Kollégáink dolgoznak az elhárításon, közben folyamatosan zajlik a gyógyszergyártás és helyreállt az árukiszállítás is. A károk felbecsülése a folyamat lezárása után várható
Részletek itt.
- 1346 megtekintés
Hozzászólások
#StopClickBait
Tehat nem kibertamadas csak mancika vagy bela beszivott egy cryptolockert.
- A hozzászóláshoz be kell jelentkezni
A támadás a windowsokat érintette, tehát nem csak egy sima beszívott cryptolocker. Persze lehet, hogy "mancika" éppen domain admin volt. De ha mégis egy sima beszívott locker volt ami letitkosította a full windows infrastruktúrát, azt is nevezhetjük kibertámadásnak, mert pont az.
- A hozzászóláshoz be kell jelentkezni
"A támadás a windowsokat érintette, tehát nem csak egy sima beszívott cryptolocker"
Wut?
Nem kell domain adminnak lenni eleg egy rosszul konfiguralt halozat is.
- A hozzászóláshoz be kell jelentkezni
"Wut?" Kiragadtad a szövegkörnyezetéből:-)
A többesszámon volt a hangsúly, nem egy gépet érintett a dolog, hanem a teljes windows infrastruktúrát. Mi más ez szerinted ha nem kibertámadás?
De írják is lentebb, hogy mi történhetett, sztem az sokkal reálisabb.
- A hozzászóláshoz be kell jelentkezni
Mai figyelmeztetés: https://nki.gov.hu/figyelmeztetesek/riasztas/riasztas-phobos-zsarolovir…
- A hozzászóláshoz be kell jelentkezni
Imo likes this !
- A hozzászóláshoz be kell jelentkezni
Mesélj, mit olvastál megint félre? :)
Brute force-al kitalálható vagy ellopott jelszóval terjed valami? Hát ez tényleg csak az RDP-t veszélyezteti. SSH-t, VPN-t és a többi távoli elérést semmiképpen :)
- A hozzászóláshoz be kell jelentkezni
Azert az ssh-t, vpn-t még a sebezhetőség szempontjából se hasonlítsuk már össze az rdp-vel! :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
Nyugodtan össze lehet hasonlitani, mindegyikben voltak már durva hibák, de olyan még nem volt, hogy egy patchelt, NLA-s RDP-n csak úgy ki-be lehetett volna menni. Ne kezdjük el újra, elég csak az ÖSSZES win-es VM-et megnézni azure-ban, aws-ben, gcp-ben, nyitott rdp-vel, valahogy nem titeket igazol.
- A hozzászóláshoz be kell jelentkezni
Ezt egyrészt nem tudhatjuk, másrészt pedig minden sebezhető, de az nagyon nem mindegy, alapesetben mennyire is nehezíthető meg a hacker dolga.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
OK.
Valamit esetleg a thread-hez, tudod phobos?
(persze az is érdekes kérdés, hogy mi köze mindennek az egishez...)
- A hozzászóláshoz be kell jelentkezni
Ez bezzeg akkor nem jutott eszedbe, mielőtt kommenteltél! :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
Nézd már meg mivel indult a szál...
- A hozzászóláshoz be kell jelentkezni
Te vajon megnézted-e, mielőtt kommenteltél? :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
Megnéztem, név szerint emlitett a komment amire válaszoltam, amúgy eszembe sem jutott volna, hogy jön a témához az rdp.
- A hozzászóláshoz be kell jelentkezni
Én pedig a te kommentedre reagáltam.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
RDP-n keresztül ugye lehet parancssori programokat is futtatni, SSH-n keresztül viszont marha nehéz grafikus programokat futtatni, vezérelni. Ezért előbbi egyértelműen jobb, fejlettebb, mint utóbbi.
- Sting
- A hozzászóláshoz be kell jelentkezni
Emlékszem rá.. ő volt az oka annak, hogy leléptem onnan.
- A hozzászóláshoz be kell jelentkezni
Simán elképzelem, hogy a jelszó valami ilyesmi volt RDP-hez: 123456 :)
Voltam hasonló nagy cégnél, kéri a jelszót, adnám át rendszergazdának, hogy üsse be, erre elmondja mit kell beírni. Mondom komolyan? Ez a jelszó? Nem mondta még senki, hogy ez esetleg nem biztonságos? (de főleg, hogy nem kellene terjeszteni)
De simán lehet az is, hogy ugyanazt a jelszót használták más oldalon, ami szivárogtatás áldozata lett.
- A hozzászóláshoz be kell jelentkezni
- Az RDP kiszolgáló beállítása, hogy publikus IP címekről tiltva legyen a TCP3389 port elérése.
- Amennyiben szükséges RDP elérés, a hozzáférés korlátozása megadott IP címekre.
- RDP hozzáférés és hozzáférési kísérletek naplózásának beállítása.
Tényleg ez utolsót már sikerült az MS-nek normálisan megcsinálni?
- A hozzászóláshoz be kell jelentkezni
Mit is szeretnél mondani? Hogy hülye az aws, az azure és mindenki? Természetesen, ha megoldható, akkor le kell korlátozni IP-re. Ha meg nem, akkor nem kell lekorlátozni. Ezt az összes publikált szolgáltatásról el lehet mondani.
- A hozzászóláshoz be kell jelentkezni
Mondjuk a hozzáférési kísérletek naplózása az utolsó pont és természetesen Windows 2000 óta naplózva van (NT 4-re már nem emlékszem).
- A hozzászóláshoz be kell jelentkezni
A létező felhasználó kíván belépni RDP-n rossz jelszóval hol található az eseménynaplóban ? (mert amikor legutóbb volt szerencsém egy "megoldás"szállító RDP-s "kérdéséhez" nemigazán sikerült megtalálni (a 2012R2 csak azt loggolta, ha nem létező felhasználó akart sikertelenül belépni :)). Termésetesen ha egy ilyen szemétrakást el kell írni kivülről mindenkinek csupaszon és rászál egy-két bot ami szintén próbál belépni az se tud belépni akinek amúgy joga van rá mert kap egy szép hibaüzenetet "the number of connections to this computer is limited and in use right now. Try connecting later ...".
- A hozzászóláshoz be kell jelentkezni
nagyon kellett már egy olyan program ami teljes körűen kihasználja a window$ kivételes képességeit :Đ
- A hozzászóláshoz be kell jelentkezni
Oh hány helyen volt ilyen. Tudok olyan laborról, ahol admin jogot kellett adni 1-2 nem IT-s embernek, mert "szüksége volt hozzá a munkavégzéshez". Aztán egy nap minden titkosítva lett, mert leszedett valamit, ráadásul olyan gépen, ami egy rakás hálózati meghajtót is elért (és így titkosított). A rendszergazda nem volt boldog, jó időbe telt mentésekből visszaállítani. Azóta nem tudom kapnak-e admin jogot dilettáns személyek.
- A hozzászóláshoz be kell jelentkezni
A rendszergazdát nem azért fizetik, hogy boldog legyen, hanem az ilyenek miatt... :D
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
Jobb helyeken a kutyát nem érdekli, hogy a saját gépét kicsinálja valami szutyokkal. Ott nem tárolhat semmi fontosat. Image visszahúz és kész.
Az meg, hogy letitkositja a hálózati meghajtókat, teljesen független attól, hogy admin joga van-e, sima user accounttal is letitkosit mindent amihez csak hozzáfér.
- A hozzászóláshoz be kell jelentkezni
-1 mert lehetőséged biztosíthat, hogy privilegizált account-ot szerezzen és blokkolhatja az IT központi security beállításait
Avecto (és társai) a kulturált megoldás, ha eleváció kell desktop-on, jobb helyeken
- A hozzászóláshoz be kell jelentkezni
>> lehetőséged biztosíthat, hogy privilegizált account-ot szerezzen
adminról beszélünk, igen
>> az IT központi security beállításait
általában több kárt okoznak, mint 6millió vírus
>> jobb helyeken
ott, jah, ismerjük ezeket a jobb helyeket
- A hozzászóláshoz be kell jelentkezni
>> Azóta nem tudom kapnak-e admin jogot dilettáns személyek.
igen, kapnak, úgy hívják őket, hogy rendszergazdák
- A hozzászóláshoz be kell jelentkezni
Uh ez ütött :)
- A hozzászóláshoz be kell jelentkezni