе системных администраторов - это несомненно. Шутка ли - несколько заводов остановить. Про всяких бухов и экономиздов вообще не говорю.
Может наконец задумаются и сменят своих друзей/сынов/внуков/генералов_в_отставке на реальных специалистов. Масштаб аварии говорит о неправильном проектировании ИТ-инфраструктуры.
Меня шифровальщики научили одному. Бэкап ежедневный на внешний носитель.
Надеюсь носитель для РК подключается только в момент выполнения РК (ну либо он WORM)?
А то и его зашифрует
Выдерается сразу, после создания копии базы.
Через тонкий клиент работаем.
Есть бэкап. На ноль часов. Тоже делаем. Но есть надежда, что сервер сисадмины успели рвануть из сети. Там 5 часов работы сотен людей.
были уже в середине 2000х (до 2008 года точно) решения с технологиями снимков файловых систем, сейчас дури у компов много, загоняйте системы в виртуалки и пусть будут разностные образы формироваться каждый день, и по ним можно отследить что да откуда, даже на виндах. там где кретиничная надежность требуется - можно и почасовые снимки.
если по окончанию рабочей смены всё более менее адекватно - предыдущей смены дельта образ накатывается на основной образ, и запускается подключение нового рабочего дельта образа. так с небольшими потерями по дисковой подсистеме можно безопасно и в "чумной" палате работать.
Вот я от вас наслушаюсь-то всего) И всё запишу. Обязательно)
там не только это может быть. просто это направление обеспечивается по остаточному принципу.
ну а те соответственно как на вмз - летела лопата - упала в болото, какая зарплата, такая работа.
как раз завтра начинается совещание по ИБ у части отечественных компаний в нерезиновске.
не сменят
не в традициях
Не было никакой атаки. Админы ваши прошляпили. Сами виноваты.
Нее. Это не директор админам, а наоборот. Жлобиться не надо на нормальный прокси, на почтовые программы - Bat просто не даст запуститься подобной примитивной хрени. И почту надо свою иметь, а не на майлопомойке и рамблере гнездиться. Это всё не очень большие деньги.
Никто на помойках не гнездится. Почта своя.
А откуда тогда в почте исполняемый файл?
Вы на 100% уверены, что это в почте? А я - не уверена. И вы это не можете доказать 100%. Я, например, знаю, что если со своей личной почты отправлю письмо с прикрепленным файлом на корпоративную, то 146% письмо не дойдет.
99%. У меня еще было на левом предустановленом виндовсе. Там вирус жил года три, а потом этот комп подключили к сети и он инфицировал всё сеть. Но этот случай больше как исключение.
могут нечайно с дома на флешке или с телефоном, нелегально подключенном к компу принести.
у нас уже года 3 приказ - при очередной проверке находим у какого-либо компа телефон или флешку из не допущенных к этому компу - докладная и звездюли руководству, а оно уж само пусть с своим подчиненным разбирается. достаточно быстро дурь у руководства выбили, а те из подчиненных. а первоначально мы в стандарте предприятия прописали все эти процедуры и подразделения сами организуют у себя работы, у нас только эпизодический точечный контроль систем без гос, иные системы раз в квартал поголовно.
Сдается мне, после сегодняшнего наконец перестанут набирать в админы детей-племянников из школоты. Ну, или хотя бы внесут в договор с ними пункт о взыскании убытков из-за халатности.
Не, граждане, ну позорище ведь: столько
уважаемых людейпроизводств пострадали из-за криворукости персонала. И это я далеко не только про Анисино.У нас в Мск вроде сисадмины приличные. Только начальник все время в пофигистическом состоянии. Здесь на заводе главный сисадмин тоже вроде расторопен и неглуп. А остальные...... поубивала бы))) Их человек 6 кроме главного - по цехам дежурят, у нас линии производственные и в конвейере все сидят за компами.
Сисадмины обычно не строят и не определяют как строить инфраструктуру (большой) компании. Они исполнители и скорее всего не виноваты в данном случае.
Отсутствие локализации проблемы и мгновенное ее распространение по всей компании говорит о том, как что проблема именно в проектировании ИТ-системы в целом.
Угу.
Подтверждаю.
Сам видел уже нормативные документы, авторы которых благополучно демонстрируют нежелание знать решения, выходящие за рамки стандартного набора бус самой распространённой ОС.
Зато сколько… фондов можно освоить сначала на разработке требований к паролям, потом на принуждении пользователей к их выполнению. С регламентом устаревания и замены… Мечта…
Не говоря о проблеме профессионалов на подряде.
А что не так с профессионалами на подряде?
Вполне вменяемые люди обычно. Проблема как обычно в жадности и глупости управленцев.
там очень много нюансов. я в свое время многим этим подрядам, приносимым нашему руководству расписывал, где и какие косяки.
своих можно и не кормить, з.п. получают и ладно, чужие приносят красивые презентации, и на техническом уже совещании разбираются кучи говен, которые ин-на-ваторы со стороны и не хотят замечать. но слава богу в свое время построил инетсеть и настоял о жестком разграничении её со всей остальной инфраструктурой. а на остальной инфраструктуре в другой ипостаси контроль, чтобы инета не было ни в каком виде и вроде тихо. их админам тоже гемор не сильно нужен.
есть же прекрасные стандарты госты 17799(2700х) серий - хотя бы по диагонали изучить и при разработке, внедрении и сопровождении пользоваться и не кашлять.
и настоял о жестком разграничении её со всей остальной инфраструктурой. а на остальной инфраструктуре в другой ипостаси контроль, чтобы инета не было ни в каком виде и вроде тихо
Во. Именно.
Значит нам до сих пор везло.
Или задачи типовые, или нагрузка не предъявляет высоких требований к проработке деталей.
я б сказал более, чем типовые
У нас в конторе *сотни* компов, ничего про вирусы не слышал, няз.
Мелкие проколы были, но чтобы *так* (((
А тут рассказывают, что и Роснефть попала 8-((..
Смотря чем "контора" занимается. Мне лично контора как-то немножко побоку, хотя и не совсем. Меня больше производство волнует. И разработчики.
Целенаправленная атака на конкретные предприятия, во всяком случае так сказали админы местного казначейства. Часть предприятий за счет нормальных админов плевала, бОльшая часть в жоппе.
Страницы