19 августа, суббота 21:46
Bankir.Ru

Объявление

Свернуть

Технические работы на почтовом сервере

С 23.00 21 августа до 7.00 22 августа на почтовом сервере будут проводиться технические работы. Почтовый сервис в это время будет не доступен.
Показать больше
Показать меньше

Кибертеррористы, злобные вирусы и т.п.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Кибертеррористы, злобные вирусы и т.п.

    Посмотрел вчера вечером по телевизору на 1 канале на умствования некоего бородатого товарища по поводу злобного вируса Helkern, близящейся смерти Интернета и тому подобного на фоне кадров из "Матрицы". Ну и пургу же гнал вышеописанный товарищ ! Аж уши в трубочку сворачивались. Ещё мне понравились высказывания по поводу высочайшей квалификации российских админов, единодушно заблаговременно поставивших фикспак на MS SQL в отличие от ленивых забугорцев. Однако, к примеру, по агентурным сведениям, по причине вирусной атаки вчера "полегла" сеть в Альфа-банке. И начиная с субботы случаев срабатывания Helkern'а было великое множество... Не пострадал ли кто из присутствующих на форуме ?
    WBR, Александр Турчин

  • #2
    В данной истории (с MS SQL) больше всего поражает подход буржуинских ИТ-шников к организации своих корпоративных сетей. Ведь те, кто полегли выставляли в открытую свои серваки - "вот пож-та ломайте", осталось только найти дырку или подобрать пароль (так как логин, я больше чем уверен, - sa).

    Сами "почти" не пострадали (нет, с организацией сетки все в порядке), просто обнаружили W32.Cblade.Worm ранней разновидностью W32.SQLExp.Worm. Почитав описалово сего червяка, пришли к выводу, что к нам его принесли разработчики софта.

    А W32.SQLExp.Worm постоянно долбится по 1434 порту UDP. Причем из разных стран.
    Жить надо так, чтоб тебя помнили сволочи!

    Комментарий


    • #3
      Александр_Турчин

      Однако, к примеру, по агентурным сведениям, по причине вирусной атаки вчера "полегла" сеть в Альфа-банке.

      имхо, у Альфы (да и у многих других банков) внутренняя сеть (Novell + LotusNotes) не корреспондируется с инетом.

      Комментарий


      • #4
        alanf Вспоминается такая вещь. Как-то раз на какой-то web-страничке видел. Длинный (позиций на 200) список MSSQL-серверов с логином sa и пустым паролем, работающих в И-нете. Список был живой, под ним скрипт работал, который это генерил. Причём, автор скрипта сперва слал письмо postmaster-у, потом ждал неделю, а только потом вывешивал сервер в общий список... С целью хоть так приучить админов к порядку...
        /kiv

        Комментарий


        • #5
          вспомнил...

          Организация IP брандмауэра встроенными средствами Windows 2000 и XP
          Автор: Дмитрий Чеканов
          Дата: 31.10.2002
          .......................
          II. Если сервер используется для MSSQL, 1C, хранения финансовых отчетов и т.п. и к нему подключили Интернет.
          1.1 Отключить Интернет от сервера
          1.2 Уволить админа
          1.3 Поставить отдельный сервер
          1.4 Перейти к пункту 1)
          ................

          можно смеятся

          Комментарий


          • #6
            2ONay : имхо, у Альфы (да и у многих других банков) внутренняя сеть (Novell + LotusNotes) не корреспондируется с инетом.
            Ну и что ? Если во внутренней сети, не сообщающейся нмкак с инетом, завёлся "пускач" вируса и имеются непропатченные сервера MSSQL, это приведёт к 100% загрузке внутренней сети. Поправьте меня, если я не прав.
            WBR, Александр Турчин

            Комментарий


            • #7
              Александр_Турчин

              Если во внутренней сети, не сообщающейся нмкак с инетом, завёлся "пускач" вируса и имеются непропатченные сервера MSSQL, это приведёт к 100% загрузке внутренней сети.

              а разве в novell'овской сети есть ip-пакеты?

              Комментарий


              • #8
                2ONay : а разве в novell'овской сети есть ip-пакеты?
                А то как же ! Новелл уже давно "взрослый мальчик" и умеет работать по ip. Но это вообще - то к делу не относится - достаточно, чтобы на сервере с MSSQL и на рабочей станции с пускачом вируса был "прикручен" IP.
                WBR, Александр Турчин

                Комментарий


                • #9
                  Александр_Турчин Насколько я понял пресс-релиз Касперского, пускач этого вируса сам вирусом не является. Т.е. его вообще обнаружить не случилось, вирь расползся самостоятельно.
                  Ну и понятно, отчего пострадали именно Штаты. Когда оптика чуть не в каждом доме и чуть не каждый магазин поставил себе "коробочное решение", не вдаваясь в детали - оно и выстрелило... О чём собственно и вещали бородатые дядьки, говоря о коммерческой песперспективности Интернета.
                  /kiv

                  Комментарий


                  • #10
                    2Илюха : Насколько я понял пресс-релиз Касперского, пускач этого вируса сам вирусом не является.
                    А я так понял, что есть 2 варианта инициации :
                    1. Пакет, пришедший из инета на MSSQL сервер (либо сервер соединён с инетом напрямую, либо пакет "просочился" через файрволл). Пакет инициирует ошибку переполнения, после чего на сервере управление передается коду вируса.
                    2. Пакет, посланный трояном из внутренней сети.
                    WBR, Александр Турчин

                    Комментарий


                    • #11
                      Александр_Турчин Почто дохтура обижаете?
                      на 1 канале на умствования некоего бородатого товарища по поводу злобного вируса Helkern, близящейся смерти Интернета и тому подобного на фоне кадров из "Матрицы". Ну и пургу же гнал вышеописанный товарищ !

                      текст того что он сказал здесь http://www.kaspersky.ru/news.html?id=1194198 ,
                      а что показали по ТВ вы слышали

                      или вы действительно считаете что банк и бордель могут спокойно уживаться в одном доме, с общим входом (это я про инет)

                      описание червяка тута http://www.viruslist.com/viruslist.html?id=1701882
                      нема у меня подписи, не дорос еще :shuffle:

                      Комментарий


                      • #12
                        Несколько камней...
                        >>>С одной стороны, он атакует исключительно серверные компьютеры
                        Вернее еще и те, на которые вольно или невольно проставился MS SQL.

                        >>>2. Пакет, посланный трояном из внутренней сети.
                        А подробнее кто знает?
                        Т.е. получает юзер письмо, открывает его на своей машинке и что... ?
                        что троян начинает поиск MS SQL броадкастом ?

                        Комментарий


                        • #13
                          2MaximBo : текст того что он сказал здесь http://www.kaspersky.ru/news.html?id=1194198 , а что показали по ТВ вы слышали
                          По ящику говорили совсем не то, что на сайте Касперского сказано !!!
                          или вы действительно считаете что банк и бордель могут спокойно уживаться в одном доме, с общим входом (это я про инет)
                          А кто сказал, что вирус может заражать только MSSQL сервера, напрямую присоединённые к инету ? Вот цитата (http://marc.theaimsgroup.com/?l=bugt...0196931518&w=2) :
                          ============================
                          It is trivial for an attacker to send an attack through the firewall,
                          setting the source IP address to that of the target's DNS Server and the
                          source port to 53. Most firewalls will allow this packet through as it will
                          look like a response to a query to resolve a domain name.
                          ============================
                          2All : А насчет трояна, пришедшего по почте, я, похоже, был неправ : (http://www.trendmicro.com/vinfo/viru...ORM_SQLP1434.A)
                          ============================
                          This worm does not drop files or send copies of itself via email which is the usual worm routine.
                          ============================
                          Но имхо остается возможность заражения при заходе на хакерский сайт, который запускает вредоносный жаба-апплет...
                          WBR, Александр Турчин

                          Комментарий


                          • #14
                            Александр_Турчин
                            It is trivial for an attacker to send an attack through the firewall,
                            setting the source IP address to that of the target's DNS Server and the
                            source port to 53. Most firewalls will allow this packet through as it will
                            look like a response to a query to resolve a domain name.

                            Ну именно это как раз чаще всего и не работает. По одной простой и понятной причине. DNS для внутренней сети стоит внутри и имеет внутренний адрес, а если у него и есть внешний интерфейс, то влетающий на него пакет с его же адресом (или адресом сети второго интерфейса) дропается не глядя, это просто правило хорошего тона...
                            Не говоря про то, что сам вирус этого сделать тоже не умеет, а запускалку его так и не нашли...
                            /kiv

                            Комментарий


                            • #15
                              Вот меня и смущает все это. Вирус вирусом...но сети то закрытые-то. Понимаю когда у когонибудь дома SQL заглючил и линию перегрузил к провайдеру.
                              Но как вирус проник в защищенные сети ( и не одного только банка) не пойму...

                              Пока высказаны только идеи: почта, аплет, открытый DNS вот только откуда и куда...

                              Комментарий


                              • #16
                                Я тут недавно прочитал несколько глав одной книги, так вот там описаны варианты проникновения во внутренние сети, я честно говоря был поражен, оказывается, что в любой большой компании (банке) узнать пароль юзера для входа в систему не составляет труда, а далее все зависит от опытности взломщика...
                                www.silver-mania.ru

                                Комментарий


                                • #17
                                  Причем этому есть вполне логичное обьяснение
                                  - когда пароль придумываешь и меняешь каждый месяц - то его проще на бумаге записывать. И потом если порыться в мусоре вовремя...и.т.д и.т.п.

                                  А есть еще и замечательный журнал - "Хакер".
                                  И прекрасные плакаты - "Не болтай у телефона...", "Враг Не дремлет".
                                  И фильмы от 16 лет - "Хакеры" с музыкой Продиджи, "Пароль Рыба Меч" с Траваолтой и новой подружкой Бонда, "Дети Шпионы 2" - Родригез со всей большой семьей и тусовкой, включая Мачо. Там тоже много деталей "про это".

                                  Как я понял, теперь у нас:
                                  почта, аплет, открытый DNS откуда-то и куда-то + секретный пароль юзера.

                                  Давайте тогда перейдем к обсуждению придуманной вот только мною концепции безопасности банка для защиты от этого вируса:
                                  зеленые и красные розетки и механические свичи, сорри рубильники на местах и один большой - медный - в центре зала. Думаю в ней есть элемент новизны и большая наглядность, позволяющая профессионалам от безопасности быстро принимать решения.

                                  Комментарий


                                  • #18
                                    AAL
                                    Есть такой прекрасный мультик, по-моему, "Бабка" называется. Про уборщицу в Банке. Это к вопросу о безопасности информации и защите от вирусов. На любые красные/зеленые рубильники всегда найдется какой-нибудь разгильдяй, который включит у себя на АРМ модемчик или мобильничек с каким-нибудь GPRSом для несанкционированного доступа в Интернет (хотя бы в чате посидеть немножко) и закачает в сеть по незнанию любой вирус. Для эффективной борьбы с этим к нарисованной схеме с рубильниками придется добавить вышки с пулеметами. И получится что-то типа шарашек из времен Иосифа Виссарионовича. Хорошая получилась модель технического обеспечения Банка?

                                    Комментарий


                                    • #19
                                      Siva, это была шутка.
                                      Вот тут мне сообщили, что у кого-то этот вирус опять выполз в DNS.

                                      Комментарий


                                      • #20
                                        AAL

                                        Вот вы тут шутите про рубильники, а люди которые являются теми самыми юзерами с секретными поролями, умудряются себе на работе ставить Win XP, в то время как весь банк на 2000 сидит и прав на установление софта вроде как ни у кого нет... я вообще удивлен как банки еще с такой защитой существуют...
                                        www.silver-mania.ru

                                        Комментарий


                                        • #21
                                          2 AAL:
                                          Вот меня и смущает все это. Вирус вирусом...но сети то закрытые-то. Понимаю когда у когонибудь дома SQL заглючил и линию перегрузил к провайдеру.
                                          Но как вирус проник в защищенные сети ( и не одного только банка) не пойму...

                                          Хм... А что тут не понятно? В любом банке есть почта и работают пользователи. Как показывает практика всегда найдется хоть один, получивший по почте письмо с вложением и текстом типа "...это игрушка запусти ее...", который запустит вложеный файл... Какие проблемы?

                                          Комментарий


                                          • #22
                                            2Cost : В любом банке есть почта и работают пользователи.
                                            По-хорошему на почтовом сервере должен работать антивирус. Но этого мало - юзер может влезть на какой-нибудь mail.ru, поэтому нужен антивирус ещё на рабочей станции. А для пущей безопасности антивирусы должны работать ещё на файл-серверах. У нас именно так и сделано, и имхо если хотя бы одна из вышеперечисленных мер не принята - вероятность вирусной эпидемии будет весьма высока.
                                            WBR, Александр Турчин

                                            Комментарий


                                            • #23
                                              Существенная часть проблемы в следующем: все запаролено, пароли исправно меняются, но бумажки с паролями аккуратно наклеены на столы или на компьютеры.

                                              Комментарий


                                              • #24
                                                2sedinrus : бумажки с паролями аккуратно наклеены на столы или на компьютеры.
                                                Надо организовать патрулирование офисных помещений силами управления информационной безопасности. Одеть людей в чёрную форму с портупеей, усилить патруль собакой Жучкой и пустить бродить по территории. В случае обнаружения бумажки с паролем кусать нарушителя собакой, сажать в карцер и штрафовать на 50 $ .
                                                WBR, Александр Турчин

                                                Комментарий


                                                • #25
                                                  Александр_Турчин Я правильно понял, что в вашем банке W32.SQLExp.Worm был пойман антивирусом? У меня такое чуство, что существует некоторое время между появлением принципиально нового вируса и защитой от него у компании производителя антивирусных программ, иначе я бы сказал, что это антивирусники заразу и распускают.

                                                  Комментарий


                                                  • #26
                                                    sedinrus
                                                    когда-то давно видела на небольшом заводике одного забывчивого админа - он, чтобы не забыть, написал пароль root-а и вывесил на стенку - прям так: login: root , password: тра-ля-ля (с) - ну, пожилой человек, старческий склероз

                                                    Александр_Турчин
                                                    Ну и пургу же гнал вышеописанный товарищ ! Аж уши в трубочку сворачивались
                                                    абсолютно солидарна! Я тоже эту передачу видела - совершенно случайно, можно сказать.
                                                    "ну, ладно, эти повторяют, но этот-то мерзавец, он же еще и выводы делает".
                                                    Дяденька солидного вида нес такую чушь в массы, что аж жуть. Самое печальное, что обыватель во все это верит
                                                    Последний раз редактировалось Julls; 04.02.2003, 11:54.

                                                    Комментарий


                                                    • #27
                                                      2Goga_Ch : Я правильно понял, что в вашем банке W32.SQLExp.Worm был пойман антивирусом?
                                                      Неправильно. У нас вируса вообще не было. Но действительно, полностью исключить проникновение нового вируса невозможно - можно лишь понизить вероятность заражения. Полную гарантию может дать лишь переход на безкомпьютерные технологии .
                                                      WBR, Александр Турчин

                                                      Комментарий


                                                      • #28
                                                        Александр_Турчин
                                                        Ну хорошо, стоят антивирусы на почте, на рабочих местах и файл-серверах. Периодически обновляются. Но вот влез в сеть новый вирус, котрого еще нет в антивирусной базе. И чего? Нужен еще тогда вроде регламент на этот случай? Куда бежать, чего делать, кого включать/выключать... Есть такой где-нибудь в природе?

                                                        Комментарий


                                                        • #29
                                                          Siva Нужен еще тогда вроде регламент на этот случай?
                                                          Ну и изобрети тогда регламент "полное восстановление рухнувшей системы"...
                                                          Потому как ты никогда не узнаешь, что будет делать этот новый вирус. На то он и новый

                                                          Комментарий


                                                          • #30
                                                            ловят этот "новый" вирус не антивири, патчи мелкософта. вообще подавляющее большинство "удачных" вирусных эпидемий лечаться в первую очередь не антивирями, а патчами латающими дыры в безопасности софта. при всей любви к юзерам, они все-таки умнеют. (ой щас бить будут) юзеры все реже тыкают на файлики присланные неизвестными им людьми, с дурацким текстом. это подвтерждает и характер эпидемий. наиболее "удачные" эпидемии распрастронялись без тыканья юзером на файлик, а благодаря дырам в аутглюке (IFRAME и т.д.) юзер письмо получил, заподозрил неладное и уже тянется удалить непонятное письмо, а вирус в это время уже вовсю саморассылается по его адресной книге.

                                                            так что борьба с вирусами это:
                                                            1. свежие патчи
                                                            2. свежие антивирусные базы

                                                            ЗЫ знаю-знаю, сначала накатывать надо на тестовые машины
                                                            нема у меня подписи, не дорос еще :shuffle:

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X