Ответы Mail.ru
Компьютеры, Связь
Железо
Интернет
Мобильная связь
Мобильные устройства
Офисная техника
Программное обеспечение
Прочее компьютерное
Лидеры категории
Лена-пена
М.И.
Y.Nine
•••
Искусственный Интеллект
Искусственный Интеллект
Искусственный Интеллект
Голосование за лучший ответ
Sfera
(179896)
5 месяцев назад
кто то через флешку занес виря
ICaR SoftГуру (3002)
5 месяцев назад
Может подскажете, как по RDP извне, можно флешку подключить к удалённому ПК? При этом ещё не зная пароля (порт+ip, допускаю, стали известны).
Константин КовтунПрофи (565)
4 месяца назад
У меня такая же ситуация, я даже знаю чья флешка, и я своими руками ее вставил по просьбе записать ему файлик. Сам записал, ничего с флешки не запускал и не копировал себе.
В системе отключен автостарт с внешних носителей и стоит лицензионный КИС.
После этого, (зная что так будет, т.к. это второй раз), я просканировал все системные области дисков, ничего не нашлось.
А вчера около 12ч - Бсод, перезапустил, через время заметил, что нет каспера, запускаю, не запускается. Понял что попал...
Но все-же вовремя вырубил, восстановилось из контрольной точки.
Как это возможно, с флешки при отключенном автостарте с внешних носителей?
Могу взять у него именно эту флешку, но чем на ней что искать? Может там типа скрытого раздела?
В системе отключен автостарт с внешних носителей и стоит лицензионный КИС.
После этого, (зная что так будет, т.к. это второй раз), я просканировал все системные области дисков, ничего не нашлось.
А вчера около 12ч - Бсод, перезапустил, через время заметил, что нет каспера, запускаю, не запускается. Понял что попал...
Но все-же вовремя вырубил, восстановилось из контрольной точки.
Как это возможно, с флешки при отключенном автостарте с внешних носителей?
Могу взять у него именно эту флешку, но чем на ней что искать? Может там типа скрытого раздела?
Troll Killer
(220453)
5 месяцев назад
Кто знает что там на нём вообще делалось
ICaR SoftГуру (3002)
5 месяцев назад
Я и описал, что делалось. Вход по RDP, потом ещё глубже по RDP и запуск на всех ПК шифратора, с предварительным отключением антивирусного ПО.
Вопрос то в другом. Читали?
Вопрос то в другом. Читали?
Indrikis XIII (russian edition)
(26116)
5 месяцев назад
RDP ломать не приходилось, не подскажу.
По отключению Каспера: У тебя пользователь с админскими правами. Цепляешься к реестру и правишь. Отключаешь пароль администратора Касперского и самозащиту, потом останавливаешь его. Что конкретно править расписано на сайте самого Касперского. Но это так, в общих чертах, конкретно -- отрабатывать надо.
У меня просто обычно другая несколько задача. По удалёнке снести его и поставить нового.
По отключению Каспера: У тебя пользователь с админскими правами. Цепляешься к реестру и правишь. Отключаешь пароль администратора Касперского и самозащиту, потом останавливаешь его. Что конкретно править расписано на сайте самого Касперского. Но это так, в общих чертах, конкретно -- отрабатывать надо.
У меня просто обычно другая несколько задача. По удалёнке снести его и поставить нового.
ICaR SoftГуру (3002)
5 месяцев назад
Вот и я про это - возможно ли это сделать через ВПО, не человеком?
RDP ломают - знаю, сам лоханулся, я не сетевой инженер. Пароль на админа был простоват. Порт на RDP не изменён со стандартного. IP на вход разрешён был всей планете = any. (повторюсь - моя не компетенция, делал по аналогии с другими записями на pfSense).
RDP ломают - знаю, сам лоханулся, я не сетевой инженер. Пароль на админа был простоват. Порт на RDP не изменён со стандартного. IP на вход разрешён был всей планете = any. (повторюсь - моя не компетенция, делал по аналогии с другими записями на pfSense).
Дмитрий
(28898)
5 месяцев назад
RDP уже давно ломается, классика жанра. Никто в здравом уме его наружу не выставляет. :) а кто выставляет потом быстро жалеет.
Взлом мог быть через бот, так как все равно боты проверяют открытые дырявые RDP через эксплоиты. Далее обычно идут люди. Потом уже руками отключают антивирь и вливают енкодер или зашифровывают руками, это не принципиально. Но чаще заразу вешают. А Каспер, ну его нафиг и не панацея.
Взлом мог быть через бот, так как все равно боты проверяют открытые дырявые RDP через эксплоиты. Далее обычно идут люди. Потом уже руками отключают антивирь и вливают енкодер или зашифровывают руками, это не принципиально. Но чаще заразу вешают. А Каспер, ну его нафиг и не панацея.
ICaR SoftГуру (3002)
5 месяцев назад
RDP ломают - знаю, сам лоханулся, я не сетевой инженер. И пароль на админа был простоват. И порт на RDP не изменён со стандартного 3389. IP на вход разрешён был всей планете(!!!) = any. (повторюсь - моя не компетенция, делал по аналогии с другими записями на pfSense).
----
Т.е. RDP ломается, а дальше скрипты работают или ВПО?
И оно так может, что вошла в один ПК, далее просканировала систему, что есть в ней записи ещё об RDP и в них проникла?
Плюсом ещё же нужен скрипт\ВПО по отключению антивируса.
Да и подозрительно всё началось в 11 утра, в понедельник, когда я пошёл снимать оборудование.
Так бы я бы заметил, что в ПК ломятся со стороны. Смотреть откуда вход по RDP умею. Он и был с бот-нет сети развёрнутой в адресном пространстве схожим с локалкой.
----
----
Т.е. RDP ломается, а дальше скрипты работают или ВПО?
И оно так может, что вошла в один ПК, далее просканировала систему, что есть в ней записи ещё об RDP и в них проникла?
Плюсом ещё же нужен скрипт\ВПО по отключению антивируса.
Да и подозрительно всё началось в 11 утра, в понедельник, когда я пошёл снимать оборудование.
Так бы я бы заметил, что в ПК ломятся со стороны. Смотреть откуда вход по RDP умею. Он и был с бот-нет сети развёрнутой в адресном пространстве схожим с локалкой.
----
ДмитрийПросветленный (28898)
5 месяцев назад
пароль там не имеет значения. скрипт сканит RDP c эксплоитом, если проходит, то вламывается и обычно уведомляет об этом, далее могут и ручками делать, или работает уже другой скрип, сканируя систему на другие ресурсы, включая различные пароли. Отключить антивирь будучи админом системы не так и сложно, тем более если он не запаролен. А то что в 11 странно, обычно это делается ночью, чтоб засекли позднее.
Похожие вопросы
Покинув рабочее место на 1.5 часа, вернувшись я прочитал надпись "ваш компьютер используется другим пользователем". Это был аккаунт администратора домена.
Быстро зайдя в эту сессию, увидел около 2-3 открытых окон RDP на сервера предприятия и на каждом рабочем столе уже был файл filescoder@gmail.com .exe
Я понял что произошло и выдернув Ethetnet перезагрузил ПК (возможно это и была ошибка).
Позже закрыл доступы на маршрутизаторе по RDP к ПК. Атака произошла из параллельной (созданной злоумышленником виртуальной сети - ботнет)
Вопрос следующий.
Это был человек или скрипт\вредоносное ПО?
Возможно ли, что ВПО уже научилось взламывать RDP (узнавая связку: имя домена, пользователя, пароль) +входить на взломанном ПК ещё глубже по RDP на другие ПК и далее в тех ещё раз глубже входить по RDP?
И второе, как скрипт (или всё же человек?) смог научиться выключать защиту Kasperskiy free? (режим-то администратора домена перехвачен был), так как после взлома и зашифровки всех серверов и ПК Kasperskiy стоял в отключенном состоянии.
От тотального уничтожения всех серверов спас старый, необновляемый, с "оторванной головой" (серверной части нет, ушла с другой организацией), D*W**. Он, клиентская часть, на некоторых серверах оставался нетронутым с 2021 года. На тех ПК от схватил заразу и отправил в карантин. И да, в былые времена помню у него был PIN-код на разблокировку, каждый раз генерировался новый. Только сейчас осознал, что такого нет у Касперского.
Он его определил как: DPH.Trojan.Encoder.13