Win 10 login után ismeretlen lock screen fogad

 ( bodnarj | 2017. december 18., hétfő - 19:14 )

Sziasztok.

Egyik ügyfelünk biztosított számunkra egy "teszt szervert" melyre fel kellet telepítenünk az alkalmazásunkat.
Ez a "teszt szerver" egy Win 10 desktop, ami egy szerver hoszting teremben van és publikus IP címmel rendelkezik.
Kb. egy hete használjuk gond nélkül.
Ma bejelentkeztem távoli asztallal és futott a háttérben egy masscan.exe nevű port scenner. Nem bántottam, gondoltam az ügyfél adminisztrátora indította el.
Pár perc múlva kidobott a távoli asztal, majd mikor újra be akartam jelentkezni, a user név password beírása után nem az asztalt kaptam meg, hanem egy érdekes fekete lock képernyőt, melyen egy kék körben fehér lakat piktogram van, benne egy PC-NAME/PASSWORD beviteli mező és egy UNLOCK gomb. APC-NAME beviteli mezőbe SZERVER0034 van automatikusan írva.

Én csak Linux alól KRDC-vel jelentkeztem be, és egy MySql, Glassfish párost töltöttem le hivatalos oldalról és telepítettem, fel kb. egy héttel ezelőtt. Azóta szépen ment is minden. Ma történt a fent említett eset. Annyi érdekesség volt még, hogy az alkalmazásunk már nem volt elérhető viszont a Glassfish igen. Olyan mintha megtörölték volna a Glassfish alól azt a könyvárat ami alá telepíti a Glassfish az alkalmazást. Ellenőrizni már nem tudtam a fent említett lock screeen miatt.

Logot és hasonlókat nem tudok ellenőrizni mert nem én üzemeltetem a szervert.

Valakinek ötlete, hogy mi lehet? Találkozott már valaki hasonlóval?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Képpel könnyebb lenne, mindig is szar voltam Activity-ben
-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház

Képernyőképek:

Ezen látható a tényleges lock screen:
https://ibb.co/dM2vh6

Itt pedig egy google-el keresett kép a háttérben futó masscan alkamazásról:
https://ibb.co/b2SZaR

Gyanúm, hogy ez már nem a Ti PC-tek és valaki épp arra használja, hogy más eszközöktől is megfosszon valakiket (akár Titeket).
Leválasztanám a hálózatról, hamar.

Üdv,
Marci

Pontosan, én is gyalulnám az egészet.
-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház

Tehát ha én Linux alól KRDC-vel jelentkeztem be arra a Windows 10-es gépre, és csak a mysql és glassfish telepítőket tetetem fel rá amiket a hivatalos honlapokról töltöttem le akkor elvileg kizárt, hogy az én hibámból történtek meg a fenti dolgok.

Ha jól gondolom ez nem nem valami vírus hanem küldő támadás lehet?

Ennyi információ alapján nem eldönthető, hogy kinek a hibája, hogy feltörték, és akár a Te hibád is lehet vagy lehet részed benne.
Például:
-sebezhető alkalmazás
-világ felé nyitott admin felületű, béna jelszavú/jelszó nélküli, szükségesnél magasabb privilégiummal futó alkalmazásszerver
-világ felé nyitott, béna jelszavú/jelszó nélküli mysql
stb.

Üdv,
Marci

+1

El lehet dönteni. Kulcsszavak, -mondatok: "tesztnek adták ki neki", "desktop gépet adtak", "éles adatokat hagytak rajta". Az alapvető hiba a másik oldalon keletkezett. Tesztre adtam volna nekik egy szervert, deperszonalizált vagy erre a célra generált adatokkal. És akkor az ilyen helyzetre is gyors a megoldás, húzd újra image-ből és folytathatod.

Dehogy lehet.
Kötelező autós hasonlat: kölcsön kapsz egy szemmel jól láthatóan nem megfelelő műszaki állapotú autót. Vezeted, baj lesz. Ki hibázott?

(vö. "csak a mysql és glassfish telepítőket tetetem fel rá amiket a hivatalos honlapokról töltöttem le akkor elvileg kizárt, hogy az én hibámból történtek meg a fenti dolgok.")

Üdv,
Marci

Na igen, ebben is van valami, de ha azt mondom a partnernek, hogy ez gáz, akkor azt mondja, ez van, kell a munka? Érted...most meg feszekedik, hogy mi a pálya.

feltéve, ha pl a default jelszavakat megváltoztattad, etc etc

W10 desktop, ami publikus alkalmazást futtat. Hát, komoly dolgok ezek. :)

Kértünk egy teszt!!! szervert. Ezt kaptuk. :)
Állítólag minden "törlődött" róla, állítólag éles dolgok is voltak rajta ...
Kértünk tőlük logokat.
Most várunk a logokra ...
várunk a logokra ................................
......várunk a logokra ....
várunk a logokra .....................

2XdcFgt3CnKht

Éles adatokkal szerelt w10 desktop szerverhotelbe, rdp csak úgy kiengedve? Hát az alapvető hibát biztosan nem te/ti követtétek el, hanem aki ezt tesztre nektek odaadta így. Kemény lennék, mondanám, hogy az ottani rendszergazdag menjen havat lapátolni, ahhoz megvan az esze.

RDP nagyon sérülékeny, tilos egyenesben kiforwardolni netre.
Mi kíváncsiságból egy öreg pc 3389-es portját kiforwardoltuk, kb 4 nap kellett, hogy valaki megtalálja és megtörje. Clearlock és valami bitcoin bányász progi lett rá feltéve

Ez azert igy nem teljesen igaz. NLA nelkul valoban nem szabad.

Ezt nem jelentenem ki. Millioszamra vannak kirakva es altalaban nincsenek megtorve.

Az hogy az admin/admin is ott lehetett a felhasznalok kozt az egyszerusiti a hatalomatvetelt.

Win 10 desktop, ami egy szerver hoszting teremben van és publikus IP címmel rendelkezik.

Innentől szerintem maximun néhány óráig marad tied a gép :)

Én még emlékszem az XP-s időkre is, amikor már telepítés közben feltörték a hasonló gondossággal internetre kötött cuccot...

Túl nagy hozzáértés nem lehetett az érintetteknél.
Most olvasom: Éles adatok?? pfffff :D
Várhatóan komoly jelszavak is voltak ott ;)

--
zrubi.hu

Gumicsizma. Fasza ugyfel, higy egy Windows server vps-re szarrag.

Az MSblast volt a kedvencem, a szokasosos xp retelep partyhoz egy cdn csak a hotfixet tartottam mert anelkul masodpercek alatt vege volt ha elfelejtettem a tuzfalat bekapcsolni es zoneakarmot teleputeni.

Kiszeded (vagy akinek ez a dolga, kiszedi), utana bebootolsz valami live rendszert, lemented a naplofile-okat, es legyalulod. Paranoid helyzetben akar BIOS reflash-hel kezdve.
Aztan a naplobol optimalis esetben kiderul hogy jutottak be, es el tudod kerulni, hogy 3 nap mulva ismetelned kelljen.

--
Worrying about killer AI and the superintelligent robots is like worrying about overcrowding on Mars. - Garry Kasparov

+1

Állítólag valami kyptovirus. Ránk akarják verni a balhét.
Állítólag az egyik PDF állomány volt fertőzött.
Nem igazán használok windowst évek óta, de nem tudok arról, hogy PDF állományok is fertőzöttek lehetnek.
A PDF állományok a cég éles Linux szerveréről származnak melyeket az alkalmazásunk állít elő JasperReports-al. Az éles szerveren tar.gz-vel összetömörítettem scp-vel a saját Linux desktopomra másoltam. Majd innen akartam a KRDC segítségével felmásolni, de kb. 2 perc múlva kidobott a szerver.
3.2 gb volt az állomány nem hiszem hogy annyi idő átment, ha át is ment tömörítve volt, illetve ha még fertőzött is volt a pdf azt meg kellet volna nyitni hogy fertőzni tudjon.
Szóval több sebből vérzik a dolog, hogy a mi hibánk volt.
Küldtek egy állomány listát a pár könyvtár tartalmáról, hol minden állomány nevéhez hozzáfűződött egy id-[egy hexadecimális számsorozat].java string.

nem tudok arról, hogy PDF állományok is fertőzöttek lehetnek

https://security.stackexchange.com/questions/64052/can-a-pdf-file-contain-a-virus

Ma is tanultam valami újat.
De a fentebb említett okok miatt, valószínűleg át sem ért a tömörített állomány, illetve ha átért sem lett kicsomagolva, így nem valószínű, hogy abból indult a dolog.

Nem igazán használok windowst évek óta, de nem tudok arról, hogy PDF állományok is fertőzöttek lehetnek.

uhh. Ez sokmindent megmagyaráz.

vak vezet világtalant :D

--
zrubi.hu

+1

De ettől függetlenül nem hibáztatom OP-t, ellenben a cég "szakértőjét" nagyon is.
--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Kb. erre számítottam amikor olvastam az eredeti postot.

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Fura az a zsarolóvírus, ami nem zsarol...
Milyen balhét akarnak rátok verni? A kiesés vagy a késés miatt? Vagy a többletmunka miatt? Az adatok megvannak a mentésben.

Üdv,
Marci

Van egy egyedi alkalmazás amit a cégnek fejlesztettünk. Lassan egy éve használják.
Az éles szerver a cég belső hálózatában van elhelyezve.
Most nyitni akarnak egy új telephelyet egy másik városban és a cég internet kapcsolat elég lassú.
Egy adsl + egy 20/20-as bérelt vonal egy rooterrel összenyalábolva hogy minél gyorsabb legyen, ellenben 100-120 kbs-nál több nem igazán jön át rajta - szintén fent említett rendszergazda üzemelteti.
Kitalálták hogy berakják a szervert egy szerverhotelbe, de előtte teszteljük le hogy ha bent van egy szerver hotelben akkor milyen lesz a felhasználói élmény.
Ehhez kértünk a cégtől egy teszt szervert egy szerver hotelben amin tesztelhetjük az alkalmazást.
Szóval ez nem éles környezet volt legalábbis nem az amin az éles alkalmazás fut. Aztán hogy ténylegesen mi a fene volt rajta nem tudom. Megkaptuk a hozzáférést feltettük a mysql, glassfish párost feltoltunk rá egy friss adatbázis mentést.
Aztán most vergődik a rendszergazdájuk hogy ez valami éles dologra használt szerver volt.
De igen, egyébként az alkalmazás fejlesztési költségének csak 50%-át egyenlítették ki. A többivel jó pár hónapja tartoznak.

Ha ez hosszabb ideje működött már ott, akkor nem alaptalan a feltételezés, hogy a vesztét valami mostanában végzett változtatás okozta.

Üdv,
Marci

Esetleg egy új user felvétele a rendszerbe ami luise/luise2017 felhasználónév/jelszó elnevezési mintát követi?

Nyilván ez sem jó, de az eddig megismert dolgok (és a csak sejtett dolgok) többsége sem volt az.

Üdv,
Marci

"éles dologra használt szerver volt"
Backup volt/van róla? Ha nincs akkor azok bizony nem voltak fontos adatok.
Win10 RDP kiengedve default porton publikus ip-vel, az ottani "rendszergazda" csak egy amatőr kókler.
Tartoznak is még mellé? Van úgy, hogy egy alkalmazás működése ismeretlen okokból leáll, de amint megjön az utalás megjavul.

Szerződés elővesz adott céggel, megnézni mit vállalt a "vállalkozó" aki ezt a csodát produkálta.

Szerződés függvényében simán "rátok verhetik" az egészet. Hozzá kell tenni hogy nem alaptalanul ....

Már amiket itt olvastam a threadbe ...

RDP-t kinyitni életveszély, ha csak nem korlátozza le az ember egy bizonyos fix IPre + ssh tunnelen át hajrá ..

ps.: hasonló cucc volt amit "helyre kellett rakni" két telephely. SMB portok simán megosztva.. és úgy kommunikáltak ... És hát feltörték. Csoda? :D nem nem csoda, hozzánemértés esete..

Lehet és fertőzött is nagyon sok, de kb minden. Ha az volt fertőzött és Te csak felmásoltad akkor az Ő MS víruskeresőjük futtatta és telepítette a gépre, mert ha ilyen faszkalap a rendszergazda akkor az auto update is ki van kapcsolva :D

Az, hogy a te hibád-e azt egy szakértő és egy bíróság állapíthatja meg.

A gépet kihozni.
A lemezt DD-vel lementeni.
Alaposan kivizsgálni.
Minden újratelepíteni vagyis inkább egy managed Windows VPS bérlése ahol az alap feladatok el vannak látva, update, backup és nem egy baromarcúra van bízva.

Idézet:
Állítólag valami kyptovirus. Ránk akarják verni a balhét.

Milyen balhét?

Azt mondtad, teszt szerver. Szóval tessék legyalulni, és image-ből újratenni.

Nem mintha a kryptovírus bármi értékeset meg tudott volna fertőzni, mert ugye: teszt szerver.

Az sem szerencsés, ha többeknek van rendszergazda jogosultságuk egy géphez.
Ha én lennék rendszergazda, adnék egy virtuális gépet tesztelésre, persze lehet, hogy ez sem megoldás.

Az ilyeneket szívlapáttal kéne agyonverni. Szervernek destop Win10, faszán adminisztrálva, hogy cryptolockert is bekapjon. Ügyes. Nyugodtan álljanak neki feljebb, nagyon professzionális banda lehet, gondolom azért is hibáztatnak mást, mert ugyebár ők nem hibázhattak. Legközelebb vigyék máshová a tesztszarjukat. Amúgy meg nem értem, hogy ha tesztszerver volt, akkor elvileg nem volt rajta fontos adat, minek pánikolnak? Legközelebb telepítsenek rá XP-t, de azt is SP0-val, hogy ne lassítsanak a frissítések. Vagy húzzatok fel a vasra valami értelmes környezetet.


„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

Ezt nem ide akartam.

A topikindítónak csak annyit, h nagyon vigyázzon, mert innen simán ráverhetnek bármit.

Ezt hogy érted?

Nomostan "tesztszerver" célra nagyjából találomra lehet Win10 desktop gépnél alkalmasabb eszközt mondani, pláne, hogy GlassFish+MySQL motyó megy rá - de ez mellékszál.

A közös ló és annak túros háta is emlegetve lett már - onnantól kezdve, hogy nem csak neked van admin jogod a gépen, és nincs minden adminisztrátori tevékenység, szoftvertelepítés, etc. egyeztetve veled, gyakorlatilag nincs esélye sem a másik oldalnak, sem neked arra, hogy bizonyítsd, ki volt a nagyobb péló a gép rommátörése miatt.

Itt lehet majd sokáig dobálni a féceszt egymásra, de ahogy mondani szokás, aki koton nélkül megy a kupiba, az megérdemli...

Win10 + Desktop + Szerverként netre + távoli asztal...
Mi ez, "fogadjunk meddig bírja" játék? :D

Aki meg így törte fel , bármilyen célra, az is egy éles elme, gondolom ők is fogadtak, hogy mikor veszi észre a rendszergazda... Ha már mások gépét akarom használni valamire, akkor inkább valami háttérben futó dolgot pakolnék rá.

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba