Добро пожаловать на форум, Гость!
Войдите или зарегистрируйтесь!
Имя пользователя:   Пароль:  
Запомнить меня 




Начать новую тему Ответить на тему   [ 1 сообщение ] 
Автор Сообщение
 Заголовок сообщения: Порассуждаем о безопасности
СообщениеДобавлено: 14 окт 2010, 13:52 
Бородатый сис
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 2896
Откуда: Из серверной
Зарегистрирован: 03 мар 2010, 15:12
Благодарил (а): 19 раз.
Поблагодарили: 121 раз.
ОС: RHEL 6.7
Попалась мне сегодня флешка, старенькая, всего на 32мб... Принесла мне ее наша сотрудница из бухгалтерии, попросила починить, мол отчетность возить в налоговую на ней будет как раз, сказала флешка гробит все компы с которыми сталкивается, наверное мол что-то со штеккерной частью, поскольку в системе она тоже не отображалась. Подрубаю я ее к своему компу, флешка определилась замечательно, зашел туда а там autorun.inf сидит и лыбится весь такой довольный. Открыл я его, посмотрел путь к exe-шнику, который шел в RECYCLER\S-2-9-32-94685248-328964571642-1568497532-9r7a, убедился что он там, ну и грохнул всю папку вместе с автораном, да отдал ей флешку со спокойной душой. Чуть погодя пишет она мне значит по Випресс-чату, мол а папочки .Trash и .Trash-000 можно грохать или нет (у нее на рвбочей тачке стоит Linux, а я оказывается забыл убрать галочку разрешающую просмотр скрытых файлов). Отвечаю что запросто, это же корзина, на что получаю ответ, что папки она грохнула, но вместо двух тех папок возникла папка .Trash-001... Советую ей удалить ее тоже, на что она отвечает, что теперь папка называется .Trash-002... В состоянии полного непонимания прихожу к ней, пробую грохать папку - появляется .Trash-003... Тут меня пробрало любопытство заглянуть внутрь (может там какие-нить системные файлы лежат, не удаляемые под простым пользователем. Каково же было мое удивление, когда я там увидел... папочку S-2-9-32-94685248-328964571642-1568497532-9r7a... Зачесались руки форматнуть флеху к @ням, но любопытство взяло верх. На этом компе также располагается наш офисный дистроархив, поэтому на нем стоит Clamav, для регулярной проверки дистров на предмет появления всяких там засранцев. Запустил я значит его проверить флеху - в папке .Trash-003 тут же нашел червя Win32.HLLW.Shadow.based... Причем эта сволочь получается умеет защищаться даже под *nix-системами, таким вот интересным способом. Хотя перед командой
Код:
cat /dev/null > /dev/sdc0
выполненной от рута он все же не устоял, но что если бы бухгалтер не принесла бы флешку мне, не подрубила бы потом к своему компу (на который я только пару дней назад поставил Simply), а подрубила бы к какой-нибудь виндовой машине? Думаю я бы оочень огорчился, поскольку как мне рассказал гугл, синонимы у червя такие:

  • W32.Downadup
  • Win32.HLLW.Autoruner.5555
  • Worm:Win32/Conficker
  • Net-Worm.Win32.Kido

Вот собственно с чего и назрело желание поговорить о червях и способах борьбы с ними, и как наверное самая низшая ступень первыми под прицел попадают автораны...


Я не злопамятный, я просто часто ковыряю логи
Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ 1 сообщение ] 
   Похожие темы   Автор   Ответов   Просмотров   Последнее сообщение 
Нет новых непрочитанных сообщений в этой теме Хелп! Настройка локального сервера на ВИН2003 машине

[ На страницу: 1, 2 ]

в форуме Networks

Sevato

11

2493

24 авг 2015, 12:01

Raven Перейти к последнему сообщению

Перенесенная ^_^

в форуме Linux

root

3

38

02 мар 2010, 16:15

Gen1us2k Перейти к последнему сообщению

Нет новых непрочитанных сообщений в этой теме Петербург. Сисадмин-закупщик компьютерного оборудования, периферии и телекоммуникации

в форуме Вакансии

cazr

0

1237

21 фев 2014, 14:06

cazr Перейти к последнему сообщению



Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Собрано Raven. Русская поддержка phpBB
phpBB SEO