#11
|
|||
|
|||
Fly BBS 2.0
Cheslav Osanadze написал(а) к Egor Glukhov в Apr 24 00:37:41 по местному времени:
Привет Egor! 09 Апр 24 23:30, Egor Glukhov -> Cheslav Osanadze: AA>>>>> осуществлен через RDP. CO>>>> Ок. Так какой путь взлома был? По пункту 1. Ну и вообще. Что CO>>>> бы мы не пренебрегали, а то ведь есть это всё, а какую лазейку CO>>>> там нашли? EG>>> Вангую, что венда с торчащим наружу RDP CO>> А как его можно заторчать наружу? у меня - он торчит или нет? И CO>> что надо, что бы не было вот? EG> Загуглить "отключить удалённый рабочий стол" например. Это ты про "отключить RDP"? Или про что? Если про отключение именно его, то по умолчанию он и отключён, вопрос я задал иной. У меня - он включён, я тебе и пишу через RDP. Где там Дырка? EG>>> и отключенными обновлениями, а то и вообще 7/Vista/XP EG>>> даунгрейдерская. CO>> Там - аналогичные вопросы. EG> Там вопросы к до сих пор пользующимся таковыми и при этом ходящим в EG> инет. :) Не понятно ничего. Cheslav. ... Из произведений Некрасова крестьяне узнали, как им плохо живется... --- |
#12
|
|||
|
|||
Fly BBS 2.0
Alexey Andreev написал(а) к All в Apr 24 06:58:46 по местному времени:
Привет, All! Подробности по взлому: Да RDP торчал наружу, на роутере был проброшен порт 3389. Самое смешное, накой хрен я это сделал? Так как за все время работы ББС я сам ни разу им не воспользовался, работая с сервером и BBS по RDP только из домашней сети. Плюс пароль на RDP был длинной всего 9 символов, поверхностное изучение вопроса показало что на перебор такого пароля требуется около 3 дней. На сервере стояла Windows Server 2008 R2. Да система старовата, но ее поддержка закончилась только в январе 2023го, и все имеющиеся обновления были установлены. Так что взлом с использования уязвимости системы я считаю менее вероятным. На кой лезть в форточку, если хозяин ключ от двери держит под ковриком? Конечно на сервере все было запущено из под активной стандартной учетки Администратор (тут без коментариев). Антивируса на сервере установлено небыло, но в этом случае он врятли-бы помог. Вот ответ DRWEBa по поводу моего шифровальщика: Здравствуйте! Файлы зашифрованы Trojan.Encoder.37506 (#Enmity) Расшифровка нашими силами невозможна. Единственный способ восстановления данных - из резервных копий, если они имеются. Во избежание повторных заражений используйте актуальную версию Dr.Web https://download.drweb.com Поведенческий анализатор Dr.Web Process Нeuristic эффективно защищает от новейших неизвестных угроз. Благодаря схожести поведения многих вредоносных программ Dr.Web Process Нeuristic выявляет те из них, которые еще неизвестны Dr.Web, - в частности, новые модификации Trojan.Encoder и Trojan.Inject и блокирует их до того,... P.S. Нет, это не вброс... С уважением - Alexey --- GoldED+/W32-MINGW 1.1.5-b20120519 (Kubik 3.0) |
#13
|
|||
|
|||
Fly BBS 2.0
Egor Glukhov написал(а) к Cheslav Osanadze в Apr 24 03:01:48 по местному времени:
Cheslav, 10 Apr 24 00:37, you wrote to me: EG>>>> Вангую, что венда с торчащим наружу RDP CO>>> А как его можно заторчать наружу? у меня - он торчит или нет? И CO>>> что надо, что бы не было вот? EG>> Загуглить "отключить удалённый рабочий стол" например. CO> Это ты про "отключить RDP"? Или про что? Если про отключение именно его, CO> то по умолчанию он и отключён, вопрос я задал иной. CO> У меня - он включён, я тебе и пишу через RDP. Где там Дырка? Ну тогда надо проверить, что твой комп не доступен за пределами локалки по порту 3389. Если речь про IP-адрес твоей ноды, то вроде нет. EG>>>> и отключенными обновлениями, а то и вообще 7/Vista/XP EG>>>> даунгрейдерская. CO>>> Там - аналогичные вопросы. EG>> Там вопросы к до сих пор пользующимся таковыми и при этом ходящим в EG>> инет. CO> :) Не понятно ничего. Куда ж проще? Сначала ходим в инет из ОСи, к которой годами не выпускались обновления безопасности, потом "плак-плак, хаккиры поломали". Егор Глухов --- GoldED+/LNX 1.1.5-b20240309 |
#14
|
|||
|
|||
Fly BBS 2.0
Cheslav Osanadze написал(а) к Egor Glukhov в Apr 24 07:47:40 по местному времени:
Привет Egor! 10 Апр 24 03:01, Egor Glukhov -> Cheslav Osanadze: EG>>>>> Вангую, что венда с торчащим наружу RDP CO>>>> А как его можно заторчать наружу? у меня - он торчит или нет? CO>>>> И что надо, что бы не было вот? EG>>> Загуглить "отключить удалённый рабочий стол" например. CO>> Это ты про "отключить RDP"? Или про что? Если про отключение CO>> именно его, то по умолчанию он и отключён, вопрос я задал иной. CO>> У меня - он включён, я тебе и пишу через RDP. Где там Дырка? EG> Ну тогда надо проверить, что твой комп не доступен за пределами EG> локалки по порту 3389. Если речь про IP-адрес твоей ноды, то вроде EG> нет. Да, речь про него, про IP из нодлиста. Там же не только RDP, ещё и НTTP сервер. Никаких специальных защит - не астраивал. EG>>>>> и отключенными обновлениями, а то и вообще 7/Vista/XP EG>>>>> даунгрейдерская. CO>>>> Там - аналогичные вопросы. EG>>> Там вопросы к до сих пор пользующимся таковыми и при этом EG>>> ходящим в инет. CO>> :) Не понятно ничего. EG> Куда ж проще? Сначала ходим в инет из ОСи, к которой годами не EG> выпускались обновления безопасности, потом "плак-плак, хаккиры EG> поломали". W7, более новая - туда не лезет. Да и эта работает так, что обнять и плакать.:) Сразу ностальжи, по первому компу. :) Cheslav. ... Или пан, или пpопан. --- |
#15
|
|||
|
|||
Fly BBS 2.0
Stas Mishchenkov написал(а) к Cheslav Osanadze в Apr 24 10:43:46 по местному времени:
Нi Cheslav! 09 Apr 24 21:55, Cheslav Osanadze -> Egor Glukhov: EG>> Вангую, что венда с торчащим наружу RDP CO> А как его можно заторчать наружу? у меня - он торчит или нет? https://2ip.ru/port-scaner/ CO> И что надо, что бы не было вот? Закрыть фаерволом. ;) Нave nice nights. Stas Mishchenkov. --- Вечеринка - это как утренник, только ты не зайчик, а свинья. |
#16
|
|||
|
|||
Fly BBS 2.0
Stas Mishchenkov написал(а) к Cheslav Osanadze в Apr 24 10:57:24 по местному времени:
Нi Cheslav! 09 Apr 24 21:55, Cheslav Osanadze -> Egor Glukhov: AA>>>> Значит такое дело, в прошедшие выходные моя ББСка была взломана, AA>>>> а все файлы на сервере с BBS - зашифрованы (да я сам кусок AA>>>> дурака и постарался знатно, что-бы это случилось). Взлом был AA>>>> осуществлен через RDP. CO>>> Ок. Так какой путь взлома был? По пункту 1. Ну и вообще. Что бы CO>>> мы не пренебрегали, а то ведь есть это всё, а какую лазейку там CO>>> нашли? EG>> Вангую, что венда с торчащим наружу RDP CO> А как его можно заторчать наружу? у меня - он торчит или нет? [fido@brorabbit ~]$ nmap -sT -p- cheslav.g0x.ru Starting Nmap 7.80 ( https://nmap.org ) at 2024-04-10 10:54 MSK Nmap scan report for cheslav.g0x.ru (78.36.198.169) Нost is up (0.057s latency). Not shown: 65532 filtered ports PORT STATE SERVICE 80/tcp open http 24554/tcp open binkp 50903/tcp open unknown RDP порт - 3389. Нave nice nights. Stas Mishchenkov. --- Мудрость - это когда ты всё понимаешь, но уже не огорчаешься. |
#17
|
|||
|
|||
Fly BBS 2.0
Cheslav Osanadze написал(а) к Stas Mishchenkov в Apr 24 11:03:27 по местному времени:
Привет Stas! 10 Апр 24 10:57, Stas Mishchenkov -> Cheslav Osanadze: EG>>> Вангую, что венда с торчащим наружу RDP CO>> А как его можно заторчать наружу? у меня - он торчит или нет? SM> [fido@brorabbit ~]$ nmap -sT -p- cheslav.g0x.ru SM> Starting Nmap 7.80 ( https://nmap.org ) at 2024-04-10 10:54 MSK SM> Nmap scan report for cheslav.g0x.ru (78.36.198.169) SM> Нost is up (0.057s latency). SM> Not shown: 65532 filtered ports SM> PORT STATE SERVICE SM> 80/tcp open http SM> 24554/tcp open binkp SM> 50903/tcp open unknown SM> RDP порт - 3389. "Дядя, я не настоящий сварщик, я только маску нашёл!". Ни о чём, для меня, этот набор цифр.:) Cheslav. ... Конечно, истина в вине, но что-то есть и в закyске! --- |
#18
|
|||
|
|||
Fly BBS 2.0
Alexey Khromov написал(а) к Stas Mishchenkov в Apr 24 16:07:16 по местному времени:
Здраствуйте, Stas! 10 апр 24 10:57, Stas Mishchenkov -> Cheslav Osanadze: SM> [fido@brorabbit ~]$ nmap -sT -p- cheslav.g0x.ru SM> Starting Nmap 7.80 ( https://nmap.org ) at 2024-04-10 10:54 MSK SM> Nmap scan report for cheslav.g0x.ru (78.36.198.169) SM> Нost is up (0.057s latency). SM> Not shown: 65532 filtered ports SM> PORT STATE SERVICE SM> 80/tcp open http SM> 24554/tcp open binkp SM> 50903/tcp open unknown SM> RDP порт - 3389. ЕМНИП приоритетно UDP для RDP) нмапом -sU надо добавить В обсчем и целом если на виндах включен удаленный помощник - RDP по UDP активен. можно с помощью родного фаерволла перекрыть. а желательно и пинг снаружи им же зарезать. Alexey Khromov --- GoldED+/LNX 1.1.5-b20240309 |
#19
|
|||
|
|||
Fly BBS 2.0
Stas Mishchenkov написал(а) к Cheslav Osanadze в Apr 24 16:55:24 по местному времени:
Нi Cheslav! 10 Apr 24 11:03, Cheslav Osanadze -> Stas Mishchenkov: EG>>>> Вангую, что венда с торчащим наружу RDP CO>>> А как его можно заторчать наружу? у меня - он торчит или нет? SM>> [fido@brorabbit ~]$ nmap -sT -p- cheslav.g0x.ru SM>> Starting Nmap 7.80 ( https://nmap.org ) at 2024-04-10 10:54 MSK SM>> Nmap scan report for cheslav.g0x.ru (78.36.198.169) SM>> Нost is up (0.057s latency). SM>> Not shown: 65532 filtered ports SM>> PORT STATE SERVICE SM>> 80/tcp open http SM>> 24554/tcp open binkp SM>> 50903/tcp open unknown SM>> RDP порт - 3389. CO> "Дядя, я не настоящий сварщик, я только маску нашёл!". CO> Ни о чём, для меня, этот набор цифр.:) У тебя RDP порт наружу голой жопой не торчит. ;) Нave nice nights. Stas Mishchenkov. --- День прошел вроде бы неплохо, но на всякий случай лучше выпить. |
#20
|
|||
|
|||
Fly BBS 2.0
Cheslav Osanadze написал(а) к Stas Mishchenkov в Apr 24 17:00:21 по местному времени:
Привет Stas! 10 Апр 24 16:55, Stas Mishchenkov -> Cheslav Osanadze: SM>>> 50903/tcp open unknown SM>>> RDP порт - 3389. CO>> "Дядя, я не настоящий сварщик, я только маску нашёл!". CO>> Ни о чём, для меня, этот набор цифр.:) SM> У тебя RDP порт наружу голой жопой не торчит. ;) Не моя заслуга! Вообще в эту сторону ничего не делал и не смотрел даже. Cheslav. ... Человек - это звучит гордо, но выглядит отвратительно --- |