Такая вот беда случилась. В результате объединения сетей, мы оказались атакованными. вышло так, что на многих серверах Windows 2003 стоял сервис пак 1. И касперский. Но этого явно не хватило. Атаки пошли по 445 порту. Закрыть его мешало то, что этот порт жизненно необходим в сети, где используется шара. А шара используется на серверах. На клиентах используются сетевые версии программы, которые обращаются к расшаренным папкам на сервере.
Итак, сначала описание беды:
Вирус через порт 445 (или 139 порт) прорывается в сеть, сидит в оперативной памяти, отключает такие службы как обозреватель компьютеров, сервер, рабочая станция. Также он делает какие-то дополнительные махинации, и потом удаляет сам себя. Касперский отловить просто ничего не в состоянии, потому что Касперский реагирует на обращение к физическому диску! А тут вирус не сотавляет своего тела на харде, ни в авторане, ни где-то ещё. Его на жёстком диске просто нет! Поэтому Касперский ничего не даёт.
Кидо киллер работает в оффлайновом режиме. То есть я хочу сказать, что если бы была такая прога, которая бы реагировала на внесение инородного тела в оперативную память (то есть нашего вируса) и сразу бы его удаляла оттуда бы...это было бы круто. Кидокиллер на такое не спасобен. Его надо запускать вручную. Ну или можно в шедулер его зафигачить, чтоб он каждые пять минут проверял...но ...в принципе то же не особо вариант.
Вариант закрыть порты. 445, 139 и другие особо важные порты, которые используются системой. Но как это сделать? Файервол?
В случае закрытия 139 и 445 порта у нас возникает отключение сетевых дисков и мы не видим шару. Что в нашем случае недопустимо.
мы поставили заплатки (сервис паки) на сервер и рабочие станции, на рабочих станциях windows XP до SP3, а на серверах до SP2 с дополнениями, но это не особо помогло. Всё равно отваливаются службы.
Поэтому мы сделали зацикливание, поставили службы сервер, рабочая станция и обозреватель компов на авто перезапуск.
Вот так и живём. Но так жить тоже нельзя. Так как в тот момент когда служба вырубается и снова врубается, сетевой диск тупит и неможет авто переподключиться. Для этого надо перезагрузиться.
Но нельзя же в конце концов перезагружаться всё время.
Как быть в данной ситуации? Можно ли проблему решить программным файерволом типа Outpost или комодо?
если с помощью этих файерволов закрыть 445, порты, сможет ли работать шара и т.д? В инете пишут что нет.
Если бы это был домашний комп, но вопросов бы не было. Всё бы закрыл и всё. а так....это же сеть и не самая маленькая.
0
Вирус заразил нашу сеть (или как поймать то, не знаю что?)
Автор Italyano, 04 дек 2010 00:33
Сообщений в теме: 16
#2
-
- Пользователи
-
- 4 831 сообщений
Дух форума
70
Отправлено 04 декабря 2010 - 01:13
Italyano (4th December 2010 - 0:32) писал:
Как быть в данной ситуации?
Если ничто другое не помогает, прочтите, наконец, инструкцию.
Создайте еще более понятный интерфейс и мир создаст еще более тупого юзера.
Британские учёные доказали: 95% населения Земли идиоты.
#3
-
- Пользователи
-
- 790 сообщений
Проживающий
0
Отправлено 04 декабря 2010 - 02:14
Да ну, бред какой-то. Бессмертный вирус прямо. Таких не бывает.
Где-нибудь он должен храниться на диске, ибо при выключении или перезагрузке компьютера умрёт и воскреснуть ему будет неоткуда. А значит найти и прибить его можно. Только для этого нужен не школьник, а, действительно, кто-то типа администратора.
И да, принимать меры (сервис-паки, заплатки, пароли, ограничения учёток и так далее) нужно до того, как вирус попал в систему.
Где-нибудь он должен храниться на диске, ибо при выключении или перезагрузке компьютера умрёт и воскреснуть ему будет неоткуда. А значит найти и прибить его можно. Только для этого нужен не школьник, а, действительно, кто-то типа администратора.
И да, принимать меры (сервис-паки, заплатки, пароли, ограничения учёток и так далее) нужно до того, как вирус попал в систему.
#4
-
- Пользователи
-
- 1 026 сообщений
32DD
54
Отправлено 04 декабря 2010 - 03:00
еслиб этот вирус еще и кофе умел варить - цены бы ему не было
чувак походу пригрел попу на месте сисадмина за дополнительное бабло, вот и парится)
а так на не самую маленькую сеть надо и сисадмина с не самым маленькимчленом опытом
чувак походу пригрел попу на месте сисадмина за дополнительное бабло, вот и парится)
а так на не самую маленькую сеть надо и сисадмина с не самым маленьким
Сообщение отредактировал Садист: 04 декабря 2010 - 03:02
#5
-
- Пользователи
-
- 1 267 сообщений
Маленькое лошадко
5
Отправлено 04 декабря 2010 - 12:32
Похоже на страшную сказку из тех, что одмины рассказывают друг другу ночью при свете костра, нарочито делая ужасное лицо и подвывая как монстры, что бы нагнать паники.
а на деле, раз вирус сидит тока в оперативке (по словам аффтора), то можно дождаться воскресенья и одновременно выключить все компьютеры в сети
ну а если по нормальному - то обозревателем процессов (можно даже виндовским, но лучше чем нить нормальным) найти эту шнягу и по пиду или по имени или по реальному поведению поискать в интернете сведения. наверняка уже давным давно есть лекарство. в том числе и у касперского.
а на деле, раз вирус сидит тока в оперативке (по словам аффтора), то можно дождаться воскресенья и одновременно выключить все компьютеры в сети
ну а если по нормальному - то обозревателем процессов (можно даже виндовским, но лучше чем нить нормальным) найти эту шнягу и по пиду или по имени или по реальному поведению поискать в интернете сведения. наверняка уже давным давно есть лекарство. в том числе и у касперского.
#6
-
- Пользователи
-
- 7 457 сообщений
Гуру форума
1 123
Отправлено 04 декабря 2010 - 12:49
Особо не вчитывался в тему, т.к. не шарю в вирусах. Единственное могу сказать мне рассказывали, что сталкивались с одним вирусом. Комп от него почистили, выключают комп или перезагружают, а он снова появляется. Так вот вирус сохранялся в Оперативной памяти и при выключении ПК через Пуск он заново записывался на HDD. Решением стало заново вылечить HDD и перезагрузить комп с помощью кнопочки на ПК. И вуаля вирус исчез. Как то так.
Бросая мусор на берегу - не забывайте хрюкать.
410011676952748
#7
-
- Пользователи
-
- 790 сообщений
Проживающий
0
Отправлено 04 декабря 2010 - 14:47
Ostap_Bender (Dec 4 2010, 12:48) писал:
... что сталкивались с одним вирусом. Комп от него почистили, выключают комп или перезагружают, а он снова появляется. Так вот вирус сохранялся в Оперативной памяти и при выключении ПК через Пуск он заново записывался на ...
Чтоб не спрятался - ищите вирусы без загрузки поражённой вирусом ОС. Это легко. Существуют такие загрузочные диски как CD, или USB, или просто второй HDD с чистой системой, накрайняк второй комп, заведомо чистый.
А лучше - обратиться
#8
-
- Пользователи
-
- 124 сообщений
Прохожий
11
Отправлено 15 июля 2013 - 10:49
клонировать диск, на другом копьютере просканировать образ на вирусы и прочии пакости.
#9
-
- Пользователи
-
- 712 сообщений
Проживающий
185
Отправлено 15 июля 2013 - 16:03
Решение:
... сменить админа
... в топку винду, поднимаем сервак на Lunix
....
... если то и другое требует времени, начинаем как обычно с клиентов
... сменить админа
... в топку винду, поднимаем сервак на Lunix
....
... если то и другое требует времени, начинаем как обычно с клиентов
Если Вы заведете себе Яндекс.Диск по этому приглашению, то получите 1 ГБ дополнительного места в подарок к тем 10 ГБ, которые дадут и так. Жмахаем ТУТ
#10
-
- Пользователи
-
- 389 сообщений
Постоялец
92
Отправлено 22 июля 2013 - 23:04
Чё там, три с половиной года топику? :)
Вариант 1.
Вариант 1.
- Выкинуть Каспера :)
- Поставить SEP.
- На высвободившихся вычислительных ресурсах поднять сервак контры.
- Выкинуть винду.
- На высвободившийся сервер поставить Линух + Samba + clamd (Если все на *Nix - не надо).
- На высвободившихся системных ресурсах организовать вычислительный кластер для SETI или Mersenne Prime.
#11
-
- Пользователи
-
- 90 сообщений
Чудо-юдо
13
Отправлено 27 июля 2013 - 18:47
FeodoR (22 июля 2013 - 23:04) писал:
Чё там, три с половиной года топику? :)
Вариант 1.
Вариант 1.
- Выкинуть Каспера :)
- Поставить SEP.
- На высвободившихся вычислительных ресурсах поднять сервак контры.
- Выкинуть винду.
- На высвободившийся сервер поставить Линух + Samba + clamd (Если все на *Nix - не надо).
- На высвободившихся системных ресурсах организовать вычислительный кластер для SETI или Mersenne Prime.
Выкинуть винду и сервак на Lunix
, продай сервак . На высвободившиеся системные и денежные ресурсы арендуй облачный сервис.
#12
-
- Пользователи
-
- 327 сообщений
Постоялец
78
Отправлено 03 октября 2013 - 15:13
чидовище (27 июля 2013 - 18:47) писал:
Выкинуть винду и сервак на Lunix , продай сервак . На высвободившиеся системные и денежные ресурсы арендуй облачный сервис.
, продай сервак . На высвободившиеся системные и денежные ресурсы арендуй облачный сервис.Не оплачивать арендованный облачный сервер, купить водки, напиться и летать в облаках. Ни каких вирусов. ни каких проблем, и море по колено)))
ОНЛАЙН ПОДДЕРЖКА НА ФОРУМЕ НЕ ОКАЗЫВАЕТСЯ ИЩИТЕ ПОМОЩЬ ТАМ ===>>>>
Группа АКАДО на Facebook 
Микроблог АКАДО в Твиттере 
Группа АКАДО ВКонтакте 
Сообщество «АКАДО.Прямой эфир» в Живом Журнале 
Официальная страница АКАДО на Google+
Работаю за "Нравится" =)
#13
-
- Пользователи
-
- 389 сообщений
Постоялец
92
Отправлено 06 октября 2013 - 08:51
belial (03 октября 2013 - 15:13) писал:
Не оплачивать арендованный облачный сервер, купить водки, напиться и летать в облаках. Ни каких вирусов. ни каких проблем, и море по колено)))
#14
-
- Пользователи
-
- 327 сообщений
Постоялец
78
Отправлено 07 октября 2013 - 10:56
Ну, от этого совместного получения вирусов зачастую спасают всем известные резинки)))
ОНЛАЙН ПОДДЕРЖКА НА ФОРУМЕ НЕ ОКАЗЫВАЕТСЯ ИЩИТЕ ПОМОЩЬ ТАМ ===>>>>
Группа АКАДО на Facebook Микроблог АКАДО в Твиттере Группа АКАДО ВКонтакте Сообщество «АКАДО.Прямой эфир» в Живом Журнале Официальная страница АКАДО на Google+
Работаю за "Нравится" =)
#15
-
- Пользователи
-
- 389 сообщений
Постоялец
92
Отправлено 07 октября 2013 - 17:26
Некротема перерастает во флуд :D
Ну не на 100% :D
Ну не на 100% :D
#16
-
- Пользователи
-
- 327 сообщений
Постоялец
78
Отправлено 07 октября 2013 - 17:31
FeodoR (07 октября 2013 - 17:26) писал:
Некротема перерастает во флуд :D
Ну не на 100% :D
Ну не на 100% :D
Тема просто флудливая)) все решается граммотным админом в нужном месте)
PS так я и не писал что всегда на 100%, а написал что зачастую))))
ОНЛАЙН ПОДДЕРЖКА НА ФОРУМЕ НЕ ОКАЗЫВАЕТСЯ ИЩИТЕ ПОМОЩЬ ТАМ ===>>>>
Группа АКАДО на Facebook Микроблог АКАДО в Твиттере Группа АКАДО ВКонтакте Сообщество «АКАДО.Прямой эфир» в Живом Журнале Официальная страница АКАДО на Google+
Работаю за "Нравится" =)
#17
-
- Пользователи
-
- 18 сообщений
Новичок
2
Отправлено 04 ноября 2013 - 06:48
Это хитрый юзвери, инфа 100%
Количество пользователей, читающих эту тему: 1
0 пользователей, 1 гостей, 0 анонимных
